声明
本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关。本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请联系作者立即删除。
目标地址: aHR0cHM6Ly9pLm5qY2l0LmNuL0VJUC91c2VyL2luZGV4Lmh0bQ==
一、找接口
1.tickets接口
登录之后发现密码被加密了打一个XHR断点包含v1/tickets,重新登录后发现密码已经是被加密的状态了,我们需要找到未被加密的状态。
然后我们根据调用栈堆找一下,发现下面这个函数有点意思,有个v1/tickets还有下面的参数与我们要请求的参数一致,初步怀疑是这个,打个断点试试。
断点之后,证实下面这个函数就是对原密码进行加密的,现在可以开始扣js代码了。
先把O函数扣下来,删掉多余的部分,然后依次补齐未知参数。(h是我们需要的值)
O = function (e, t, a, i) {
var f = n(5);
e = e.replace(/(^\s*)|(\s*$)/g, ""),
t = t.replace(/(^\s*)|(\s*$)/g, "");
var h = "";
if (!i) {
n.i(p.a)(131);
var w = n.i(p.b)(r.a.public_exponent, "", r.a.modulus);
h = n.i(p.c)(w, t)
}
return h
}
接下来看n(5),由于是webpack打包,扣出来,导出加载器。把n(5)替换成wuye4(5), 运行后就会打印加载5这个模块,然后扣模块5.
var window = global;
var wuye4;
!function (e) {
function t(n) {
if (r[n])
return r[n].exports;
var o = r[n] = {
i: n,
l: !1,
exports: {}
};
# 这里输出缺少啥模块
console.log("加载" + n)
return e[n].call(o.exports, o, o.exports, t),
o.l = !0,
o.exports
}
#全局变量导出加载器
wuye4 = t;
var n = window.webpackJsonp;
window.webpackJsonp = function (r, i, a) {
for (var c, u, l, s = 0, f = []; s < r.length; s++)
u = r,
o && f.push(o[0]),
o = 0;
for (c in i)
Object.prototype.hasOwnProperty.call(i, c) && (e[c] = i[c]);
for (n && n(r, i, a); f.length;)
f.shift()();
if (a)
for (s = 0; s < a.length; s++)
l = t(t.s = a);
return l
}
;
var r = {}
, o = {
1: 0
};
t.e = function (e) {
function n() {
c.onerror = c.onload = null,
clearTimeout(u);
var t = o[e];
0 !== t && (t && t[1](new Error("Loading chunk " + e + " failed.")),
o[e] = void 0)
}
var r = o[e];
if (0 === r)
return new Promise(function (e) {
e()
}
);
if (r)
return r[2];
var i = new Promise(function (t, n) {
r = o[e] = [t, n]
}
);
r[2] = i;
var a = document.getElementsByTagName("head")[0]
, c = document.createElement("script");
c.type = "text/javascript",
c.charset = "utf-8",
c.async = !0,
c.timeout = 12e4,
t.nc && c.setAttribute("nonce", t.nc),
c.src = t.p + "" + e + "." + {
0: "36dfd3304064452be2de"
}[e] + ".js";
var u = setTimeout(n, 12e4);
return c.onerror = c.onload = n,
a.appendChild(c),
i
}
,
t.m = e,
t.c = r,
t.i = function (e) {
return e
}
,
t.d = function (e, n, r) {
t.o(e, n) || Object.defineProperty(e, n, {
configurable: !1,
enumerable: !0,
get: r
})
}
,
t.n = function (e) {
var n = e && e.__esModule ? function () {
return e.default
}
: function () {
return e
}
;
return t.d(n, "a", n),
n
}
,
t.o = function (e, t) {
return Object.prototype.hasOwnProperty.call(e, t)
}
,
t.p = "/",
t.oe = function (e) {
throw console.error(e),
e
}
}({
"5": function (e, t, n) {
"use strict";
t.decode = t.parse = n(1212),
t.encode = t.stringify = n(1213)
},
})
找到这个数组里面的5把函数扣出来.一共要加载5、加载1212、加载1213、加载34、四个模块,剩下的自己扣.不想扣的话,可以把整个js文件都复制出来.
接着看p参数搜索一下发现就是n(34)替换过去
!
r.a.public_exponent 加密参数固定值
r.a.modulus 加密参数固定值
替换函数最终如下,就可以输出加密密码。
O = function (e, t, a, i) {
var f = wuye4(5);
e = e.replace(/(^\s*)|(\s*$)/g, ""),
t = t.replace(/(^\s*)|(\s*$)/g, "");
var h = "";
if (!i) {
wuye4.i(wuye4(34).a)(131);
var w = wuye4.i(wuye4(34).b)("010001", "", '00b5eeb166e069920e80bebd1fea4829d3d1f3216f2aabe79b6c47a3c18dcee5fd22c2e7ac519cab59198ece036dcf289ea8201e2a0b9ded307f8fb704136eaeb670286f5ad44e691005ba9ea5af04ada5367cd724b5a26fdb5120cc95b6431604bd219c6b7d83a6f8f24b43918ea988a76f93c333aa5a20991493d4eb1117e7b1');
h = wuye4.i(wuye4(34).c)(w, t)
}
return h
}
2.TGT接口
请求1.tickets接口后会响应 TGT-开头的值,接着请求2.TGT接口会响应一个ST-开头的值
3.ST接口
把上面ST-开头的值传到这里,请求成功后,就算登陆成功了。
二、效果图
三、扩展(实现查询个人成绩)
点查询个人成绩,进入到教务系统。
登录教务系统,把下面的service 替换成上面的url,然后拿到ST开头的值。
然后请求这个接口,最后会重定向到学生成绩查询页面。
最后调用查询成绩接口。
效果如下
四、把成绩推送到微信
五、代码实现
njcit1副本.zip
(6.74 KB, 下载次数: 25)
">