js逆向- - 死不悔改奇男子

爬虫基础内容回顾

摘要：1.浏览器的问题 Elements：里面的东西是你的页面源代码 -> JavaScript -> 浏览器的二次渲染（table，或其他标签） -> elements里面的代码 request.get(url)拿到的只是页面源代码 Console：控制台，这里面可以写js代码 Sources：放着页阅读全文

posted @ 2024-04-27 18:50 死不悔改奇男子阅读(1451) 评论(0) 推荐(2)

js逆向基础知识

摘要：js逆向：会在抓包工具中看到一些被加密的参数或者cookie信息或者请求头信息或者服务器返回的一些信息我们需要把浏览器上的加密或者解密的过程在我们的程序里进行复刻 1.网站的加密或者解密逻辑可以完全交给python来完成 2.网站的加密或者解密过程过于繁琐，不能直接用python完全来完成阅读全文

posted @ 2024-04-27 18:52 死不悔改奇男子阅读(2627) 评论(0) 推荐(1)

python执行JavaScript代码出现编码问题的解决方案

摘要：当我们安装好nodejs环境，想在python代码中去调用JavaScript代码，常常会出现编码的问题。举个例子： python代码如下：点击查看代码 import execjs f = open("test.js", mode="r", encoding="utf-8") js_code = 阅读全文

posted @ 2024-02-29 15:34 死不悔改奇男子阅读(1413) 评论(0) 推荐(4)

初识JavaScript逆向——以网易云音乐和招标网站为例

摘要：前言：需要掌握一定的JavaScript基础，能看懂基础的JavaScript代码。我们平常在浏览网站的时候会看到许多加密的参数，如果需要知道它的原始数据，就需要知道整个加密过程，所以本篇文章就来介绍一下本人在初学逆向的时候一些笔记。想要获取加密过程大概来说有以下两个方法：（1）通过浏览器的i 阅读全文

posted @ 2024-03-01 22:17 死不悔改奇男子阅读(2564) 评论(1) 推荐(2)

JavaScript逆向之md5算法

摘要：md5算法 md5算法简介：md5算法是一种摘要算法，主要用来进行数字签名、文档一致性验证等。 python实现md5 点击查看代码 from hashlib import md5 s="123456" obj = md5() # 把你要计算的字节丢进去 obj.update(s.encode("u 阅读全文

posted @ 2024-03-05 11:51 死不悔改奇男子阅读(1592) 评论(0) 推荐(1)

JavaScript逆向之AES和DES加解密

摘要：简介加密算法总共分为两类：对称加密和非对称加密。对称加密顾名思义就是加密和解密时使用的密钥是同一个，例如AES、DES、3DES；非对称加密就是加密和解密时使用的密钥不是同一个，例如RSA。在python中有一个第三方库提供了加密逻辑，库名为PyCrypto，安装命令为pip install P 阅读全文

posted @ 2024-03-05 20:19 死不悔改奇男子阅读(3195) 评论(3) 推荐(0)

JavaScript逆向之RSA算法

摘要：RSA算法简介 RSA算法属于非对称加密，加密的密钥称为公钥，解密的密钥称为私钥，公钥和私钥不是同一个。公钥是可以放在外面的，给谁都可以；但是私钥不可以放在外面，只能服务器自己保留，如果私钥泄露了，数据安全将有极大的风险。 RSA的公钥和私钥是成对的，不能拆开。 python中的RSA 在pyth 阅读全文

posted @ 2024-03-06 19:17 死不悔改奇男子阅读(2557) 评论(0) 推荐(1)

JavaScript逆向之手撸ob混淆

摘要：ob混淆 ob混淆是JavaScript混淆中的一种方法，是指将JavaScript代码中的变量名、函数名、字符串等替换为无意义的字符串，从而增加代码的保护性和防止代码的逆向分析。此外，它还可以在代码中添加死代码、无用的函数等，增加代码的复杂度和难以理解性，从而增加代码的保密性。实战案例——艺恩阅读全文

posted @ 2024-03-07 19:03 死不悔改奇男子阅读(2951) 评论(1) 推荐(0)

