js逆向 webpack_js逆向之webpack模块

最新推荐文章于 2025-04-09 17:15:35 发布
最新推荐文章于 2025-04-09 17:15:35 发布
阅读量1.7k 收藏 7
点赞数
文章标签: js逆向 webpack
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_32027779/article/details/112447196
版权
本文介绍了如何进行js逆向,特别是针对webpack模块的逆向分析。通过跟踪xhr调用,发现并理解加密函数,利用Webpack的基本模型定位模块加载器。通过构造自执行函数和寻找关键参数,成功解密并找到导出函数。注意处理内部加密函数和全局变量的定义顺序,以正确调用加密方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

目标网址:

b'aHR0cHM6Ly93d3cuZ205OS5jb20v'

ea40f25514a840500538ce3649b35696.png

开始控制台  跟xhr调用栈;

ad143b2fab80c5d9499a23fd351d2e1c.png

打上断点,再次请求;

c2ca217357567f0eef30acd913f63748.png

发现加密函数,跟进去;

1c6ee1d97ed8a9e2bd4223a68bb08295.png

Webpack:

a87c6999199e0bc9a64c053ddc86d7c4.png


这就是webpack的基本模型,两种形态一个参数是list  一个是object;再js内搜索}([  或者}({就可以定位到开始定义位置;

48f394691dc70e024eefd7f492534107.png

1.webpackfunction(x){  function t(yy){  x[yy].apply(x1,x2)   //调用第几个方法  }  t(1)}([function(x1,x2){},function(){}])  //方法列表

webpack步骤:

  1. 找到上面的模块加载器;也就是调用位置

  2. 找到我们需要的模块

  3. 构造自执行函数

    9e7a8cb3960563c6a8e0a3df5334b584.png

    7558feaf5e1b5474bc8b6dd98e4270e8.png

    模仿它的写法,我们自己构造一个模块加载器;

    454b839d7c7e317faa229d12f3360401.png

    因为加密是调用n,所以我们只有构造n就可以了;

    ee9d2251edae51ac5a544ac9475ef0a4.png

  4. 复制所以代码,进行折叠,找参数;

note选择语言js  view选择折叠所有;

导出函数

9ba6fc3c4acba39501bd41d2f62741c0.png

d4ffded5f644938d9cdb436cf964126f.png

选择再note里find

06a654a52c157a4a5314086d6441bd7d.png

直接就找到了;

154ace22f7428eb52e5f3a8a80e79b23.png

这里有个小坑,s是r(3),r经过调试其实就是n;同理找到里层加密函数,导出;

0a8fd5068a1a995e72d2c5d12189f05a.png

180ca16f85f8bc317fe3ae8ab2502c99.png

n = r  这里参数是对象,所以把r(3)改为参数调用;

781167d4f630bb4619a28683936f93dc.png

定义全局变量_n,提取加密函数;

100625b215950916fae9492f7d9e30fa.png

671ecba4aefd03964abaa7d43767059f.png

这里看到加密函数方法未定义,其实就是对象要先定义,才能调用;

d3523e66e86f0efb76356a1d08a17609.png

4335509d070bb0c0c4a4364e1672fb36.png

8c7b2d4e3d9657e0c4a4270f3213f7f8.png

42c01d8e25e554ff7527219ce3696e3c.png

以上;

