宝塔人机识别验证

最新推荐文章于 2024-02-28 18:19:49 发布
最新推荐文章于 2024-02-28 18:19:49 发布
阅读量3.4k 收藏 10
点赞数 5
文章标签: javascript 前端 typescript 爬虫 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43582101/article/details/126385805
版权
本文详细解析了一种站点使用的人机识别机制,通过分析JavaScript代码和HTTP请求,揭示了识别过程中的关键参数生成逻辑。在本地环境中复现了该流程,并提供了测试代码以获取验证用的cookie。强调了尽管当前key和value是固定的,但可能随时变化,建议动态解析。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

案例地址:https://www.amec-inc.com
案例内容:某站点宝塔人机识别的cookie分析。(案例很简单,清空cookie后刷新页面可触发人机识别)
在这里插入图片描述

通过观察,可以发现在人机识别后多了一个cookie参数 e50222e9c8393a251cb491679ef73186。

在这里插入图片描述

从本地请求返回的代码中进行分析,先查看加载的Js代码。

 <script type="text/javascript" src="/renji_296d626f_32f3b5e96be67b639c72b3614aaac541.js?id=1660718301"></script>

把代码复制到本地后格式化,(不能直接从浏览器页面复制,代码不全),需要从response里面复制。

在这里插入图片描述
复制后的内容如下

在这里插入图片描述

格式化后,观察代码可以发现进入人机识别的逻辑

在这里插入图片描述
那么着重分析这段 c.get
在这里插入图片描述
c.get 是XMLHttpRequest的GET请求,那么再次清空cookie,查看数据包。

在这里插入图片描述

发现在加载完Js后,发起了一次请求,Params中有三个参数

在这里插入图片描述

请求成功后返回了检验cookie。

在这里插入图片描述

接下来看一下请求的params是如何生成的,目前来看,似乎是固定的。

"/a20be899_96a6_40b2_88ba_32f1f75f1552_yanzheng_ip.php?type=96c4e20a0e951f471d32dae103e83881&key=" + key + "&value=" + md5encode(stringtoHex(value)

把代码拿出来运行,发现有报错。
在这里插入图片描述

报错: ReferenceError: window is not defined
补上:window = {}

报错:TypeError: window.addEventListener is not a function
补上:window.addEventListener = function (){}

再次运行成功输出结果。

window = {}
window.addEventListener = function (){}

// 代码过长省略掉
// 此处为从renji.js文件的response中复制出的代码

var key = "32f3b5e96be67b639c72b3614aaac541";

var value = "b20f96e5878b0a47ff8626c8f757e35b";

function stringtoHex(acSTR) {
var val = "";
for (var i = 0; i <= acSTR.length - 1; i++) {
    var str = acSTR.charAt(i);
    var code = str.charCodeAt();
    val += code
}
;return val
};

function md5encode(word) {
return cx.MD5(word).toString()
};

var s="/a20be899_96a6_40b2_88ba_32f1f75f1552_yanzheng_ip.php?type=96c4e20a0e951f471d32dae103e83881&key=" + key + "&value=" + md5encode(stringtoHex(value))
console.log("https://www.amec-inc.com"+s)

流程分析清楚后,在本地复现代码即可。

需要注意的是目前key和value是固定值,所以不需要去js中提取,可直接请求接口获取cookie。

但是说不好什么时间就变了,大家记得动态解析。

测试代码:

import requests
from lxml import etree

headers={
    "Accept":"text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
    "Accept-Encoding":"gzip, deflate",
    "Accept-Language":"zh-CN,zh;q=0.9,en;q=0.8,en-US;q=0.7",
    "Cache-Control":"no-cache",
    "Connection":"keep-alive",
    "Host":"www.amec-inc.com",
    "Pragma":"no-cache",
    "Referer":"http://www.amec-inc.com/index/Lists/index/catid/97.html",
    "Upgrade-Insecure-Requests":"1",
    "User-Agent":"Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36"
}

url = 'https://www.amec-inc.com/index/Lists/index/catid/97.html'
curl = 'https://www.amec-inc.com/a20be899_96a6_40b2_88ba_32f1f75f1552_yanzheng_ip.php?type=96c4e20a0e951f471d32dae103e83881&key=32f3b5e96be67b639c72b3614aaac541&value=3bf9901397de25f7fc8d5c31e2059f5d'