JavaScript逆向之有道翻译加解密全过程解析

摘要：本篇文章用于解析有道翻译中的加解密全过程 url：https://fanyi.youdao.com/index.html#/ 加密访问网址，输入框中随便输入一个英文单词，查看触发流量包，只看Fetch/XHR类型的。这里主要关注webtranslate的这条，请求参数和响应数据都是有加密的，主要阅读全文

posted @ 2024-03-11 14:40 死不悔改奇男子阅读(1313) 评论(0) 推荐(1)

JavaScript逆向之iwencai请求头参数加密过程解析

摘要：iwencai网站实战 url：http://iwencai.com/unifiedwap/home/index 打开开发者工具，在搜索框中随便输入关键词，看流量包。（如果想将开发者工具的位置进行变换的，可以点击三个点进行切换）只有一条数据包，看看请求数据和响应数据。请求头中有一个特殊的Hex 阅读全文

posted @ 2024-03-15 13:39 死不悔改奇男子阅读(1260) 评论(0) 推荐(0)

JavaScript逆向之七麦数据实战

摘要：知识点 Promise对象 Promise对象是ES6版本中提供的，主要是为了解决死亡回调的问题。先看一段代码：点击查看代码 function fn() { let username = "alex"; let password = "123456"; // 发送请求给服务器要求登录 conso 阅读全文

posted @ 2024-03-18 14:06 死不悔改奇男子阅读(1168) 评论(0) 推荐(2)

JavaScript逆向之代码补环境（以iwencai为例）

摘要：知识点 1. 浏览器环境与Node环境的区别 1.1 浏览器环境具有的功能页面渲染功能（1）加载和控制页面元素的能力 -> 在js中由dom对象来完成（2）渲染引擎 -> 和我们基本上无关浏览器本身的一些东西（窗口大小，url） -> BOM对象能够执行js的能力 -> v8引擎负责执行j 阅读全文

posted @ 2024-03-20 18:07 死不悔改奇男子阅读(8141) 评论(0) 推荐(0)

js逆向实战之微信公众平台pwd参数解密

摘要：网址：https://mp.weixin.qq.com/ 分析过程调出开发者工具，切换到network模块，随便输入一个账号和密码，抓包。看到pwd参数被加密了，接下来就是去找到pwd参数的加密过程。但其实这里可以进行加密方法的猜测，密码处输入123456，抓包。相信有经验的人可以很快的反应出阅读全文

posted @ 2024-04-22 17:51 死不悔改奇男子阅读(471) 评论(0) 推荐(0)

js逆向实战之一品威客signature参数解密

摘要：url: https://www.epwk.com/login.html 分析过程输入用户名和密码，看触发的流量包。 signature参数明显是被加密过的，接下来就是去寻找加密的过程。关键词搜索signature。有两处，第二处是个固定值不需要看，关注点在第一处。点进去看对应的代码，并打断点阅读全文

posted @ 2024-04-23 12:09 死不悔改奇男子阅读(640) 评论(0) 推荐(0)

js逆向实战之莫莫铺子sign参数解密

摘要：url: http://mmpz.ttzhuijuba.com/?r=/l&cids=1&site=classify&sort=0 分析过程抓取流量包。主要关注图中框起来这条流量包，因为这条流量包返回的是当前页面数据。该流量包的url地址有个加密的参数sign，目的就是找到sign参数的加密过阅读全文

posted @ 2024-04-24 16:58 死不悔改奇男子阅读(680) 评论(0) 推荐(0)

js逆向实战之智通财经网token参数解密

摘要：url：https://www.zhitongcaijing.com/immediately.html 分析过程抓流量包，主要关注如下这条数据包。响应数据如下。由于该url中的token参数是经过加密的，所以目的就是找到加密过程。关键字搜索immediately/content-list.h 阅读全文

posted @ 2024-04-25 10:41 死不悔改奇男子阅读(534) 评论(0) 推荐(0)

js逆向实战之喜马拉雅Xm-Sign参数解密

摘要：url：https://www.ximalaya.com/channel/11/ 分析过程抓包，关注有页面数据回显的数据包。该url的请求头中有个加密的参数，找到该参数的加密过程。由于该参数名比较不常见，可以直接全局搜索这个参数名。只有一处，打断点。切换页码，触发断点。非常直接，xm-s 阅读全文