js逆向webpack自吐模块hook代码
我不是码农的博客~~~
01-22 830
【代码】js逆向webpack自吐模块hook代码。
JS逆向webpack 通用扣取思路
拉灯的小手的博客
12-07 1214
目标站:aHR0cHM6Ly93d3cuZ205OS5jb20v 加密参数 password: K6YEmQrNy%2FQgdnacXhdIZ1upCj4UU562IW89oOZquLkZ%2F16JDNyMqEU7pGVemvQzjfAlOzh7nSOLPkJp3kxbTm8XtWrHp9K%2BmMClOmmhkbdjAyax5xLBWC6PJiD6o8H随便输入一些信息,触发登录,抓包找到接口 全局搜索password,没有找到明显的有用信息,使用xhr堆栈随便找个疑似位置打个断点跟进去 明显分析出
js逆向——webpack扣取代码
Tandy12356_的博客
09-27 2563
介绍了webpack扣取代码的通杀流程
JS逆向Webpack打包方式(实战案例)
最新发布
m0_64408930的博客
04-09 2064
本文讲webpack打包方式,可以对代码进行分割,按需加载模块,提高爬虫性能。
JS逆向---webpack专题讲解
m0_52336378的博客
08-04 2970
webpack是一个现代的前端打包工具,它的主要作用是将多个模块打包成一个或多个静态资源文件。通过配置webpack,我们可以定义入口文件和出口文件,使用插件和加载器来处理不同类型的文件,以及设置开发模式和使用webpack开发服务器。[1][2]使用webpack可以实现模块化开发,提高前端项目的开发效率和性能。对于webpack的配置项,我们需要了解入口和出口的设置,插件和加载器的使用,以及开发模式和webpack开发服务器的运作过程。声明。
JS逆向——webpack实战
Fleehom的博客
09-27 8312
乍一看加密很简单,但是这只是body的值,而l方法的断点后续还没运行(即y.encrypt(o)还未执行,这是生成signature值的过程),我们让该方法执行完就会发现signture的值,如图。对于这种情况,根据加密参数格式以及长度,大佬就会想到常见的非对称加密,如RSA、DES、AES、DSA等等,然后就可以通过关键词搜索、DOM断点、hook方法、启动器启动等方式寻找入口,当然,我们可以根据某种方法会遇到的问题,去选择其他捷径方法作为最优解(比如异步操作导致跟栈困难等问题)。
js逆向webpack
weixin_46468720的博客
10-19 1612
webpack遇到其它站的代码,扣加载器的时候,例如下图,除了function n(t){}这个函数,其它代码都删掉,判断标准是它带call或者apply。然后简化下加载器,对照着上面webpack最简单的样子,简化。案例:例如定位到的方法在一个webpackjs文件中。1、找到加载器(加载模块的方法)扣代码会遇到的基本2种形式。然后把他的模块加载器扣下来。3、构造一个自执行方法。
JS逆向实战19——通杀webpack逆向
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
06-30 4130
声明 本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除! 网站 aHR0cHM6Ly9mb2dhbmctbS5pdG91Y2h0di5jbi9tZWRpYURldGFpbC8zODc1Nw== aHR0cHM6Ly93d3cuZ205OS5jb20v webpack是什么?...
js逆向 webpack_Webpack打包后逆向分析
weixin_39557419的博客
01-13 2162
webpack对前端js源码进行压缩打包后,一般会生成如下几个文件:bootstrap.js 入口文件:(function (modules) { // webpackBootstrap// install a JSONP callback for chunk loadingvar parentJsonpFunction = window["webpackJsonp"];window["webpa...
js逆向 webpack_js逆向--webpack打包怎么办?
weixin_42271195的博客
12-23 1736
webpack打包是前端js模块化压缩打包常用的手段。同时对于后端的爬虫调试有着一下困扰。简单的认识下:https://zhuanlan.zhihu.com/p/79706247 原理性知识。1、webpack打包的特征定义上来说:自执行(例:!funtcion)函数的外边一个大的数组。举例说明:1、函数数值在自执行的函数后边(特征代码和上边原理链接有类似的代码地方)!function(t) {f...
js逆向 webpack_Javascript逆向分析前端加密接口
