一个菜菜鸡看了菜鸡的帖子对关注公众号回复密码获取验证码的分析
本帖最后由 i不存在的 于 2023-7-4 15:59 编辑前言
刚入职没事情干,看了一个大佬的帖子,心血来潮也想自己尝试一下逆向分析(不知道算不算逆向分析),在b站上随便找了个推荐的网站就拿来尝试,话不多说直接开始
附上大佬的帖子
一个菜鸡对关注公众号回复密码获取下载链接的分析
https://www.52pojie.cn/thread-1799911-1-1.html
(出处: 吾爱破解论坛)
https://static.52pojie.cn/static/image/hrline/1.gifhttps://static.52pojie.cn/static/image/hrline/1.gif
正文
1、来到网站映入眼帘的就是这个弹框,先不管其他无脑点确定看看有什么反应
2、可以看到调试窗口里的网络并无任何反应,由此可以推断出他的密码是不需要向服务端发器请求进行验证的,我门直接转战前端代码部分
https://static.52pojie.cn/static/image/hrline/5.gif
3、直接用浏览器的检查点击输入框定位到代码部分,可以发现并没有什么函数调用,再检查一下确定通过查看事件监听器可以发现有一个js方法被调用了
4、直接定位到这个方法,可以发现这里的是使用了document.querySelector选择到id为submitPWD的div将其赋值给submit,并给submit绑定了一个onclick方法用于校对验证码,其中逻辑也不难看懂,就是将输入框的值通过md5加密后和参数cnm做对比(看起来这个网站的前端写这段代码的时候心情不是很好{:301_1009:}),一样了就给你的浏览器加上个cookie,就可以访问后续内容了
5、最后就很简单了,去度娘找一个md5解密的网站拿上代码里定义好的参数cnm去解密
https://static.52pojie.cn/static/image/hrline/1.gifhttps://static.52pojie.cn/static/image/hrline/1.gif
结束语
应该还有更简单的办法的欢迎大家来讨论!第一次发帖发的不好的地方大家不要吝啬你们的意见{:301_998:}
估计都是不懂的人一键搭的。。。
微信公众号api给的很足。。。不会搞怪谁(或者是不愿意)
关注公众号其实理论上是等于注册了一个账号的 很棒,我根据关键字谷歌找到了网站,根据楼主思路成功拿到了验证码 小白一枚,但似乎看懂了一些,用最简单的编程逻辑理解一下是不是这样的:这个验证码就是一个变量,叫cnm,每次都是变得,但它本质上是一个md5码,通过在控制台找到本次cnm的值,把它拿去md5解码,得到6位数字,填到网站的验证码框框里即可。
另外我看楼主链接里的另一个楼主,他遇到的情况又完全不同了,所以还是得具体情况具体分析,这种验证码逆向的方法还是取决于网站使用的方法,不可一概而论? 还有很多需要学习呀 虽然我看不懂,但是我在认真学习,感谢分享 还没高潮就结束了 大棒磊_ 发表于 2023-7-5 10:38
还没高潮就结束了
确实,没太大挑战性 可不可以利用油猴,进入页面修改cnm的值?
或者直接执行判断条件为真的语句! weikun444 发表于 2023-7-5 10:50
可不可以利用油猴,进入页面修改cnm的值?
或者直接执行判断条件为真的语句!
最后就很简单了,去度娘找一个md5解密的网站拿上代码里定义好的参数cnm去解密 md5那么容易撞库吗? 大棒磊_ 发表于 2023-7-5 10:38
还没高潮就结束了
哈哈,确实如此 好难啊😣😣 这个思路清晰简单。。厉害厉害 网页右键查看源文件,搜索md5