posted @ 2024-04-26 09:10 死不悔改奇男子阅读(1833) 评论(0) 推荐(0)

js逆向实战之中国男子篮球职业联赛官方网站返回数据解密

摘要：url：https://www.cbaleague.com/data/#/teamMain?teamId=29124 分析过程看流量包，返回数据全是加密的字符串，要做的就是解密回显数据。由于这里的网址都比较特殊，里面都带有id号，所以通过url关键字去搜索不是一个很好的办法。看initiato 阅读全文

posted @ 2024-04-27 17:49 死不悔改奇男子阅读(326) 评论(0) 推荐(0)

js逆向实战之企名片返回数据解密

摘要：url：https://www.qimingpian.com/finosda/project/pinvestment 分析过程抓流量包，发现回显数据都是加密的。想要找到解密逻辑，可以参考上一篇文章的思路，直接搜索拦截器。有五处，只需要看响应拦截器即可。第一处响应拦截器可以看到e.data，有阅读全文

posted @ 2024-04-28 19:37 死不悔改奇男子阅读(355) 评论(0) 推荐(0)

js逆向实战之weibotop.cn返回数据解密

摘要：url：https://www.weibotop.cn/2.0/ 分析过程打开开发者工具，页面直接进入了debugger模式。想要跳过这个debugger模式，可以在debugger这行代码的前面右键，选择never pause here。重新刷新界面，就不会进入debugger模式了。抓流量阅读全文

posted @ 2024-04-30 08:54 死不悔改奇男子阅读(423) 评论(0) 推荐(0)

js逆向实战之集思录登录参数加密解析

摘要：url：https://www.jisilu.cn/account/login/ 分析过程输入用户名和密码，抓包。(因为是测试，输入的账号和密码都是123456) 可以看到用户名和密码都被加密了，且是被同一种加密算法加密的。搜索关键词user_name，有很多条记录。一个一个看，很快就可以确定阅读全文

posted @ 2024-04-30 10:19 死不悔改奇男子阅读(456) 评论(3) 推荐(1)

js逆向实战之数位观察响应数据解密

摘要：url：https://www.swguancha.com/home/city-detail?code=310100 分析过程抓数据包，发现回显数据是加密字符串。对于这种回显数据解密，大概率通过拦截器实现，搜索interceptors。只需关注响应拦截器，一共两处。第一处，只是对字符串的弹出阅读全文

posted @ 2024-04-30 17:26 死不悔改奇男子阅读(702) 评论(0) 推荐(0)

js逆向实战之某证信Accept-Enckey参数加密解析

摘要：url：https://webapi.cninfo.com.cn/#/marketDataDate 分析过程抓包，主要关注图中标记的数据包，它的回显数据是我们所需要的。但在该数据包的请求中有一个Accept-Enckey参数是经过加密的，需要知道其加密的逻辑。全局搜索sysapi/p_sysa 阅读全文

posted @ 2024-05-02 14:08 死不悔改奇男子阅读(1139) 评论(0) 推荐(0)

js逆向实战之Bitcoin浏览器交易x-apikey参数加密逻辑

摘要：声明：本篇文章仅用于知识分享实战网址：https://www.oklink.com/zh-hans/btc/tx-list 分析过程访问网址，会触发一条数据包。看它的响应内容。就是我们想要获取的内容，找到数据了。可以先尝试直接去访问该url，看能否获取数据。 import requests 阅读全文

posted @ 2024-09-22 09:51 死不悔改奇男子阅读(441) 评论(0) 推荐(0)

js逆向实战之烯牛数据请求参数加密和返回数据解密

摘要：声明：本篇文章仅用于知识分享实战网址：https://www.xiniudata.com/industry/newest?from=data 请求参数加密访问网址，往下翻翻，可以看到触发了如下的数据包，请求参数进行了加密。全局搜索list_industries_by_sort地址，有四处，都位阅读全文

posted @ 2024-09-22 15:11 死不悔改奇男子阅读(878) 评论(0) 推荐(0)

