【2022-01-06】JS逆向之QCC请求头参数
提示:文章仅供参考,禁止用于非法活动
文章目录
- 前言
- 一、页面分析
- 二、参数定位
- 三、加密方式
- 四、结果
前言
目标网站:aHR0cHM6Ly93d3cucWNjLmNvbS9jYmFzZS82YmM3ZTdjY2RiNzU1MzkxNjUxMzE2YTAyMjdjMDU5Yi5odG1s
一、页面分析
进到网站后,点下基本信息,让后抓包,看头,里面有个参数是不一样呢
二、参数定位
这里参数都不一样,那就不能直接搜参数了,这咋搞呢,下xhr断点?可以试试熬
一直到这后,是个异步的,得要单步走咯
这得跟半天呀,不太行,虽然也是找到了加密的位置,但是这个方法太费时间了
然后换个思路,我们要找headers里的某个参数,headers是个字典,字典赋值方式基本是
1:headers['xx'] = 'x'
2:headers.xx = 'x'
所以可以通过这两个来全局搜索参数headers[或者 headers.
这里使用headers[搜索就很容易定位到加密的位置
三、加密方式
先看下加密结果,这个n就是headers的key ,r就是value
分别掉了i.default跟s.default函数
先来看i.default,里面又掉了两个函数,先不管,看看结果,这个最后截取了10:20间的字符
看看完整的,很像sha512加密,然后又传了key,那么就是hmacsha512,既然有了猜想,直接找个在线加密网页测一下
结果对上了,然后这个秘钥是经过s.default(i.default里的)加密的,直接扣这个函数即可
i.default函数搞定后,再来看s.default
咋搞的,咋跟上面的hmacsha512这么像呢,不管他, 直接看看,有点对不上号
跟进去方法看看搞了啥,好像是拼接了下参数,然后又掉了i.default跟s.default,挺离谱的,外面的函数名跟里面的一样
类型也是跟hmacsha512差不多,直接验证i.default,拿下!
然后这个方法里的s.default跟上面那个s.default是一样的函数,扣一次即可
四、结果
把扣来的函数都整理好后,看看效果,拿下哈~!
【2022-01-06】JS逆向之QCC请求头参数相关推荐
- OkHttp如何移除User-Agent,Accept-Encoding等框架自动添加的请求头参数
使用OkHttp网络框架在进行网络请求时会发现,传到后台的请求头中会比我们自己添加的参数多出几个额外参数.查看源码会发现 private Response getResponseWithInterce ...
- swagger ui 怎么输入对象_java swagger ui 添加header请求头参数的方法
我用到的swagger 主要有三款产品,swagger editor,swagger ui 和swagger codegen. swagger editor:主要是一个本地客户端,用来自己添加api, ...
- Z变换----2022/01/06
题目描述 z字型变换 自己一开始的思考有所偏差,一直在考虑行和数的位置的关系,导致将问题复杂化,这里涉及到字符串特定的位置的字符的问题,过于复杂化了.但是还是记录一下自己的思考.以下为java代码实现 ...
- python爬虫js逆向加密,Web爬虫处理参数js加密、js混淆、js逆向
中国空气质量在线监测平台(https://www.aqistudy.cn/html/city_detail.html)在众多的练习中,关闭了前台数据信息的展示,也就是说现在网页是这样的: 但我们主要学 ...
- js逆向-试客联盟登陆参数
声明 本文仅供学习参考,请勿用于其他途径,违者后果自负! 前言 目标网站:aHR0cDovL2xvZ2luLnNoaWtlZS5jb20v 接口:aHR0cDovL2xvZ2luLnNoaWtlZS5 ...
- 唯品会app请求头参数authorization的逆向分析与算法还原
声明:本文内容仅供学习交流,严禁用于商业用途,否则由此产生的一切后果均与作者无关.如有冒犯,请联系我删除. 一.说明 app版本: v7.45.6 下载地址:aHR0cHM6Ly93d3cud2FuZ ...
- 知乎爬虫请求头参数x-zse-96(代码可直接运行)
参考了好几篇文章,包含代码并且可运行的有点难找,这里推荐两篇: 锦楠:2021年6月知乎指定问题信息爬取 & x-zse-96 2.0版本加密破解分析 爬虫破解反扒思路 本文代码就是复制自锦楠 ...
- 怎样在接口地址中添加请求头参数_jmeter5.3做soap接口性能测试配置
前言 soap的格式在现有的测试中基本很难遇到了,小编也是第一次接触soap接口,在解决问题之前,也是想破脑袋,所以发表出来希望大家能少踩一点坑.首先在操作jmeter之前,我们需要将soap的报文. ...
- OKHttp请求访问-同步-JSON-添加请求头参数
//定义请求体参数 ZteRequestSelectUserBo zteRequestSelectUserBo=new ZteRequestSelectUserBo(); zteRequestSele ...
- 第39篇-某问财请求头参数hexin-v分析【2022-03-16】
提前声明:该专栏涉及的所有案例均为学习使用,如有侵权,请联系本人删帖! 文章目录 一.前言 二.分析 三.抠取代码 四.完整代码 一.前言 今天做一个稍微有点难度的分析 网站: aHR0cDovL3d ...
最新文章
- selenium+Headless Chrome实现不弹出浏览器自动化登录
- 基于StringTemplate的视图
- Pycharm使用技巧(转载)
- vscode里好用的html插件_知乎口碑最好的六大PPT插件分享!用好插件,效率倍增...
- opengles 顶点数组 android,OpenGLES顶点属性、顶点数组和缓冲区对象
- viewobject_只读ViewObject和声明性SQL模式
- 重启crontab服务
- 关于Object[]数组强转成Integer[]类型的数组.
- linux如何复制代码不乱码,网上复制代码要小心,很可能会带入乱码字符
- java.lang.ClassCastException: com.sun.proxy.$Proxy7 cannot be cast to comms.service.message
- 智能家居的新想法(2022)
- 计算机丢失msvcr100.dll解决办法,计算机丢失MSVCR100.dll
- 西门子840d备份到u盘_西门子840D数控系统备份及恢复方法(三)
- 4418GPIO口调用过程
- 模仿努比亚网站三(内容区域)
- 35岁-45岁的年龄,找不到工作,该如何规划自己的职场下半场?
- 11步,教你创建深度学习聊天机器人
- 南卡Runner Pro4发布!「響」科技令其问鼎全球最强骨传导耳机旗舰机皇!
- P21图像边缘发现(锐化):二阶导
- execl筛选去重_Excel中表格筛选去重复项的操作方法