JavaScript Hook JSON.stringify和JSON.parse:逆向与修改实战指南

已于 2025-04-09 08:07:03 修改
阅读量1k 收藏 10
点赞数 4
分类专栏: JavaScript逆向基础 文章标签: javascript json 开发语言
于 2025-04-09 01:41:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u014497060/article/details/147081334
版权

在JavaScript逆向工程中,Hook JSON.stringifyJSON.parse方法是一种重要的技术,可以用来捕获、修改或分析JSON数据的序列化和反序列化过程。本文将结合具体案例,详细讲解如何实现这些方法的Hook操作。

一、Hook JSON.stringify和JSON.parse的基本原理

(一)Hook JSON.stringify

通过重写JSON.stringify方法,可以在序列化过程中插入自定义逻辑,例如记录日志、修改参数或插入断点。

(二)Hook JSON.parse

通过重写JSON.parse方法,可以在反序列化过程中插入自定义逻辑,例如记录日志、修改解析结果或插入断点。

二、实战案例

(一)Hook JSON.stringify

  1. 编写Hook代码:Hook JSON.stringify方法。

(function() {
    'use strict';
    const originalStringify = JSON.stringify;
    
    // Hook后的JSON.stringify方法
    JSON.stringify = function(params) {
        console.log("Hook JSON.stringify:", params);
        // 在这里可以修改参数或插入断点
        return originalStringify.apply(this, arguments);
    };
})();

  1. 测试脚本:在目标网页中运行脚本,观察控制台输出。

(二)Hook JSON.parse

  1. 编写Hook代码:Hook JSON.parse方法。

(function() {
    'use strict';
    const originalParse = JSON.parse;
    
    // Hook后的JSON.parse方法
    JSON.parse = function(params) {
        console.log("Hook JSON.parse:", params);
        // 在这里可以修改解析结果或插入断点
        return originalParse.apply(this, arguments);
    };
})();

  1. 测试脚本:在目标网页中运行脚本,观察控制台输出。

(三)具体案例:捕获加密JSON数据

假设我们要捕获一个网站的加密JSON数据,以下是详细的逆向步骤:

  1. 捕获JSON操作:在Chrome开发者工具中,找到使用JSON.stringifyJSON.parse的代码,设置断点。

  2. 分析加密逻辑:查看JSON数据的加密逻辑,找到加密函数的入口。

  3. Hook JSON方法:使用脚本Hook JSON.stringifyJSON.parse方法,插入自定义逻辑。

(function() {
    'use strict';
    const originalStringify = JSON.stringify;
    const originalParse = JSON.parse;
    
    // Hook后的JSON.stringify方法
    JSON.stringify = function(params) {
        console.log("Encrypting JSON data:", params);
        // 在这里可以捕获和分析加密逻辑
        return originalStringify.apply(this, arguments);
    };
    
    // Hook后的JSON.parse方法
    JSON.parse = function(params) {
        console.log("Decrypting JSON data:", params);
        // 在这里可以捕获和分析解密逻辑
        return originalParse.apply(this, arguments);
    };
})();

  1. 验证结果:查看服务器响应,验证捕获的JSON数据是否有效。

(四)具体案例:调试JSON数据

假设我们要调试一个网站的JSON数据,以下是详细的逆向步骤:

  1. 捕获JSON操作:在Chrome开发者工具中,找到使用JSON.stringifyJSON.parse的代码,设置断点。

  2. 分析JSON数据:查看JSON数据的结构和内容。

  3. Hook JSON方法:使用脚本Hook JSON.stringifyJSON.parse方法,插入自定义逻辑。

(function() {
    'use strict';
    const originalStringify = JSON.stringify;
    const originalParse = JSON.parse;
    
    // Hook后的JSON.stringify方法
    JSON.stringify = function(params) {
        console.log("Serializing JSON data:", params);
        // 在这里可以调试和修改序列化数据
        return originalStringify.apply(this, arguments);
    };
    