js逆向实战之酷我音乐请求参数reqId加密逻辑

摘要：声明：本篇文章仅用于知识分享实战网站：https://www.kuwo.cn/search/list?key=可以不是你加密逻辑分析访问界面，根据数据包的回显内容判断哪个是我们需要的。找到相应的数据包，看下请求参数。发现reqId参数是一串随机字符串，所以就需要知道该参数的生成过程。全局阅读全文

posted @ 2024-10-01 19:26 死不悔改奇男子阅读(664) 评论(0) 推荐(0)

js逆向实战之某市场监管公告服务平台返回数据解密

摘要：声明：本篇文章仅用于知识交流分享，不用于其他用途练习网站：https://jzsc.mohurd.gov.cn/data/company 解密过程分析访问网站，随便选择一个区域，点击查询，看触发哪些数据包。只有一个数据包，且其响应数据一看就是经过加密的。有经验的人就会条件反射是拦截器，全局搜阅读全文

posted @ 2024-10-26 16:41 死不悔改奇男子阅读(585) 评论(1) 推荐(0)

js逆向实战之某乐网登录参数pwd加密

摘要：声明：本篇文章仅用于知识分享，不用于其他用途网址：https://oauth.d.cn/auth/goLogin.html 解密逻辑分析访问网址，随便输入用户名和密码，看触发的流量包。可以看到用户名是明文的，密码却是经过加密的，我们先看看是不是常用的加密。利用网站 https://1024to 阅读全文

posted @ 2024-10-26 21:20 死不悔改奇男子阅读(208) 评论(0) 推荐(0)

js逆向实战之某天下登陆参数pwd加密逻辑

摘要：声明：本篇文章仅用于知识分享，不得用于其它用途网址：https://passport.fang.com/ 加密逻辑随便输入用户名和密码，看触发的数据包。可以看到pwd明显被加密了，全局搜索url中的关键字loginwithpwdStrong.api。只有两处，全部打上断点，重新登录一次，看触阅读全文

posted @ 2024-10-27 08:15 死不悔改奇男子阅读(164) 评论(0) 推荐(0)

js逆向实战之某网游登录参数password加密

摘要：声明：本篇文章仅用于知识分享，不得用于其他用途网址：https://www.37.com/ 加密逻辑访问网址，输入用户名和密码，看触发哪些数据包。注意：这里的流量包要选择all，如果选择fetch/XHR则看不到任何数据包。明显看到password被加密了，先去搜索url中的关键字api/l 阅读全文

posted @ 2024-10-27 14:03 死不悔改奇男子阅读(282) 评论(0) 推荐(0)

js逆向实战之某古加响应数解密逻辑

摘要：声明：本篇文章仅用于知识分享，不得用于其他用途网址：https://www.kaogujia.com/liveTopList/darenFansList/fansRise 解密步骤看哪个数据包有我们需要的响应数据。点击页面1，只有一个数据包，请求参数中没有加密的数据，但在响应数据中data字段阅读全文

posted @ 2024-11-23 10:29 死不悔改奇男子阅读(444) 评论(0) 推荐(0)

js逆向实战之某数据平台响应数解密逻辑

摘要：声明：本篇文章仅用于知识分享，不得用于其他用途网址：https://www.jinglingshuju.com/articles 解密逻辑看触发的数据包。 data一看就是加密的，全局搜索interceptors。在最后一处可以明显的看到有解密函数。打断点，刷新界面。跟响应数据中一致，找对地阅读全文

posted @ 2024-11-23 11:07 死不悔改奇男子阅读(378) 评论(0) 推荐(0)

js逆向实战之某二手平台请求参数加密逻辑

摘要：声明：本篇文章仅用于知识分享，不得用于其他用途网址：https://www.goofish.com/ 加密逻辑随便点击一个模块，看触发的数据包。再选择一个模块，看哪些参数会变化。比较一下得知t和sign的值会变化。请求数据中的machId是根据所选模块变化的。主要关注sign的加密逻辑，搜阅读全文

posted @ 2024-11-23 14:35 死不悔改奇男子阅读(533) 评论(0) 推荐(0)

