Python爬虫进阶必备 | 关于某查猫查询参数的加密逻辑分析
关于某查猫查询参数的加密逻辑分析
先上链接:
aHR0cHM6Ly93d3cucWljaGFtYW8uY29tLw==
抓包分析
找到要分析的参数,通过首页的检索栏,输入企业名称关键字点击查询就可以抓到类似下面的两个包。
上图标记出来的mfccode就是需要分析的加密参数
同样的我留意到在上图选中的上一个请求,看着像加密的请求,接下来通过断点来分析是否为加密位置
加密定位
在这个请求上打上XHR 断点
重新发起请求之后就能看到成功断上
通过分析堆栈找到下图这个位置找到了加密的位置
通过断点可以找到加密生成的地方
或者在堆栈的位置找到下图这个位置也可以快速定位到加密的位置
加密分析
找到加密的位置后接下来就要分析加密的逻辑了,打上断点可以看到这里进入了一个VM中
我们复制到美化网站中格式化后分析
在编辑器中可以大致看到这段代码对cookie中的qznewsite.uid字段进行了操作
最后将 dc方法的结果返回给了window.__qzmcf,这个和我在网页上断点的结果相对应
只要能跑通这段 js 就可以完成这段加密了。
经过修改可以正常运行了,主要解决的就是关于 node 中调用 window、document 的问题
但是将结果带入到 Python 代码里并没有如预期一样返回搜索结果,而是返回了登陆的界面,这个结果让我十分费解。
刚刚开始一直以为是我爬虫代码的问题,之后突然想到,这个 js 代码是由对方返回给客户端的,所以这个 js 代码应该动态的。
经过对比,发现mov以及sk的长数组都是动态的,或许还有其他的代码是动态的不过这间接的验证了我的猜测。
所以 js 加密的代码写死调用是没有办法完成破解的,想通这一点,我只要将返回回来的 js 代码动态的调用就可以了。
第一步、将 cookie 传入,替换为第一次访问首页返回的 cookie 即可,不过之后测试这一步貌似没有验证,直接写死也是可以的。
第二步、将服务端返回的动态调用,只要在静态的代码基础上小修一下就行了,例如声明window,document这些操作,之前的文章均有提及
第三步、调用window.__qzmcf这个方法,完成加密参数的生成
完成上面的步骤之后重新调用就可以正确拿到网页的结果了。
总结
有两周没有练习 js 逆向了所以分析的逻辑有点乱,不过大致的分析流程都是类似的,这里一定要说的就是学习 js 真的不吃亏,很多地方都有用到。
这个网站就这个加密参数有点意思,改写 js 的思路值得学习。
今天就到这里,下次再会~
抽奖赠书
今日赠书:《Python 入门到人工智能实战》 《Web 前端性能优化》
赞助商:北京大学出版社
书籍介绍:
《Python 入门到人工智能实战》是针对零基础编程学习者编写的教程。从初学者角度出发,每章以问题为导向,辅以大量的实例,详细地介绍了Python 基础、机器学习,以及最好也最易学习的两个平台PyTorch 和Keras。
《Web前端性能优化》以Web性能优化为重点,深入浅出地介绍了性能优化所涉及到的方方面面知识,详细解答了为何要做性能优化,性能优化又需要从何处着手,性能优化的过程又需要考虑到哪些问题?需要做怎样的权衡?
感谢金主~
Love & Share
[ 完 ]
Python爬虫进阶必备 | 关于某查猫查询参数的加密逻辑分析相关推荐
- Python 爬虫进阶必备 | 关于某免费 IP 发布平台网页加密参数逻辑分析
今日网站 aHR0cHM6Ly93d3cuYmFpYmlhbmlwLmNvbS9ob21lL2ZyZWUuaHRtbA== 之前的一些简单的网站实例,要么改版要么网站都凉了,所以补充一个 eval 混 ...
- Python 爬虫进阶必备 | 某音乐网站查询参数加密逻辑分析(分离式 webpack 的加密代码扣取详解)...