sess = requests.session()
sess.get(curl, headers=headers)
html = sess.get(url, headers=headers).text

e = etree.HTML(html)
print(e.xpath('//div[@class="mews_Eone_ul"]/ul/li/a'))
防火墙添加ip白名单_宝塔防火墙IP白名单添加/导入知道创宇云CDN节点IP段
weixin_39901358的博客
12-20 2887
为了防止错误拦截CDN节点,缙哥哥这里找到了知道创宇云加速的CDN节点IP段(免费版),并一个个手动加入宝塔防火墙IP白名单,为了方便自己方便大家,特意导出一份供大伙使用!如果您的网站有防火墙,建议您将知道创宇云安全所有节点IP集群添加到防火墙白名单中。复制以下代码,点击宝塔防火墙→全局管理→IP白名单设置(管理白名单)→导入,粘贴保存即可。[[[1,255,100,0],[1,255,100,2...
宝塔面板防火墙安装和使用教程详解
yundashi168.com
08-07 4078
宝塔面板防火墙主要有Nginx防火墙,Apache防火墙。你的网站是采用LNMP开发环境安装的,那你就使用Nginx防火墙。如果你网站环境是LAMP搭建的,那就使用Apache防火墙。现在绝大多数网站都是用Nginx(LNMP)搭建的,所以大部分使用Nginx防火墙宝塔面板网站防火墙是基于nginx/apache模块开发的一套应用层防火墙,能有效阻止大部分渗透攻击,且提供高度自由的规则自定义功能,为站点加一道铜墙铁壁。主要目的是从源头阻止站点被挂马的事情发生。目前宝塔官网和官方论坛一直都在使用宝塔网站防火
宝塔面板突然进不去
qq_50637757的博客
06-24 1350
正在宝塔面板里面改一些配置的适合,突然点按钮请求不响应了,然后刷新页面整个宝塔都进不去了,甚至宝塔的登陆界面都进不去。有可能是服务器的防火墙自己开了(至于为什么会自己开,目前我也不知道)关闭防火墙(不同的Linux系统命令可能不一样,具体的自行百度)输入你的实例密码,然后就可以连接到你的服务器了。查看防火墙运行状态,如果输出。进入阿里云工作台,点击概览。关闭完就可以正常访问宝塔了。则表示防火墙正在运行,
安装宝塔跳转手机验证
llllanlovePay的博客
01-12 520
一键干掉宝塔的强制登录 rm -f /www/server/panel/data/bind.pl 亲测可用的。
"机器人防火墙":人机识别在应用安全及风控领域的一点实践
weixin_30270561的博客
12-03 449
美剧WestWorld第二集里有个场景十分有意思:游客来到西部世界公园,遇到了一个漂亮的女接待员,但无法区分对方是否是人类,于是产生了如下对话: Guest: "Are you real?" -- Are you a Human or a Host? Host: "If you can't tell, Does it matter?" 可以说科技尤其人工智能的发展,机器人已经足以模拟人...
html网站如何添加身份验证,怎么给网站增加一个全站身份验证功能? - WordPress教程...
weixin_36249618的博客
06-15 785
通过对网站增加一些密码,我们可以阻止一些不喜欢的人访问自己的网站作为一个有追求的站长,总是希望自己的网站能被各大搜索引擎尽快抓取,以提升自己的曝光,但有些时候,例如网站正在建设中或是做一个特立独行的站长,我做的网站只给自己看,这个时候就需要一个办法来将网站合理的隐藏起来。原文来源:极客公园通过对网站增加一些密码,我们可以阻止一些不受欢迎的人访问自己的网站,增加网站内容的安全性使用方法:将下面代码加...
人机验证码生成与验证:提升系统安全性
12-27 1113
本项目使用 C 语言实现一个简单的人机验证码生成和验证程序。程序生成一个由4位随机字符组成的验证码,并要求用户在控制台中手动输入该验证码。如果用户输入与生成的验证码匹配,则输出"验证成功";否则输出"验证失败"。
宝塔站长助手插件-智能防爬虫,批量生成robots.txt
maoguan121的博客
11-27 1770
github5站长助手 介绍 基于lua开发的开源站长助手, 实现常见的站长功能: 智能防爬虫 批量添加站长统 批量替换网页内容 智能管理网站有效链接 批量生成robots.txt 批量屏蔽网站错误信息 自动推送到百度 更多功能开发中,欢迎联系我们反馈您的需求,QQ群 功能界面 功能详情 反爬防护 对网站进行安全防护,防止网络爬虫恶意请求 主要功能 浏览器验证 智能验证请求客户端是否为浏览器 返回内容编码 在不影响用户使用的情况下,对网站返回的html进行编码输出 屏蔽错误信息 禁止返回错
