斗鱼password加密参数调试生成案例 学习资源 Web逆向 原创

冬晨夕阳 10月前 5105

下午逛论坛的时候,看到一个老哥的js逆向视频,发现这个案例挺不错的,我就写了一份博客,蹭个热度。


斗鱼登陆 输入账号密码,拖动滑块后会向登陆接口发起请求。

通过抓包发现请求体 Formdata 中的 password 进行了加密。

本案例演示如何通过控制台调试找到加密js方法。

最后使用python来模拟生成,文末附有代码。


1.确定接口

在这里插入图片描述

在这里插入图片描述

2.断点调试

点击控制台的 initiator ,可查看当前的请求是哪一行触发。
然后点send,进入js文件

在这里插入图片描述

点击左下角 {} ,格式化文件

在这里插入图片描述

然后点击左侧行数,打上断点

在这里插入图片描述

再次请求登陆

在这里插入图片描述

等待断点拦截

在这里插入图片描述

然后看右侧的 call stack 函数调用栈,一层一层往上找。

在_enter时 查看到了 o.md5_m 。

没看到_enter时 刷新再来一遍。

在这里插入图片描述


“52c69e3a57331…” 为加密后的值


在这里插入图片描述


然后再看 o.md5_m 怎么来的

往上一行可以看到 o.md5_m = CryptoJS.MD5(k).toString()

在这里插入图片描述

鼠标移上去之后点击匿名函数

然后可找到 CryptoJS ,CryptoJS是支持加密的JavaScript库。

在这里插入图片描述

你也可以接着断点查看具体的加密过程。


3.模拟生成

把这段js复制下来。写入html,然后在控制台测试。
这个时候其实可以写一段代码直接通过浏览器的驱动来生成了。

在这里插入图片描述


4.Python调用

调用CryptoJS的md5模块时,加密的结果是一个数组,而不是我们常见的MD5值。

在这里插入图片描述

在 js中可以使用CryproJs的 toSting来直接转换成字符串。

在这里插入图片描述


我们用python实现的话,把这段函数拿出来用就行了

在这里插入图片描述

最新回复 (26)
  • czq 1月前
    0 27
    666,学习下
  • Ghobam 1月前
    0 26
    1
  • 0 25
    6666
  • himarrin 4月前
    0 24
    465
  • 0 23
    66
  • 0 22
    66
  • gaohj5 5月前
    0 21
    11111
  • mayl8822 5月前
    0 20
    感谢分享
  • cwoner 5月前
    0 19
    学习了
  • 荞荞 7月前
    0 18
    66666666
  • tadakuso 8月前
    0 17
    666
  • 0 16
    66
  • LaVine24 8月前
    0 15
    1
  • 0 14
    666
  • 0 13
    登录不难,难在数美风控
  • 0 12
    康康
  • george 9月前
    0 11
    66
  • musk 10月前
    0 10
    11
  • 0 9
    1
  • JasonLv 10月前
    0 8
    66666
  • mixintu 10月前
    0 7
  • 0 6
    66
  • 邓亮 10月前
    0 5
    666
  • andi 10月前
    0 4
    66
  • icebound 10月前
    0 3
    66
  • zenghuan 10月前
    0 2
    登录不难,难在数美风控
返回