JS逆向之对称加密算法初体验
本帖最后由 QingYi. 于 2021-7-22 11:49 编辑首先打开我们的网站:aHR0cDovL2VpcC5jaGFuZmluZS5jb20vbG9naW4uanNw
抓包 分析到是这边的参数加密了
我们来搜索一下,只有这一个里面有
我们进来看看,找到这边,是不是有点像des加密?打个断点,去登录试试看
果不其然,是断在这边了
但是我们需要看加密过程呀,怎么办?点进去这个函数再打断点
进来之后打在开头,value值进来了,value值是啥?是不是我们输入的账号密码啊?
我们一步一步往下走,发现我框起来的部分没有执行,到了后面直接到return哪一行了,所以说去把我没用框的东西给提取出来用就行了
而且我们发现value到这边是加密了,return的也是一个拼接的字符串,我们先不管那么多,先提取出来内容先
我们可以看到,return的是一个security 还是一个对象的security,还有value值我们还不知道,所以说我们先看看security 怎么拿到先再考虑这个value
这个keyObj有很多对象是我们不知道的,Such as security、iv and key,是不是要把它们搞出来还有我们的value?
是调用了一个get方法,我们点进去,看看
其实他就是在当前文件中
我们进来看看他这个get方法,首先调用了一个_2方法,这个方法去取得sessionID,我们把它拿出来
拿出来
拿出来之后,我们不知道他进入那个代码段里面,我们打个断点看看他进入那个里面
他进的是这个哦
我们可以在这边进行改写了,因为里面有些数据就是我们需要的
改写好了,然后我们去加载代码,告诉我们这个东西没有定义。 当然啊,我们的key搞定了,value是不是还没处理 他是return的两个参数呀
点进去,把它拿出来
运行
完美结束
楼主,这个软件可以发下吗? 闷骚小贱男 发表于 2021-7-22 17:28
原来网站可以这样的啊...那是不是可以用AES_CBC的加密...
哈哈 稍微比base64的难一点点.
不过我 ...
多发点帖子让我偷学一下啊{:301_998:} 好家伙。。。。 有网站的可以调试,如果是app的这种或者是小程序的这种怎么弄呢? 怎么区分是什么加密 SR1018 发表于 2021-7-22 12:05
有网站的可以调试,如果是app的这种或者是小程序的这种怎么弄呢?
APP逆向 这方法牛逼啊 houpai mobai dalao 现在解密时真的难顶 学习了,= =