Python爬虫进阶必备 | 关于某查猫查询参数的加密逻辑分析
关于某查猫查询参数的加密逻辑分析
先上链接:
aHR0cHM6Ly93d3cucWljaGFtYW8uY29tLw==
抓包分析
找到要分析的参数,通过首页的检索栏,输入企业名称关键字点击查询就可以抓到类似下面的两个包。
上图标记出来的mfccode
就是需要分析的加密参数
同样的我留意到在上图选中的上一个请求,看着像加密的请求,接下来通过断点来分析是否为加密位置
加密定位
在这个请求上打上XHR 断点
重新发起请求之后就能看到成功断上
通过分析堆栈找到下图这个位置找到了加密的位置
通过断点可以找到加密生成的地方
或者在堆栈的位置找到下图这个位置也可以快速定位到加密的位置
加密分析
找到加密的位置后接下来就要分析加密的逻辑了,打上断点可以看到这里进入了一个VM
中
我们复制到美化网站中格式化后分析
在编辑器中可以大致看到这段代码对cookie
中的qznewsite.uid
字段进行了操作
最后将 dc
方法的结果返回给了window.__qzmcf
,这个和我在网页上断点的结果相对应
只要能跑通这段 js 就可以完成这段加密了。
经过修改可以正常运行了,主要解决的就是关于 node 中调用 window、document 的问题
但是将结果带入到 Python 代码里并没有如预期一样返回搜索结果,而是返回了登陆的界面,这个结果让我十分费解。
刚刚开始一直以为是我爬虫代码的问题,之后突然想到,这个 js 代码是由对方返回给客户端的,所以这个 js 代码应该动态的。
经过对比,发现mov
以及sk
的长数组都是动态的,或许还有其他的代码是动态的不过这间接的验证了我的猜测。
所以 js 加密的代码写死调用是没有办法完成破解的,想通这一点,我只要将返回回来的 js 代码动态的调用就可以了。
第一步、将 cookie 传入,替换为第一次访问首页返回的 cookie 即可,不过之后测试这一步貌似没有验证,直接写死也是可以的。
第二步、将服务端返回的动态调用,只要在静态的代码基础上小修一下就行了,例如声明window
,document
这些操作,之前的文章均有提及
第三步、调用window.__qzmcf
这个方法,完成加密参数的生成
完成上面的步骤之后重新调用就可以正确拿到网页的结果了。
总结
有两周没有练习 js 逆向了所以分析的逻辑有点乱,不过大致的分析流程都是类似的,这里一定要说的就是学习 js 真的不吃亏,很多地方都有用到。
这个网站就这个加密参数有点意思,改写 js 的思路值得学习。
今天就到这里,下次再会~
抽奖赠书
今日赠书:《Python 入门到人工智能实战》 《Web 前端性能优化》
赞助商:北京大学出版社
书籍介绍:
《Python 入门到人工智能实战》是针对零基础编程学习者编写的教程。从初学者角度出发,每章以问题为导向,辅以大量的实例,详细地介绍了Python 基础、机器学习,以及最好也最易学习的两个平台PyTorch 和Keras。
《Web前端性能优化》以Web性能优化为重点,深入浅出地介绍了性能优化所涉及到的方方面面知识,详细解答了为何要做性能优化,性能优化又需要从何处着手,性能优化的过程又需要考虑到哪些问题?需要做怎样的权衡?
感谢金主~
Love & Share
[ 完 ]
Python爬虫进阶必备 | 关于某查猫查询参数的加密逻辑分析相关推荐
- Python 爬虫进阶必备 | 关于某免费 IP 发布平台网页加密参数逻辑分析
今日网站 aHR0cHM6Ly93d3cuYmFpYmlhbmlwLmNvbS9ob21lL2ZyZWUuaHRtbA== 之前的一些简单的网站实例,要么改版要么网站都凉了,所以补充一个 eval 混 ...
- Python 爬虫进阶必备 | 某音乐网站查询参数加密逻辑分析(分离式 webpack 的加密代码扣取详解)...
点击上方"咸鱼学Python",选择"加为星标" 第一时间关注Python技术干货! 今日网站 aHR0cDovL3d3dy5rdXdvLmNuL3NlYXJj ...