    // Hook后的JSON.parse方法
    JSON.parse = function(params) {
        console.log("Parsing JSON data:", params);
        // 在这里可以调试和修改解析数据
        return originalParse.apply(this, arguments);
    };
})();

  1. 验证结果:查看服务器响应,验证调试后的JSON数据是否有效。

三、总结

在JavaScript逆向工程中,掌握JSON.stringifyJSON.parse的Hook技术是提高代码安全性和可维护性的关键。通过油猴脚本和Chrome开发者工具,我们可以轻松实现JSON数据的Hook,捕获和修改序列化与反序列化过程。

 

逆向中如何判断JSVMP,及如何解决?(包括实战案例)
数据知道的博客
03-29 2753
是一种高级的 JavaScript 代码保护技术,通过将原始代码转换为自定义字节码并在虚拟环境中执行来实现混淆。在逆向工程中,判断目标代码是否采用JSVMP并找到解决方案,需要系统化的分析思路技术手段。
JS逆向之常用Hook方法
weixin_42052877的博客
08-28 205
DOM操作:通过修改DOM元素的属性样式,来实现对网页的控制修改。事件监听:通过监听网页上的事件,来触发自定义的操作行为。AJAX拦截:通过拦截网页上的AJAX请求,来实现对数据的控制修改。函数替换:通过替换网页上的函数,来实现对函数的控制修改。DOM操作在JS逆向油猴脚本中,DOM操作是最常用的一种Hook...
某观鸟平台逆向分析
YJ_12340的博客
02-04 926
声明:由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!
JS hook
weixin_45249411的博客
07-01 1053
debugger 使用 Function.constructor / setInterval / eval。一般获取header中的参数。
Js 解析Json
HookBin的博客
03-30 540
JS 解析Json
Js 逆向Hook
weixin_45953930的博客
09-15 1381
1.debugger;参考网站:
JS逆向高阶补充
go|Python的个人博客
08-16 1426
eval() 函数计算 JavaScript 字符串,并把它作为脚本代码来执行。如果参数是一个表达式,eval() 函数将执行表达式。如果参数是Javascript语句,eval()将执行 Javascript 语句。 Hook函数 在 JS 逆向中,我们通常把替换原函数的过程都称为 Hook。 案例1: Hook eval 案例2: Hook JSON.stringify JSON.stringify() 方法用于将 JavaScript 值转换为 JSON 字符串,在某些站点的加密过程中可能会遇
爬虫基础-hook技术
weixin_39307898的博客
04-02 1475
根据rt.update, 点击控制台的函数,可以定位到上面的D()函数, 最终结果是通过O()函数返回的,定位到大O函数。方法,判断如果 rnd 字符串值在 URL 里首次出现的位置不为 -1,即 URL 里包含。可以看到已经有加密结果了,在往上找栈,看这个方法是谁调用的。现在控制台执行上面的hook函数,然后出发翻译。在控制台执行上面的函数,然后触发请求,会被断住。可以看出,只有n是需要逆向的,其他都是固定值。有两处需要处理,避免麻烦的是返回的加密数据。设置值的时候,会访问set方法。
【JS逆向】【20.JavaScript 基础语法】Hook函数(详细讲解)
weixin_43612602的博客
01-09 1870
通过这样的方法,我们就可以在设置某个值的时候,添加一些代码,比如 debugger;,让其断下,然后利用调用栈进行调试,找到参数加密、或者参数生成的地方,需要注意的是,网站加载时首先要运行我们的 Hook 代码,再运行网站自己的代码,才能够成功断下,这个过程我们可以称之为 Hook 代码的注入。,在系统没有调用该函数之前,钩子程序就捕获该消息,钩子函数先得到该函数的控制权,这时钩子函数既可以改变该函数的执行行为,还可以强制结束消息的传递,简单来说。就是把系统的程序拉出来,来变成我们自己执行的片段。
Python3网络爬虫开发实战(11)JavaScript 逆向爬虫
bigcrab的博客
08-16 1377
JavaScript Hook,无限 debugger,模拟执行 JavaScript
