图灵爬虫练习平台第七题千山鸟飞绝js逆向

发布于:2025-05-10 ⋅ 阅读:(17) ⋅ 点赞:(0)

题目七:千山鸟飞绝

还是先进入开发者模式,一进来还是一个无限debugger,直接右键点击一律不在此处停留

然后点击下一页,复制curl进行代码生成,然后就会发现加密内容是headers中的m,ts,还有参数中的x,接下来还是进行堆栈分析

前面的那两个就是直接复制的文件,可以不用看,直接就看下面的进去之后发现里面全部都是看不懂的

着就是明显的ob混淆,需要的解混淆的网站里面去解混淆,其实这个解混淆第一次有一个错误,后面你就会发现,解混淆之后,你就会发现加密的位置可能在这里

解混淆工具

解混淆测试版

 
$.addRequestInterceptor(function (_0x2410d2) {
    let _0x2498e1 = new Date().getTime();
    let _0x48003c = window.eeee("xialuo" + _0x2498e1);
    _0x2410d2.headers = _0x2410d2.headers || {};
    _0x2410d2.headers.m = _0x48003c;
    _0x2410d2.headers.ts = _0x2498e1;
    _0x2410d2.url += "&x=" + encodeURIComponent(dd.a.SHA256(_0x48003c + "xxoo"));
    return _0x2410d2;
});
$.addResponseInterceptor(function (_0x3dd6df, _0x1ec311, _0x2ea8f0) {
    if (_0x2ea8f0.statusText === "OK" || _0x2ea8f0.statusText === "success") {
        const _0x10319d = xxxxoooo(_0x3dd6df.r);
        const _0x3f6d4e = x1.parse(_0x10319d);
        return _0x3f6d4e;
    } else {
        return _0x3dd6df;
    }
});


断点调试以后可以发现这里就是加密的位置

可以看到, param参数的x为请求头的参数m+固定值"xxoo" , 经过SHA256算法得到

验证SHA256算法: SHA256 - 在线工具

然后就可以把他改一下

function main123 () {
    let ts = new Date().getTime().toString();
    let m = eeee("xialuo" + ts);
    let x = encodeURIComponent(CryptoJS.SHA256(m + "xxoo"));
    return {
        "ts": ts,
        "m": m,
        "x": x
    }
}

然后运行这串代码,接下来就是补环境,你在解混淆的代码中,把需要的复制过来,然后这个可以改变一下,把他这种该成一个函数

是跟上一题一样,继续找他的加密,加密位置可以发现就在这个加密的下边

解混淆

$.addResponseInterceptor(function (_0x3dd6df, _0x1ec311, _0x2ea8f0) {
  if (_0x2ea8f0.statusText === "OK" || _0x2ea8f0.statusText === "success") {
    const _0x10319d = xxxxoooo(_0x3dd6df.r);
    const _0x3f6d4e = x1.parse(_0x10319d);
    return _0x3f6d4e;
  } else {
    return _0x3dd6df;
  }
});

然后也把他改一下,继续补环境,能发现值被输出出来了


网站公告

今日签到

点亮在社区的每一天
去签到