某交易服务平台加密内容逆向
本帖最后由 dxiaolong 于 2023-9-6 18:01 编辑本帖作为自己逆向的记录用,不用于其他任何目的,严禁用于非法用途,网站比较敏感就不发网址了,涉及网址部分已脱敏,大家看看思路就好
1.先查看数据接口,查看数据是从哪个接口发送的,并查看需要提交哪些数据
2.post一下,发现没有数据返回,查看是否有发送需要携带的加密参数,多次翻页以后,发现有个Portal-Sign是需要提交的
3.下一步目标明确,先逆向Portal-Sign
4.通过搜索找到Portal-Sign位置,并下断
输出f.getSign(e),查看Portal-Sign的值,通过对比发现f.getSign(e)就是目标
5.接下来就是扣代码了,都是比较简单的js,先扣f函数,然后d函数,巴拉巴拉,本地得到Portal-Sign
6.带上Portal-Sign提交请求,获取加密数据,发现已经可以获取到数据了
7.下面开始逆向解析加密数据,既然数据进行了加密,那一定会有解密函数,先搜decrypt,看是否有对应内容
8.发现有内容,直接在搜索位置和return处下断,多次输出a.toString(h.a.enc.Utf8)测试以后,发现该位置就是解密结果
9.接下来就比较简单了,由于这个位置位置返回的就是解密结果,直接扣这个b函数就可以了,如果懒得扣也能看出来是aes加密,用py自己改写也可以,我比较懒,直接扣的b函数
10.解密以后得到真实数据
总结:目前还是js逆向小白,正在边学习边练习边记录,逆向过程中一定不要着急,逆向本来就是从网站里找蛛丝马迹,一次不行就两次,多练习,找到加密位置就完成一半了,大家加油吧!
本帖最后由 BLUE7777777 于 2023-9-5 03:11 编辑
好搞不搞,搞https://??????.??.gov.cn/business/list(https://??????.??????.gov.cn/business/list/)下的东西,
你图片左边网页那些文字为什么还要留出来打马赛克,直接截取右边不就行了,露出来地点,gov网站就那么几个,给别人留线索查吗?
后面控制台里的地名也露那么多,几下就检索到符合条件的网址了。
别瞎搞把自己送进去了。 很给力,说明很详细啊,有机会练练手 这。。。已经漏了呀,ip直接访问能看到一张泛域名证书。还有一张图Python文件名把子域名也漏了。。 关键是看怎么用了 思路可以,只不过目标得换换,哈哈哈 我已经尽力打码了。。。 很刑啊,感谢楼主分享,要么码好要么换受害人吧 这网站目标定得有点害怕 我在重新编辑图片,但是52老把我弄的访问异常