weixin_42517807的博客
12-23 1230
前言在平时,我们前端日常工作中,几乎不会接触到去逆向分析 javascript ,因为通常会使用 Webpack , Parcel 等打包工具来完成前端工程化。去看自己的工程即可。但是,如果反过来对自己感兴趣的网站进行学习和抓取,那么就会导致这项技能是必会的,本文带领大家了解其中逆向的一些技巧和分析思路。准备工作首先,对大家来说是有一些门槛的。你首先要掌握以下的知识,才能一步一步听懂我说的东西:c...
js逆向——webpack实战案例(一)
Tandy12356_的博客
09-28 1637
首先通过跟栈的方法找到加密位置我们跟进u函数,发现是通过webpack加载的向上寻找u的加载位置,然后打上断点,刷新网页,让程序断在加载函数的位置u = r.n(a)
js逆向——webpack扣法
sin_0119的博客
03-19 5697
是个静态模块打包工具,目的是为了让前端工程师写的前端代码变成浏览器可以识别的代码,并且可以达到前端项目的模块化,也就是如何更高效地管理和维护项目中的每一个资源。这是因为加载器函数实际上是在你打开网页的时候就已经加载到内存中了,而只有当我们进行登录这一具体操作时才会执行调用这个函数,所以这时是找不到加载器的。直接把大对象给传进去了,而是在另一个独立的文件里面,那么加载器又是如何对另一份独立的文件中的模块进行加载的呢?但是,当断到我们想要的目标函数时再去定位n(“”)函数哪里是显示不出来的,如图。
逆向篇】Web逆向WebPack结构分析
MAI44的博客
12-23 3329
用需要找到这个加密代码段给扣下来,进行加密,方便我们写的爬虫或者采集工具去自动登录或者其他操作,一般前端加密代码一个难点是处理webPack打包结构的代码。webpack字如其名,实际上是网页代码的一种打包机制将多个js文件(也可以是其他类型文件,比如.png)统一打包为一个js文件,一个png文件当然如果是webpack多打包机制就会生成多个js文件最终目的肯定是为了压缩代码,提高代码执行效率。好几万行代码,如果是高手能直接复制要用到的代码就当我是p话。ok.这样我们就得到了webpack加载器的代码!
js逆向webpack打包网站
weixin_55205599的博客
12-05 1109
在工作之余看到此篇文章,之前没有了解过js逆向,更没有了解到webpack打包。src漏洞挖掘篇之前端接口爬取测试思路 - FreeBuf网络安全行业门户。问题一:如何识别此网站是用webpack网站打包?可以大概知道是webpack打包的js代码。且这篇帖子附上了爬取脚本,拿过来。类似于:n:["xxx"]问题二:js逆向是什么?
JS逆向学习】36kr登陆逆向案例(webpack
学海无涯
01-18 1823
在开始讲解实际案例之前,大家先了解下webpack的相关知 WebPack打包 webpack是一个基于模块化的打包(构建)工具, 它把一切都视作模块 概念: Webpack是一个现代JavaScript应用程序的静态模块打包工具。它可以将许多不同的模块(包括JavaScript、CSS、图像等)打包成一个或多个静态资源文件,以供浏览器加载。 Webpack的核心概念包括: 入口(Entry):指定Webpack开始构建依赖图谱的入口文件。Webpack会从入口文件开始递归地解析和处理所有依赖模块。 输出
js逆向专题】8.webpack打包
情不知所起一往而深
09-05 3471
整个打包的文件是一个自执行函数方法里面是webpack的加载器存放的模块就是js的每个功能,可以有两种方式,数组和键值对的形式以上就是关于js逆向技术中的webpack打包全部内容了,欢迎同学们在评论区讨论交流,有任何js逆向、数据采集相关需求也可以V后台regentwan与我联系哟~
js逆向-webpack-python
Sdwq12的博客
07-12 1053
-发现不同执行方式会有不同得生成n得值也就是 e(直接将代码copy进本地)--t.header.user 是动态变得,获取时通过响应头获取,在传参。--我们需要找到其加载器,都知道本地,使用加载器调用函数。-- e 为 key 并且是随机变换得(但只有两个值)10、需要将另一个其参数的映射文件复制本地。-- 分析发现ee是一个webpack。--发现一部分是一个标准的加载器写法。--en函数错误,在将en导入本地。--然后把加载器赋值给全局变量。--有参数说明是单文件传入。--搜索参数找到其位置。
js逆向 webpack
01-23
Webpack 是一种模块捆绑器,主要用于 JavaScript 应用程序。它能够处理各种类型的资源并将其转换为目标环境所需的格式[^1]。 #### 使用 Source Maps 进行调试和反编译 Source maps 提供了一种机制,使得可以将压缩...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值