点击上方"咸鱼学Python",选择"加为星标" 第一时间关注Python技术干货! 今日网站 aHR0cDovL3d3dy5rdXdvLmNuL3NlYXJj ...
- Python 爬虫进阶必备 | 关于某租房网站数据加密的分析(送两本 Python 书)
关于某租房网站数据加密的分析 aHR0cHM6Ly93d3cubWFvbWFvenUuY29tLw== 抓包分析 先看看这个网站的首页数据 可以看到首页的 html 是压缩的,但是格式化之后没有看到需 ...
- Python 爬虫进阶必备——某体育网站登录令牌加密分析,赶紧收藏哦!
某体育网站登录令牌加密分析 aHR0cHMlM0EvL3d3dy55YWJvMjU5LmNvbS9sb2dpbg== 这个网站需要分析的是登录时候的 sign令牌 抓包与加密定位 老规矩先用开发者工具 ...
- Python爬虫进阶必备 | X中网密码加密算法分析
0x01. 分析请求 通过输入账号密码抓包查看加密字段 可以见到基本的参数是显而易见的, <font color="red"> username </font&g ...
- Python爬虫进阶必备 | 关于MD5 Hash 的案例分析与总结
今日目标站 aHR0cHM6Ly9tLndjYmNoaW5hLmNvbS9sb2dpbi9vdGhlci1sb2dpbi5odG1s 分析请求 老规矩先抓包分析请求[图1-1]: 图1-1 可以看到提 ...
- Python爬虫进阶必备 | X天下与XX二手房密码加密分析
X天下密码加密分析 本次的受害者: aHR0cHM6Ly9wYXNzcG9ydC5mYW5nLmNvbS8= 分析 通过输入错误密码抓包查看加密字段.[图1-1] 图1-1 直接通过检索pwd:定位加 ...
- Python爬虫进阶必备 | 极X助手加密算法分析
极X助手 aHR0cHM6Ly93d3cuamlkYWlob21lLmNvbS9vZmZpY2VyLyMvbG9naW4= 先抓包看看这次要分析的参数.[图1-1] 图1-1 看到[图1-1]里是没有 ...
- Python爬虫进阶必备 | 某镜像网站分析 - 教程随你出,学会算我输
今日份网站 ( 由读者提供网址 ) aHR0cDovL2FjLnNjbW9yLmNvbS8= 抓包分析与加密定位 先来看看加密的内容密文[图1-1] 图1-1 看过前面文章的朋友就会说,这个和 Bas ...
最新文章
- axi dma direct 模式 总结
- 微信小程序支付html标签,微信小程序/支付宝小程序 WxParse解析富文本(html)代码...
- golang获取文件创建时间,最后访问时间,最后修改时间
- linux系统fuser命令,Linux系统使用Fuser命令的方法
- mysql日志管理_关于MySQL的日志管理(binlog)
- 【Pytorch神经网络实战案例】02 CIFAR-10数据集:Pytorch使用GPU训练CNN模版-方法②
- RabbbitMq Return 消息机制
- Android生命周期帮助类,Android Service类与生命周期详细介绍_Android_脚本之家
- 深入浅出Docker(二):Docker命令行探秘
- IntelliJ IDEA上创建Maven Spring MVC项目
- C语言小案例_OA大典案例摘录【第1374篇】| 异常色块 规则 合集 | 爱普生喷墨打印机...
- 机顶盒系统升级服务器,服务器及其软件升级方法、IP机顶盒及其软件升级方法...
- UE 材质编辑器快捷键
- 统计学习导论(ISLR)(二):统计学习概述
- 网页设计html图片滚动特效,网站设计|滚动特效全面讲解!
- [亲自试过有效] 错误1606。无法访问网络位置
- Oracle10g或Oracle11g完全卸载正确步骤(亲身体验-详细图文教程)
- 智能云720全景云xi统可生成小程序带PC端+新手搭建教程|实时观景
- 洞见2021 中国企业服务年会高清大图来啦~!请查收
- Oracle Study之--Oracle 11g RAC添加节点错误