nginx+lua 实现的免费网站站长工具-防网络爬虫,自动推送百度,批量添加站长统计
maoguan121的博客
11-29 2973
github5站长助手 介绍 基于lua开发的开源站长助手, 实现常见的站长功能: 智能防爬虫 批量添加站长统计 批量替换网页内容 智能管理网站有效链接 批量生成robots.txt 批量屏蔽网站错误信息 自动推送到百度 更多功能开发中,欢迎联系我们反馈您的需求,QQ群 功能界面 功能详情 反爬防护 对网站进行安全防护,防止网络爬虫恶意请求 主要功能 浏览器验证 智能验证请求客户端是否为浏览器 返回内容编码 在不影响用户使用的情况下,对网站返回的html进行编码输出 屏蔽错误信息 禁止返回
Python检查一组数据是否能构成和谐集
Python小屋
08-21 480
封面图片:《Python程序设计实验指导书》(ISBN:9787302525790),董付国,清华大学出版社图书详情(京东):本书81个实验项目可与董付国老师的《Python程序设计(第...
人机验证
weixin_33811961的博客
10-16 939
1 人机验证码 1.1 配置默认的人机验证码功能 Marmot Framework中提供了默认的人机验证码的功能,只要访问/authentication.getCaptchaImage.d就可以获得人机验证码的图片资源。例如: 默认的人机验证处理器是org.marmot.framework.security.captch...
java实现 阿里人机验证后台代码
菜鸟03的博客
09-10 955
private static final String regionId = "cn-hangzhou"; private static final String accessKeyId = "accessKeyId "; private static final String accessKeySecret = "accessKeySecret "; private static final String appKey = "appKey "; /** * 人.
devise使用人机验证
weixin_33862514的博客
04-26 208
目前主流的验证码形式有以下几种: 问答题 照片验证码 图片验证码 第一种比较直接,它主要的问题是需要存储大量的数据,理论上题库越大越难以破解。这里有一个实现humanizer 第二种是利用现实中的照片,人类识别照片很容易,机器却很难。这类方案最出名的还是Google推出的recaptcha服务,recaptcha就是基于它的一个实...
flutter 人机验证实战
热门推荐
weixin_43575775的博客
02-28 2万+
本来想使用flutter 实现一个插件 来调用安卓的ios,写的过程发现 vaptcha 的原生使用的是webview实现的,额 还是使用web版本进行封装把。手势验证码VAPTCHA是基于人工智能和大数据的次世代人机验证解决方案。独有的验证策略及风控模型组合可彻底杜绝刷票、灌水、撞库等恶意攻击行为。接口进行触发是否进行图像验证验证后将结果携带到接口里面去,进行人机验证。弹窗使用的是flutter_smart_dialog 可以自己集成一下。使用的技术(可惜只有web版本的)
如何快速通过浏览器中人机身份验证
清欢无别事
12-19 6663
好久没更新文章里 ,忙于学习,最近想起了之前用过的一个插件,希望对各位有用。今天来看看如何解决人机身份验证,如图所示:这玩意应该都不陌生了,浏览过外网的朋友应该都知道了,国内有些网址也引入了这玩意,验证起来可谓是要了老命了(深有体会)。今天搜索类似的网站的时候不经意间看到了一篇文章,说人机身份验证一次性正确通过的只有8%。今日就来学习一下使用插件直接干掉它。毕竟这玩意曾经让我验证了四次都没通过,一...
MD5不可逆加密的简单尝试
u013604031的博客
11-10 1700
package com.bwjf.webapp.util; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException;   /**    * 将数据转换为16进制形式的加密方法    * @author Administrator    *    */ public class
