javascript逆向入门级别实战--某小网站登录密码加密分析
仅供学习,切勿用于非法用途!
难度
非常低
网站(请自行base64解码)
aHR0cCUzQS8vd3d3LnBpZ2FpLm9yZy8=
抓包分析
按F12打开浏览器开发者工具,选到network,准备抓包工作。
输入账号密码,点击登录,分析数据包
找到登录发送的数据包index.php?a=login和里面的加密字段password_encrypt
找加密处
登录请求不是xhr类型,所以不能下xhr断点,我们可以通过查看元素绑定的监听事件来入手。
点击查看登录这个按钮的click监听事件的js代码,跳转到login这个函数。
大致阅读一下,找到比较可疑的地方
然后我们在
$('#password_encrypt').val( encrypt(psw) );
这一行打断点,重新登录看看,等待运行到断点处,发现encrypt(psw)就是生成了加密的地方,传入的psw就是原密码
扣js代码
**现在我们知道加密的过程先是把原密码传入encrypt()这个函数,然后就会返回加密结果,所以我们要先扣出encrypt(),步骤看动图。 **
加密函数encrypt
function encrypt( str) {var encrypt = new JSEncrypt();encrypt.setPublicKey( 'MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCYlII16dSwQErDgjIl8BzU4NEL2IzvyWiLNxie3mkpw6eseF/iUVb3bisAFH+lzgnrv/mBOKUMkbqtW2+8en/6r0hj6ctvGT+UOtg4P5LF/jxkbE+cA2fVJK2RaBzeEEbrKOvauVnGkEOvPVl1/NK4NgeN6aSPIK9ECfXcjlEOHwIDAQAB');var encrypted = encrypt.encrypt( str );return encrypted;
}
复制这个函数,新开一个浏览器窗口或者无痕模式,新建一个脚本,粘上代码运行看看,发现报错JSEncrypt is not defined,位置在第二行,说明抠出来的js还缺少JSEncrypt这个对象。
切换到实战网页,我们在encrypt()函数第二行下一个断点,把刚下的第一个断点取消,刷新网页重新登录,就会运行到第二个断点处,然后把鼠标放到JSEncrypt上面,就可以看到其实JSEncrypt就是t(t)
点击t(t)看这个函数怎么实现,发现是写在一个单独的jsencrypt.js的文件,遇到这种带有加密字眼且比较规范的文件名,这种文件多半都只写了加密的,所以可以直接把整个文件内容复制过去,省时省力。下拉看这个文件一共不到三千行代码,直接把整个jsencrypt.js文件的内容复制,放在抠出来的粘贴在申明encrypt()函数上面。
在新浏览器窗口运行扣出来的代码看看,控制台就打印出加密结果了。
仅供学习,切勿用于非法用途!
如果有不懂或者我讲解不详细的地方,欢迎留言交流。
javascript逆向入门级别实战--某小网站登录密码加密分析相关推荐
- Python 爬虫进阶必备——某体育网站登录令牌加密分析,赶紧收藏哦!
某体育网站登录令牌加密分析 aHR0cHMlM0EvL3d3dy55YWJvMjU5LmNvbS9sb2dpbg== 这个网站需要分析的是登录时候的 sign令牌 抓包与加密定位 老规矩先用开发者工具 ...
- 忘记网站登录密码不要慌,一招拯救你
忘记网站登录密码不要慌,一招拯救你 有些朋友可能曾经有过这样的痛苦,忘记某个网站的密码,只好找回密码,但操作比较麻烦,更难过的是可能有些网站不能找回密码就更惨,只能一遍一遍的尝试,直到...放弃这回教 ...
- Python脚本猜解网站登录密码(带token验证)
目录: 关键代码解释 设置请求头 get_token函数获取token值 完整代码: 运行结果: 上一篇文章:一个简单的Python暴力破解网站登录密码脚本 测试靶机为Pikachu漏洞练习平台暴力破 ...
- Python破解网站登录密码脚本
这篇文章主要为大家介绍一个简单的Python暴力破解网站登录密码脚本,文中的过程讲解详细,对我们学习Python有一定的帮助,感兴趣的可以学习一下.编程学习资料点击领取 目录 测试靶机为DVWA,适合 ...
- JavaScript 逆向爬取实战
" 阅读本文大概需要 25 分钟. " 在上一节总结一些网站加密和混淆技术中,我们介绍了网页防护技术,包括接口加密和 JavaScript 压缩.加密和混淆.这就引出了一个问题,如 ...
- 【JavaScript 逆向】知乎 jsvmp,x-zse-96 参数 3.0 分析
前言 现在一些网站对 JavaScript 代码采取了一定的保护措施,比如变量名混淆.执行逻辑混淆.反调试.核心逻辑加密等,有的还对数据接口进行了加密,这次案例是通过补环境过 jsvmp. 声明 本文 ...
- 【JS 逆向百例】Ether Rock 空投接口 AES256 加密分析
关注微信公众号:K哥爬虫,持续分享爬虫进阶.JS/安卓逆向等技术干货! 声明 本文章中所有内容仅供学习交流,抓包内容.敏感网址.数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后 ...
- jsp登录密码加密_[源码和文档分享]基于JSP和MYSQL数据库的在线购物网站的设计与实现...
1 系统概述 1.1 系统描述 IShopping购物网站是一个在线的百货商店,用户可以通过网络购买我们的商品,其基本功能包括用户的注册.登录,浏览所有商品,浏览分类商品,查看商品的详细信息,购买商品 ...
- 微信小程序安卓密码加密的小黑点太大
最近在写一个小程序,身份证和密码需要用小眼睛来控制加密与展示,但是安卓手机的加码黑点太大,输入身份证太长,输入框长度不够,也查了官方资料,没有找到,就自己简略的想了一个比较笨的办法,如果大家有更好的方 ...
最新文章
- datagridview java_仅更新datagridview中的一个单元格
- B. 重载技术(overloading)
- 字节跳动第三轮技术面,Java篇
- Linux网络端口命名规则,一致性网络设备命名
- PaddleOCR问题汇总(1)
- Tensorflow 中添加正则化项
- oracle凭证编号,R12 AP模块的发票过账后如何关联对应的凭证编号
- 第二课 了解编程环境
- 三插头内部结构图_三孔插座内部结构
- PHP 实现微信登录
- ppt怎么加注解文字_ppt怎么添加备注文字?
- CentOS7图形界面和命令行界面的切换快捷键
- android 人脸识别边框_android自定义Arcface人脸识别框/人脸抓拍框/人脸追踪框
- inode 耗尽故障处理办法
- 1024程序员狂欢节,来领当当大额优惠券
- windows下安装启动rocketmq可视化界面
- MDK的编译过程及文件类型全解——(二)
- A fast surrogate-assisted PSO algorithm for computationally expensive proble 阅读笔记
- 关于如何安装linux系统
- 异常检测——Anomaly Detection
热门文章
- core data [Pro.Core.Data.for.iOS(2nd)].Michael.Privat pdf迅雷高速下载
- 掌财社:三连阴洗盘是什么意思?
- 用打麻将的心态做事业
- 中国计算机学会培训会议,CCF专委培训研讨会在北京举行
- LeetCode | Subsets I,II
- 初中计算机知识点结构图,初中信息技术总复习第一课 构建知识框架
- 浅谈 Linux 系统中的 SNMP Trap 【转】
- 国产嵌入式操作系统任重道远,未来着实可期!
- PIC单片机静态库文件生成
- 联通电视盒子4K电影专区看4k电影时,只有声音没有画面