【Web逆向】某津市公共资源交易平台链接加密分析
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!
【Web逆向】某津市公共资源交易平台链接加密分析
- 声明
- 一、起因
- 二、开始分析
- 三、源码下载地址
声明
本文章中所有内容仅供学习交流,相关链接做了脱敏处理,若有侵权,请联系我立即删除!
一、起因
好奇抓取 某津市公共资源交易平台 的消息列表,感觉是很简单的 get 请求就解决了,但是发现抓取的链接都不可以用。
我们手动去点击 web 端链接,发现链接和网页源代码中的链接有所出入。
网页源代码:http://ggzy.zwfwb.tj.gov.cn/jyxxcgjg/1005226.jhtml
Web 端链接:http://ggzy.zwfwb.tj.gov.cn/jyxxcgjg/seDcdFCWAJcesrD8hqP+Yw.jhtml
那就证明我们点击后,网页源代码的链接到 Web 端链接有经过转换,下面我们来一步步分析一下。
二、开始分析
选中某一条新闻的 a 标签,点击事件监听器,再点击 a 标签后面的文件跟进去看看。
再点击下面的花括号,把代码进行一下格式化,方便我们观看。
我们可以大概看出,点击后,a 标签的 href 元素传值给 hh,判断 href 是否存在或者是 #,如果不是,证明详情链接存在,再进行下面的代码。
我们在下面随便打个断点,重刷新一下,点击一个详情页,步进几步,可以看到
这些都是很正常的网页源代码的链接分解赋值,看来转换为 web 详情页链接是在下面这一段代码:
我们随便复制一段代码去搜索看看,比如:CryptoJS.enc.Utf8.parse 可以知道这段代码大概是 使用CryptoJS进行AES加密,如果对这个加密有兴趣的话参看官网文档:CryptoJS - docs
我们开始分析下面的代码,大概的意思就是先将那串数字(ccc)用 UTF8 加密成数组
再对密钥操作,问题来了,这里的 s 密钥是多少呢,打个断点测试一下:
可以看出密钥 s = ‘qnbyzzwmdgghmcnm’
再将上面的两个数组用 AES 加密:
将用 AES 加密过的 en 转为字符串:
我乍一看这种字符串像是base64加密,再将带有/符号的转为^,因为在url编码中,/符号有特殊意义
再将数据后面的[==]分割掉
最后的字符串就是需要的数据了,我们封装一下测试一下:
经过测试,没毛病,返回的这个字符与真实的一致。
三、源码下载地址
GitHub:某津市公共资源交易平台链接加密分析【麻烦客官点颗Star】
CSDN资源:某津市公共资源交易平台链接加密分析
【Web逆向】某津市公共资源交易平台链接加密分析相关推荐
- Python爬虫进阶--js逆向-某天下与某某二手房密码加密分析
X天下密码加密分析 本次的受害者: aHR0cHM6Ly9wYXNzcG9ydC5mYW5nLmNvbS8= 分析 通过输入错误密码抓包查看加密字段.如下图: 直接通过检索pwd:定位加密位置如下图: ...
- 德州市公共资源交易平台大数据
9月12日至9月18日,德州市公共资源交易平台交易项目41件,交易额7675.22万元.其中政府采购项目35件,交易额4634.41万元,节约资金516.54万元:土地成交4宗,交易额3040.81万 ...
- 实时监控安徽省各个市的公共资源交易平台
本案例是对于监控监控安徽省各个市的公共资源交易平台的,下图为宝清市的网站: 首先先打开网站资讯监控工具,先点击工具打开关键词管理,添加相关的更新关键词.随后点击添加输入相关的关键词,设置重属名关键词组 ...
- 通过爬虫爬取四川省公共资源交易平台上最近的招标信息 --- URLConnection
通过爬虫爬取公共资源交易平台(四川省)最近的招标信息 一:引入JSON的相关的依赖 <dependency> <groupId>net.sf.json-lib&l ...
- 实例探讨公共资源交易平台新亮点
随着信息化技术的发展,以互联网.人工智能.云计算为代表的信息技术掀开"数字中国""数字社会"的现代化图景,六盘水公共资源交易中心应时而变,以数字化转型助力公共资 ...
- Web逆向、软件逆向、安卓逆向、APP逆向,关于网络安全这些你必须懂
逆向工程是网络安全行业里面一项很重要的技术. 先解释下逆向工程是什么. 逆向是一个相对正向而言的解释,相对正向来说,对一个程序来讲,正向就是开发的过程,从0到1. 就是在一个软件诞生的整个生命周期中的 ...
- 高德地图web绘制省、市、区 边界线和面积图
高德地图web绘制省.市.区 边界线和面积图 高德地图官方API 图例 总结要点 申请高德地图的key 用于后边web调用 高德地图key申请 引用 <script type="tex ...
- 【Android 逆向】整体加固脱壳 ( DEX 优化流程分析 | dvmDexFileOpenPartial | dexFileParse | 脱壳点 | 获取 dex 文件在内存中的首地址 )
文章目录 前言 一.DexPrepare.cpp 中 rewriteDex() 方法分析 二.DvmDex.cpp 中 dvmDexFileOpenPartial() 方法分析 ( 脱壳点 ) 三.D ...
- web端实现rtsp实时推流视频播放可行性方案分析
1.webrtc 1.1 什么是WebRTC 百度概念:WebRTC (Web Real-Time Communications) 是一项实时通讯技术,它允许网络应用或者站点,在不借助中间媒介的情况下 ...
最新文章
- 九、表达式求值(1)
- CentOS7 安装NFS SSH免密码登陆
- gnutls_handshake() failed: Illegal parameter
- 汽车电子嵌入式技术篇(一) -CRC-8和CRC-16算法
- 边缘计算精华问答 | 边缘计算有哪些应用场景?
- android bu,Android请求权限之不再询问或禁止不再提示
- openGauss与PostgreSQL分区策略语法测试
- python 小知识总结汇整
- 手把手刷数据结构-1.手把手刷链表算法
- 中等职业学校计算机类教学用书,中等职业学校计算机技术专业教学用书:二维动画制作(Flash CS3)...
- 计算平均成绩 (10分)
- enumerate() 函数的解释
- asp.net之购物车
- jsp文字上下居中显示_怎么把jsp的文字居中
- windows驱动开发5:WDK Demo:avstream avscamera
- [原创]-Day5.数据可视化之Pyecharts
- 【LAS 】 SRS 开启ATC功能 时间戳测试
- 尚学堂Java300答案解析 第三章
- Oracle 报错ORA-01747
- zabbix2.0 监控华为Quidway S9306交换机实例[完整]