斗鱼password加密参数调试生成案例 学习资源 Web逆向 原创

冬晨夕阳 1月前 671

下午逛论坛的时候,看到一个老哥的js逆向视频,发现这个案例挺不错的,我就写了一份博客,蹭个热度。


斗鱼登陆 输入账号密码,拖动滑块后会向登陆接口发起请求。

通过抓包发现请求体 Formdata 中的 password 进行了加密。

本案例演示如何通过控制台调试找到加密js方法。

最后使用python来模拟生成,文末附有代码。


1.确定接口

在这里插入图片描述

在这里插入图片描述

2.断点调试

点击控制台的 initiator ,可查看当前的请求是哪一行触发。
然后点send,进入js文件

在这里插入图片描述

点击左下角 {} ,格式化文件

在这里插入图片描述

然后点击左侧行数,打上断点

在这里插入图片描述

再次请求登陆

在这里插入图片描述

等待断点拦截

在这里插入图片描述

然后看右侧的 call stack 函数调用栈,一层一层往上找。

在_enter时 查看到了 o.md5_m 。

没看到_enter时 刷新再来一遍。

在这里插入图片描述


“52c69e3a57331…” 为加密后的值


在这里插入图片描述


然后再看 o.md5_m 怎么来的

往上一行可以看到 o.md5_m = CryptoJS.MD5(k).toString()

在这里插入图片描述

鼠标移上去之后点击匿名函数

然后可找到 CryptoJS ,CryptoJS是支持加密的JavaScript库。

在这里插入图片描述

你也可以接着断点查看具体的加密过程。


3.模拟生成

把这段js复制下来。写入html,然后在控制台测试。
这个时候其实可以写一段代码直接通过浏览器的驱动来生成了。

在这里插入图片描述


4.Python调用

调用CryptoJS的md5模块时,加密的结果是一个数组,而不是我们常见的MD5值。

在这里插入图片描述

在 js中可以使用CryproJs的 toSting来直接转换成字符串。

在这里插入图片描述


我们用python实现的话,把这段函数拿出来用就行了

在这里插入图片描述

最新回复 (10)
  • george 19天前
    0 11
    66
  • musk 1月前
    0 10
    11
  • 0 9
    1
  • JasonLv 1月前
    0 8
    66666
  • mixintu 1月前
    0 7
  • 0 6
    66
  • 邓亮 1月前
    0 5
    666
  • andi 1月前
    0 4
    66
  • icebound 1月前
    0 3
    66
  • zenghuan 1月前
    0 2
    登录不难,难在数美风控
返回