JS逆向实战10——某集团RSA长加密

【JS逆向实战10——某集团RSA长加密】的更多相关文章

JS逆向实战1——某省阳光采购服务平台

分析其实这个网站基本没有用到过什么逆向,就是简单的图片base64加密然后把连接变成2进制存成文件然后用ocr去识别即可 !! 注意在获取图片连接和对列表页发起请求时一定要用一个请求,也就是用一个session 不然就会验证失败. 本文网站:aHR0cDovL2dnenkudG9uZ2xpYW8uZ292LmNuL0Vwb2ludFdlYkJ1aWxkZXJfdGxzZ2d6eS9qeXh4SW5mb0FjdGlvbi5hY3Rpb24/Y21kPWdldFZlcmlmaWNhdGlv…

JS逆向实战3——AESCBC 模式解密

爬取某省公共资源交易中心通过抓包数据可知这个data是我们所需要的数据,但是已经通过加密隐藏起来了分析首先这是个json文件,我们可以用请求参数一个一个搜但是由于我们已经知道了这是个json 所以我们可以直接偷个懒直接搜索json.parse 然后还看见了state 刚好也是返回的值 3. 根据上述请求参数我们看见了ts是一个时间戳, 然后往周围找找所以可以判断这是个AES加密基本这个函数就是AES加密的,我们把代码抠出来就能直接运行了,但是抠出来之后发现这就是个常规AES加密…

JS逆向实战9——cookies DES加密混淆

cookie加密 DES 混淆目标网站:aHR0cHM6Ly90bGNoZW1zaG9wLnlvdXpoaWNhaS5jb20vbWFpbi90ZW5kP05vdGljZUNhdGVJZD0xJk5vdGljZVR5cGU9MQ== 需求分析今天在爬取网站的时候发现个很有意思的网站,在列表页不需要cookie,但是访问详情页反而需要cookie 分析代码所以我们访问下这个详情页链接 aHR0cHM6Ly93d3cueW91emhpY2FpLmNvbS9uZC9lNzVlNTY1Yi03MW…

JS逆向实战8——某网实战（基于golang-colly）

其实本章算不上逆向教程只是介绍golang的colly框架而已列表页分析根据关键字搜索通过抓包分析可知下一页所请求的参数如下上图标红的代表所需参数所以其实我们真正需要的也就是SearchSql 但是你多观察即可知这个SearchSql在第一页访问的时候就传给了所以也就是爬取第一页获取第二页的请求参数--爬取第二页获取第三页的请求参数详情页分析详情页链接在列表页给你的链接是错误的真是的链接如下图所示由此图可知我们需要很多参数才能完成爬取但是列表页给我们的链接也不是毫无…

JS逆向实战7-- 某省在线审批网站params 随机生成

参数分析我们首先通过抓包发现这个就是我们所需要的数据然后我们通过fidder 发起请求结果: 通过我们反复测试发现这个params的参数是每次请求中都会变化的断点查找我们通过这个t参数可以看到和时间戳有些相近,我们可以投机取巧一下直接搜索 Date.parse(new date()) 二次分析通过几次分析可知上述代码就是我们所需参数然后我们魔改一下 js代码如下: function get_t() { var chars = "0123456789abcdef&quo…

JS逆向实战6-- x轴 y轴过点触验证码

点触验证码是一种常见的反爬手段解决方案有两种:一种是直接解决,这需要深度学习机器学习等图像处理技术,以大量的数据训练识别模型,最终达到模型足矣识别图片中的文字提示和应该点击的区域之间的对应关系. 这需要非常专业的设备,比如TPU运算,和专业的开发和维护人员. 因此市面上有专业解决此类问题的OCR解决提供商.也就是第二种间接解决的方案,调用第三方接口. 我们可以使用两种方案 selenium 接口逆向本文介绍是第二种方法当然属于比较简单的那种验证码如上文所示 ocr的使用我们使用DDD…

JS逆向实战5--JWT TOKEN x_sign参数

什么是JWT JWT(JSON WEB TOKEN):JSON网络令牌,JWT是一个轻便的安全跨平台传输格式,定义了一个紧凑的自包含的方式在不同实体之间安全传输信息(JSON格式).它是在Web环境下两个实体之间传输数据的一项标准.实际上传输的就是一个字符串.广义上讲JWT是一个标准的名称:狭义上JWT指的就是用来传递的那个token字符串 JWT用来做什么?怎么来的? 由于http协议是无状态的,所以客户端每次访问都是新的请求.这样每次请求都需要验证身份,传统方式是用session+cooki…