声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!

【Web逆向】某津市公共资源交易平台链接加密分析

  • 声明
  • 一、起因
  • 二、开始分析
  • 三、源码下载地址

声明

本文章中所有内容仅供学习交流,相关链接做了脱敏处理,若有侵权,请联系我立即删除!

一、起因

好奇抓取 某津市公共资源交易平台 的消息列表,感觉是很简单的 get 请求就解决了,但是发现抓取的链接都不可以用。



我们手动去点击 web 端链接,发现链接和网页源代码中的链接有所出入。

网页源代码:http://ggzy.zwfwb.tj.gov.cn/jyxxcgjg/1005226.jhtml
Web 端链接:http://ggzy.zwfwb.tj.gov.cn/jyxxcgjg/seDcdFCWAJcesrD8hqP+Yw.jhtml


那就证明我们点击后,网页源代码的链接到 Web 端链接有经过转换,下面我们来一步步分析一下。

二、开始分析

选中某一条新闻的 a 标签,点击事件监听器,再点击 a 标签后面的文件跟进去看看。


再点击下面的花括号,把代码进行一下格式化,方便我们观看。


我们可以大概看出,点击后,a 标签的 href 元素传值给 hh,判断 href 是否存在或者是 #,如果不是,证明详情链接存在,再进行下面的代码。

我们在下面随便打个断点,重刷新一下,点击一个详情页,步进几步,可以看到


这些都是很正常的网页源代码的链接分解赋值,看来转换为 web 详情页链接是在下面这一段代码:


我们随便复制一段代码去搜索看看,比如:CryptoJS.enc.Utf8.parse 可以知道这段代码大概是 使用CryptoJS进行AES加密,如果对这个加密有兴趣的话参看官网文档:CryptoJS - docs

我们开始分析下面的代码,大概的意思就是先将那串数字(ccc)用 UTF8 加密成数组

再对密钥操作,问题来了,这里的 s 密钥是多少呢,打个断点测试一下:

可以看出密钥 s = ‘qnbyzzwmdgghmcnm’


再将上面的两个数组用 AES 加密:


将用 AES 加密过的 en 转为字符串:


我乍一看这种字符串像是base64加密,再将带有/符号的转为^,因为在url编码中,/符号有特殊意义


再将数据后面的[==]分割掉

最后的字符串就是需要的数据了,我们封装一下测试一下:

经过测试,没毛病,返回的这个字符与真实的一致。

三、源码下载地址

GitHub:某津市公共资源交易平台链接加密分析【麻烦客官点颗Star】

CSDN资源:某津市公共资源交易平台链接加密分析

【Web逆向】某津市公共资源交易平台链接加密分析相关推荐

  1. Python爬虫进阶--js逆向-某天下与某某二手房密码加密分析

    X天下密码加密分析 本次的受害者: aHR0cHM6Ly9wYXNzcG9ydC5mYW5nLmNvbS8= 分析 通过输入错误密码抓包查看加密字段.如下图: 直接通过检索pwd:定位加密位置如下图: ...

  2. 德州市公共资源交易平台大数据

    9月12日至9月18日,德州市公共资源交易平台交易项目41件,交易额7675.22万元.其中政府采购项目35件,交易额4634.41万元,节约资金516.54万元:土地成交4宗,交易额3040.81万 ...

  3. 实时监控安徽省各个市的公共资源交易平台

    本案例是对于监控监控安徽省各个市的公共资源交易平台的,下图为宝清市的网站: 首先先打开网站资讯监控工具,先点击工具打开关键词管理,添加相关的更新关键词.随后点击添加输入相关的关键词,设置重属名关键词组 ...

  4. 通过爬虫爬取四川省公共资源交易平台上最近的招标信息 --- URLConnection

    通过爬虫爬取公共资源交易平台(四川省)最近的招标信息 一:引入JSON的相关的依赖 <dependency>        <groupId>net.sf.json-lib&l ...

  5. 实例探讨公共资源交易平台新亮点

    随着信息化技术的发展,以互联网.人工智能.云计算为代表的信息技术掀开"数字中国""数字社会"的现代化图景,六盘水公共资源交易中心应时而变,以数字化转型助力公共资 ...

  6. Web逆向、软件逆向、安卓逆向、APP逆向,关于网络安全这些你必须懂

    逆向工程是网络安全行业里面一项很重要的技术. 先解释下逆向工程是什么. 逆向是一个相对正向而言的解释,相对正向来说,对一个程序来讲,正向就是开发的过程,从0到1. 就是在一个软件诞生的整个生命周期中的 ...

  7. 高德地图web绘制省、市、区 边界线和面积图

    高德地图web绘制省.市.区 边界线和面积图 高德地图官方API 图例 总结要点 申请高德地图的key 用于后边web调用 高德地图key申请 引用 <script type="tex ...

  8. 【Android 逆向】整体加固脱壳 ( DEX 优化流程分析 | dvmDexFileOpenPartial | dexFileParse | 脱壳点 | 获取 dex 文件在内存中的首地址 )

    文章目录 前言 一.DexPrepare.cpp 中 rewriteDex() 方法分析 二.DvmDex.cpp 中 dvmDexFileOpenPartial() 方法分析 ( 脱壳点 ) 三.D ...

  9. web端实现rtsp实时推流视频播放可行性方案分析

    1.webrtc 1.1 什么是WebRTC 百度概念:WebRTC (Web Real-Time Communications) 是一项实时通讯技术,它允许网络应用或者站点,在不借助中间媒介的情况下 ...

最新文章

  1. 九、表达式求值(1)
  2. CentOS7 安装NFS SSH免密码登陆
  3. gnutls_handshake() failed: Illegal parameter
  4. 汽车电子嵌入式技术篇(一) -CRC-8和CRC-16算法
  5. 边缘计算精华问答 | 边缘计算有哪些应用场景?
  6. android bu,Android请求权限之不再询问或禁止不再提示
  7. openGauss与PostgreSQL分区策略语法测试
  8. python 小知识总结汇整
  9. 手把手刷数据结构-1.手把手刷链表算法
  10. 中等职业学校计算机类教学用书,中等职业学校计算机技术专业教学用书:二维动画制作(Flash CS3)...
  11. 计算平均成绩 (10分)
  12. enumerate() 函数的解释
  13. asp.net之购物车
  14. jsp文字上下居中显示_怎么把jsp的文字居中
  15. windows驱动开发5:WDK Demo:avstream avscamera
  16. [原创]-Day5.数据可视化之Pyecharts
  17. 【LAS 】 SRS 开启ATC功能 时间戳测试
  18. 尚学堂Java300答案解析 第三章
  19. Oracle 报错ORA-01747
  20. zabbix2.0 监控华为Quidway S9306交换机实例[完整]

热门文章

  1. BZOJ 1862: [Zjoi2006]GameZ游戏排名系统 Splay
  2. 「开源人说」第二期重磅上线!一起走进《从开源中来,到开源中去》
  3. 形式感+——网页视觉设计创意拓展与快速表现
  4. 1-8-5 - 定期存款利息计算器
  5. GeoTools入门(四)-- 创建shape要素
  6. 个人形象设计之服装配色技巧
  7. 圣诞头像生成2021年版
  8. Spring Cloud Alibaba系列之快速开始搭建Nacos环境
  9. 2023国际管理会计教育联盟发展论坛在沪成功召开
  10. SnagIt - 版本历史