JS逆向hook通用脚本合集
z_ipython的博客
03-06 3717
JavaScript eval() 函数的作用是计算 JavaScript 字符串,并把它作为脚本代码来执行。如果参数是一个表达式,eval() 函数将执行表达式。如果参数是 Javascript 语句,eval() 将执行 Javascript 语句,经常被用来动态执行 JS。Cookie Hook 用于定位 Cookie 中关键参数生成位置,以下代码演示了当 Cookie 中匹配到了 v 关键字, 则插入断点。
总览:JS逆向技巧总结
dafan0的博客
07-02 4713
总的来说,JavaScript 逆向可以分为三大部分:寻找入口、调试分析模拟执行。下面分别进行介绍。
hooK 技术
qq_55762751的博客
02-25 96
那么hook 的步骤有哪些呢 找到hooK存在的位置,编写它,进行调试,目的是截住它传输过来的密文,然后断住,寻找到它的点。修改原有的Js 就称为hook
JS逆向的常见hook技术(实战案例)
最新发布
m0_64408930的博客
03-24 991
Hook 是一种钩子技术,在系统没有调用函数之前,钩子程序就先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,也可以强制结束消息的传递。简单来说,**修改原有的 `JS `代码就是 Hook。客户端拥有 `JS` 的最高解释权,可以决定在任何时候注入` JS`,而服务器无法阻止或干预。服务端只能通过检测混淆的手段,另 Hook 难度加大,但是无法直接阻止。
爬虫逆向学习(三):Hook让你快速定位网站逆向疑难杂症
九月镇灵将的博客
04-05 2144
Hook 技术又叫做钩子函数,在系统没有调用该函数之前,钩子程序就先捕获该消息,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,还可以强制结束消息的传递。简单来说,就是把系统的程序拉出来变成我们自己执行代码片段。
JS常用HOOK调试技术
学海无涯
12-25 2833
这允许网页在不影响用户操作的情况下,更新页面的局部内容。Hook 是一种钩子技术,在系统没有调用函数之前,钩子程序就先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,也可以强制结束消息的传递。**注意:**JS 变量是有作用域的,只有当被 hook 函数 debugger 断点在同一个作用域的时候,才能 hook 成功。如果请求是异步的(默认),那么该方法将在请求发送后立即返回。方法初始化一个新创建的请求,或重新初始化一个请求。设置 HTTP 请求头的值。为对象的属性赋值,替换对象属性。
js hook笔记(对各种方法不定期更新)
it_is_arlon的博客
10-28 512
hook代码的目的是为了更方便的调试代码,找出代码的关键位置 1,对函数进行hook。 function a(x,y){return x+y} // 要hook的函数 // 先赋值 old_func = a; // 改写a方法 a = function(argument){ // todo console.log(argument) return old_func.apply(argument) } console.log(a(1,2)) // 调用 2
Python教程-JS逆向快速定位关键点之9大通用hook脚本
白帽阿叁的博客
12-14 2308
如果您对Python编程技巧、好玩实用的开源项目、行业新知趣事各类技术干货等充满兴趣,那么不要错过未来我为大家奉上的精彩内容!感兴趣的小伙伴,赠送全套Python学习资料,包含面试题、简历资料等具体看下方。一、Python所有方向的学习路线Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照下面的知识点去找对应的学习资源,保证自己学得较为全面。二、Python必备开发工具工具都帮大家整理好了,安装就可直接上手!三、最新Python学习笔记。
js hook JSON.parse
11-29
JavaScript中,`JSON.parse()` 是一个内置函数,用于将一个由`JSON.stringify()`方法生成的JSON字符串解析回对应的JavaScript对象。JSON (JavaScript Object Notation)是一种轻量级的数据交换格式,常用于客户端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值