- Python 爬虫进阶必备 | 关于某租房网站数据加密的分析(送两本 Python 书)
关于某租房网站数据加密的分析 aHR0cHM6Ly93d3cubWFvbWFvenUuY29tLw== 抓包分析 先看看这个网站的首页数据 可以看到首页的 html 是压缩的,但是格式化之后没有看到需 ...
- Python 爬虫进阶必备——某体育网站登录令牌加密分析,赶紧收藏哦!
某体育网站登录令牌加密分析 aHR0cHMlM0EvL3d3dy55YWJvMjU5LmNvbS9sb2dpbg== 这个网站需要分析的是登录时候的 sign令牌 抓包与加密定位 老规矩先用开发者工具 ...
- Python爬虫进阶必备 | X中网密码加密算法分析
0x01. 分析请求 通过输入账号密码抓包查看加密字段 可以见到基本的参数是显而易见的, <font color="red"> username </font&g ...
- Python爬虫进阶必备 | 关于MD5 Hash 的案例分析与总结
今日目标站 aHR0cHM6Ly9tLndjYmNoaW5hLmNvbS9sb2dpbi9vdGhlci1sb2dpbi5odG1s 分析请求 老规矩先抓包分析请求[图1-1]: 图1-1 可以看到提 ...
- Python爬虫进阶必备 | X天下与XX二手房密码加密分析
X天下密码加密分析 本次的受害者: aHR0cHM6Ly9wYXNzcG9ydC5mYW5nLmNvbS8= 分析 通过输入错误密码抓包查看加密字段.[图1-1] 图1-1 直接通过检索pwd:定位加 ...
- Python爬虫进阶必备 | 极X助手加密算法分析
极X助手 aHR0cHM6Ly93d3cuamlkYWlob21lLmNvbS9vZmZpY2VyLyMvbG9naW4= 先抓包看看这次要分析的参数.[图1-1] 图1-1 看到[图1-1]里是没有 ...
- Python爬虫进阶必备 | 某镜像网站分析 - 教程随你出,学会算我输
今日份网站 ( 由读者提供网址 ) aHR0cDovL2FjLnNjbW9yLmNvbS8= 抓包分析与加密定位 先来看看加密的内容密文[图1-1] 图1-1 看过前面文章的朋友就会说,这个和 Bas ...
最新文章
- axi dma direct 模式 总结
- 微信小程序支付html标签,微信小程序/支付宝小程序 WxParse解析富文本(html)代码...
- golang获取文件创建时间,最后访问时间,最后修改时间
- linux系统fuser命令,Linux系统使用Fuser命令的方法
- mysql日志管理_关于MySQL的日志管理(binlog)
- 【Pytorch神经网络实战案例】02 CIFAR-10数据集:Pytorch使用GPU训练CNN模版-方法②
- RabbbitMq Return 消息机制
- Android生命周期帮助类,Android Service类与生命周期详细介绍_Android_脚本之家
- 深入浅出Docker(二):Docker命令行探秘
- IntelliJ IDEA上创建Maven Spring MVC项目
- C语言小案例_OA大典案例摘录【第1374篇】| 异常色块 规则 合集 | 爱普生喷墨打印机...
- 机顶盒系统升级服务器,服务器及其软件升级方法、IP机顶盒及其软件升级方法...
- UE 材质编辑器快捷键
- 统计学习导论(ISLR)(二):统计学习概述
- 网页设计html图片滚动特效,网站设计|滚动特效全面讲解!
- [亲自试过有效] 错误1606。无法访问网络位置
- Oracle10g或Oracle11g完全卸载正确步骤(亲身体验-详细图文教程)
- 智能云720全景云xi统可生成小程序带PC端+新手搭建教程|实时观景
- 洞见2021 中国企业服务年会高清大图来啦~!请查收
- Oracle Study之--Oracle 11g RAC添加节点错误
热门文章
- jelly_Android Jelly Bean通知教程
- vmware给虚拟机扩容时,扩展按钮是灰色的解决办法
- 元宇宙迷思:不管地球达到了怎样的繁荣,那些没有太空航行的未来都是暗淡的
- {渡一教育}成哥HTML课程干货笔记整--6
- 哪个邮箱安全性好?电子邮箱注册怎么申请163邮箱?
- mysql 插入秒_教你88秒插入1000万条数据到mysql数据库表,IG牛逼
- Win11系统添加信任软件方法分享
- 我的世界android制作教程,我的世界怎么去月球-月球传送门制作方法
- 如何在WordPress主机上搭建网站?
- 中科磐云 隐写术应用