渗透测试之指纹识别(CMS、CDN、WAF)
hmysn的博客
05-15 6849
目录 什么是指纹识别: 1、cms指纹识别 2、cdn指纹识别: 3、WAF指纹识别: 什么是指纹识别: 通过关键特征,识别出目标的CMS系统、服务器、开发语言、操作系统、CDN、WAF的类别 版本等等。 其中主要识别以下的信息: 1、CMS信息:比如Discuz、织梦、帝国CMS、PHPCMS、ECshop等; 2、前端技术:比如HTML5、jquery、bootstrap、Vue、ace等; 3、开发语言:比如PHP、Java、Ruby、Python、C#等; 4、Web服务器:比
利用阿里云宝塔面板发布人脸识别项目(图解版)
qq_39577076的博客
12-10 410
利用阿里云宝塔面板发布人脸识别项目(图解版),个人纪录,类似可以其他应用到服务器上
宝塔面板未识别服务器
最新发布
03-23
### 宝塔面板未识别服务器的解决方案 当宝塔面板未能正确识别服务器上的磁盘或其他资源时,通常是因为底层文件系统或分区表的变化未被操作系统及时更新至面板中。以下是针对该问题的具体分析与解决办法: #### 一、确认基础环境配置 确保服务器的基础环境已满足宝塔面板的要求: - **检查网络连接**:验证外网和内网面板地址是否可以正常访问[^2]。 ```bash curl http://<公网IP>:8888 ``` - 如果无法访问,请检查防火墙设置或安全组规则,确保开放了`8888`端口。 --- #### 二、排查磁盘扩容后未同步的原因 如果服务器进行了磁盘扩容而宝塔面板未显示最新容量,则需手动调整分区及文件系统大小。具体步骤如下: 1. **安装必要工具** 使用以下命令安装必要的软件包来支持磁盘管理操作: ```bash apt update && apt install -y cloud-guest-utils xfsprogs ``` 2. **罗列当前磁盘信息** 执行以下命令获取磁盘及其分区详情,并记录扩容前的相关参数(如起始扇区位置): ```bash fdisk -l ``` 此处的信息有助于后续判断新旧分区差异[^5]。 3. **扩展逻辑卷** 对于LVM类型的磁盘,先通过`pvdisplay`, `vgdisplay`, 和`lvdisplay`命令了解现有逻辑卷结构;随后利用`resize2fs`或者`xfs_growfs`完成实际空间增长过程: ```bash resize2fs /dev/vda1 # 针对ext4格式化过的根目录所在设备节点为例说明 或者 xfs_growfs /mnt/data # 假设挂载点位于/mnt/data下且采用XFS作为文件系统类型 ``` 4. **刷新宝塔缓存** 登录到SSH终端重新加载服务状态以反映最新的硬件变动情况: ```bash bt restart ``` --- #### 三、处理其他潜在错误 对于某些特殊场景下的异常现象也需要特别关注,比如MongoDB启动失败可能间接影响整个平台功能表现。遇到此类状况时应单独诊断其根本原因并采取相应措施修复之[^3]。 --- ### 总结 综上所述,在面对“宝塔面板无法识别服务器”的情况下,我们应当依次从以下几个方面入手解决问题——首先是核实基本通信条件完好无损;其次是按照标准流程实施物理存储单元尺寸增大后的适配工作;最后还要留意是否存在第三方应用程序干扰因素的存在从而进一步优化整体运行效率。 ```python # 示例代码片段用于演示如何自动化检测磁盘健康度 import os def check_disk_health(disk_path='/'): total, used, free = shutil.disk_usage(disk_path) usage_percent = (used / total) * 100 return f'Disk Usage on {disk_path}: Total={total}, Used={used}, Free={free}, Percent={usage_percent:.2f}%' print(check_disk_health()) ```
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

考古学家lx(李玺)

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值