【2022-01-11】JS逆向之拉钩登入(上)
文章仅供参考,禁止用于非法途径
文章目录
- 前言
- 一、页面分析
- 二、加解密定位和分析
- 总结
前言
目标网站:aHR0cHM6Ly93d3cubGFnb3UuY29tLw==
一、页面分析
先来看下登入的接口吧,login.json这个,提交数据是加密的,看这样子一般都是AES了
(PS:前面流程会有jy无感+有感套餐,这里就略过,只讲数据的加解密)
二、加解密定位和分析
既然判断出是AES,直接全局搜AES,然后每个下断点即可,然后重新点下登入,出发断电,这里可以看到入口参数t
,然而t
一看就不是明文,里面还有个code,通过堆栈网上跟一下
在这里生成的code,是个sha256的加密,再上个断电,重新出发
里面三个参数 e、r、t
t = "".concat(JSON.stringify(e)).concat(Vt(r)).concat(Lt(t))
直接搜md5即可定位到密码加密位置,方法为一次md5,一次加盐md5
然后拼接一下,再搞个sha256加密一下就可以了
后面再组合一个字典,调用Rt
方法,先进去看看
就是之前熟悉的AES,找来即可,然后这有个aeskey,看他咋来
进到zt方法后看到了这个是从session缓存中取得,先不管他,写死再说
结果也是ok的
然后去看了下接口的请求参数,确实不一样的,糟糕了,看来不是这个接口奥
请求参数的加密位置是在这里哈,也是走的aes,没走SHA256,但是这个SHA256用在其他地方,也是必须的,只是提前走一下
本地加密后,再跟网页的对比一下,这下是对的了
然后就是看相应数据的解密,可以直接找到这里,同样改写下即可
解出来数据就没问题了
然后回过头来,我们看这个aeskey,由于是在缓存里的,我们先把浏览器缓存清了,重新抓包看看
这个key其实是32位的随机数,通过rsa加密后,经过这个接口进行激活
而返回数据里的secretKeyValue
也是我们请求头里面会校验的X-SS-REQ-HEADER
总结
由于时间关系快下班了哈,先讲到这,下篇继续
【2022-01-11】JS逆向之拉钩登入(上)相关推荐
- JS 实现跨域模拟登入
运用场景: 我想在我的系统(A系统)上用ifram嵌入一个他人跨域的系统(B系统),且该系统需要进行登入验证. <ifram>很容易就实现了,可是这时候,页面地址立马发生跳转到B系统的登入 ...
- python 下载拉钩教育AES加密视频
说在前面: 下面我们要爬取的是拉钩教育课程上面的视频,课程已经购买过了.但是由于没有提供缓冲和下载视频的功能,所以就打算把视频通过python给下载下来,以下的文章都是参考博友的,自己总结下并学习学习 ...
- js逆向加密五邑大学教务系统密码AES实现模拟登录(仅供参考)
最近下班无聊,就看了一下之前写的教务系统模拟登录代码(python-爬虫),整体逻辑大概自己总结了一下: 1.请求验证码图片. 2.对输入的密码进行加密. 3.封装账号,密码,验证码,发送post请求 ...
- 爬取拉钩 破解拉钩反爬机制
破解拉钩反爬 实现爬取内容 拉钩的反爬很厉害 没毛病 老铁!! 我们现在来研究一下拉钩的请求头先 导入的有一个ip池(get_ip) ip池可以不写 用自己的也不会被封掉还有我是第一次写这些文章 给个 ...
- 手把手操作JS逆向爬虫入门(一)
本文爬取的网站如下(可以找解密工具解码) aHR0cHM6Ly9uZXdyYW5rLmNuLw== 爬取的内容为网站的资讯情报版块的新闻资讯 鼠标点击翻页,在开发者工具中查看请求包,很容看出请求地址和 ...
- 1.5 编程基础之循环控制 11 整数的个数(2022.01.09)--python
http://noi.openjudge.cn/ch0105/11/ """ 1.5 编程基础之循环控制 11 整数的个数(2022.01.09) http://noi. ...
- 【JS 逆向百例】吾爱破解2022春节解题领红包之番外篇 Web 中级题解
关注微信公众号:K哥爬虫,持续分享爬虫进阶.JS/安卓逆向等技术干货! 逆向目标 本次逆向的目标来源于吾爱破解 2022 春节解题领红包之番外篇 Web 中级题,吾爱破解每年都会有派送红包活动(送吾爱 ...
- js滚动条下拉一定值_JS逆向 | 无限Debugger之淘大象
置顶公众号 今天继续和大家研究JS逆向,不少小伙伴在JS逆向的时候遇到过无限debugger的反爬,今天就拿一个网站练练手感受下无限debugger. 分析请求 先打开这次的目标网站--淘大象(htt ...
- 爬虫攻守道 - 2023最新 - JS逆向 - Python Scrapy实现 - 爬取某天气网站历史数据
目录 背景介绍 网站分析 第1步:找到网页源代码 第2步:分析网页源代码 Python 实现 成果展示 后续 Todo 背景介绍 今天这篇文章,3个目的,1个是自己记录,1个是给大家分享,还有1个是向 ...
最新文章
- 2月15日Python线上峰会免费学!6场精华分享,用代码“抗”疫
- 如何打开python的交互窗口-使用Python显示图形交互窗口
- Nginx+Tomcat负载均衡配置
- JAVA16版本.JDK16关于TCP和UDP的优化
- NLog在asp.net core中的应用
- SetComputerName改网络中计算机名
- 基于生命周期理论的农业科学数据中心化管理模式
- win10虚拟内存怎么设置最好_想提高win10操作系统性能,设置合适的虚拟内存大小非常关键...
- 微html5游戏,最好玩的Html5游戏社区:微游畅玩 惊艳上线
- oracle添加联合主键
- 洛达项目AB152xP资料SDK相关说明
- docker命令的使用
- 微信红包系统设计 优化
- PowerDesign使用
- Jsp 页面白页问题
- 兰大计算机考研经验,兰州大学电子与通信工程考研经验分享
- [附源码]java+ssm计算机毕业设计java交通违章举报平台lxsqm【源码、数据库、LW、部署】
- Docker 深入篇之 Build 原理
- 将私人对话发布到公共空间来寻求正义是否可取
- 用matlab求解线性方程组
热门文章
- 教你怎么学习Java
- python 英语分词_用几十行代码实现python中英文分词
- 问题解决:Get “xxx“: dial tcp: lookup xxx on xxx: read udp xxx:xxx: i/o timeout
- 求逆矩阵计算机方法,求逆矩阵的快速方法(用于编程).pdf
- 业务系统(HANA/SAP/OA/ERP/OA)
- 麦克风阵列声音定位简介【转】
- Java医院管理系统(his)源码免费分享
- linux backtrack函数,Linux调用backtrack函数打印程序崩溃时的调用堆栈
- SSL数字证书之CA根证书、CA中间证书和SSL证书
- opencv人体识别技术汇总