js逆向实战之某预约票网站请求参数加密

摘要：声明：本篇文章仅用于知识分享，不得用于其他用途网址：https://www.mgk.org.cn/ticket 加密逻辑分析点击“订票”，看触发的数据包。这里会碰到一个无限debugger，选择“Never pause here”即可，再释放断点。 calendar是我们需要的数据包，看下它的阅读全文

posted @ 2024-11-25 19:49 死不悔改奇男子阅读(264) 评论(1) 推荐(0)

js逆向实战之某监管平台请求参数加密

摘要：声明：本篇文章仅用于知识分享，不得用于其他用途网址：http://tzxm.jxzwfww.gov.cn/icity/ipro/open/publicity 加密步骤解析看流量包。请求参数都是经过加密的，但是字段名比较普通，不能通过搜索字段名去定位。尝试用url关键字去搜索，有两处，但是都看不阅读全文

posted @ 2024-11-30 09:31 死不悔改奇男子阅读(335) 评论(0) 推荐(0)

js逆向实战之某某查响应数据解密

摘要：声明：本篇文章仅用于知识分享，不得用于其他用途网址：https://www.hanghangcha.com/securities-data 解密逻辑看流量包，响应数据明显是加过密的。第一反应是去搜索interceptors，主要看响应拦截器，两处都没有。搜url关键字，只有一处。打断点，调阅读全文

posted @ 2024-11-30 15:46 死不悔改奇男子阅读(602) 评论(0) 推荐(0)

js逆向实战之某加速商城password参数加密

摘要：声明：本篇文章仅用于知识分享，不得用于其他用途网址：aHR0cDovL3d3dy4xNXl1bm1hbGwuY29tL3BjL2xvZ2luL2luZGV4 加密逻辑随便输入用户名和密码登录，抓流量包。这里看着两个参数都是加密的，但是你用同样的用户名和密码登录，会发现只有u[password] 阅读全文

posted @ 2025-06-04 15:51 死不悔改奇男子阅读(99) 评论(0) 推荐(0)

js逆向实战之某妈妈返回数据解密

摘要：声明：本篇文章仅用于知识分享，不得用于其他用途网址：aHR0cHM6Ly93d3cuY2hhbm1hbWEuY29tL3Byb21vdGlvblJhbmsvdGlrR29vZHNTYWxlLz9jYXRlZ29yeV9pZD0tMQ== 解密逻辑刷新网页，抓流量包。 data中的数据一看肯定是加阅读全文

posted @ 2025-06-07 10:03 死不悔改奇男子阅读(227) 评论(5) 推荐(0)

js逆向实战之某多多anti_content参数加密

摘要：声明：本篇文章仅用于知识分享，不得用于其他用途网址： aHR0cHM6Ly9waW5kdW9kdW8uY29tL2hvbWUvZ2lybGNsb3RoZXMv 前置知识 1. RPC原理 RPC（Remote Procedure Call Protocol）远程过程调用协议。一个通俗的描述是：客户阅读全文

posted @ 2025-06-29 18:27 死不悔改奇男子阅读(351) 评论(0) 推荐(0)

js逆向实战之某恩思登录参数加密

摘要：声明：本篇文章仅用于知识分享，不得用于其他用途网址：aHR0cHM6Ly93d3cuNTFkbnMuY29tLw== 加密逻辑输入用户名和密码登录，触发的数据包如下，所有的传参都是加密过的。全局搜索email_or_phone，总共13处，不过有一处非常明显，包含了所有要的参数。打断点，触发阅读全文

posted @ 2025-07-12 10:04 死不悔改奇男子阅读(74) 评论(0) 推荐(0)

js逆向实战之某龙贷登录参数加密

摘要：声明：本篇文章仅用于知识分享，不得用于其他用途网址：aHR0cHM6Ly93d3cuZWxvYW5jbi5jb20v 加密逻辑点击登录，输入用户名和密码看触发的数据包。 password经过加密处理，由于这几个参数名都比较常见，全局搜索肯定会有很多结果，不好定位，所有这里选择搜索url。只有一阅读全文

posted @ 2025-07-12 11:36 死不悔改奇男子阅读(109) 评论(0) 推荐(0)

合集-js逆向

公告