- 1ZYNQ7000 学习 (十七)GPIO中断源的配置以及中断试验_vivado sdk中中断向量号
- 2GAIA: 一个严苛的智能体基准
- 3代码随想录算法训练营总结篇
- 4【SpringBoot】SpringBoot:构建实时聊天应用_springboot聊天功能
- 5【RT-Thread】 TinyUSB挂载成U盘和文件系统,基于STM32F405RG
- 6天雨流芳--使用 Python+Vue3 来构建一个博客(一)_vue可以内嵌python吗
- 7世界排名前十的自动驾驶公司,这几家中国公司上榜_自动驾驶公司排名国内
- 8Use .NET (C#) with VS to connect Azure SQL DB
- 9五分钟完成侧边栏组件_vue侧边栏组件
- 10RabbitMQ管理端代码(开箱即用)_createchannel(false)
Python爬虫进阶必备知识点:JS加密逆向,超详细讲解_python爬虫需要掌握类似js逆向的那些知识
赞
踩
既然这里替换的内容都是 span 那就从它开始入手吧。
可以看到应该显示在正文的内容显示在 CSS 的 content 中
我们大致清楚原来它是一种 CSS 的隐式写法。
一般 CSS 样式我们可以通过点击右上角的链接跳转到相应的文件位置,但是这里是无法跳转的
我们照着之前的思路,搜索一波看看能不能找到一些蛛丝马迹。
先试试搜索类名,找到的是请求页面的响应内容,并没有找到有用的信息。
继续搜索::before,这次找到的同样是请求页面的响应内容但是::before在文件的位置值得我们打开看看。
点开文件再次搜索,在这里就定位到了疑似加密的地方,对!只是疑似加密。
你不能因为代码长得丑、难理解就怀疑它是加密。
其实这里也可以全局搜索.context_kw可以找到操作 DOM 的代码,可以找到操作 DOM 的加密位置,搜索方法大同小异。
这里就不细说了,我们只要找到加密逻辑的整体位置就行,不妨碍我们分析。
既然找到一个疑似加密的位置,我们肯定是要分析一波看看是不是我们要找的。
通过大概的梳理,可以看到整个 JS 分为两个部分,第一部分 JS 是CryptoJS的加解密的内容,第二部分是经过混淆的内容,根据部分 JS 可以猜测第二部分的 JS 操作了 DOM ,完成了 CSS 相关的解密。
关于第一部分的CryptoJS没啥好改的,照着用就好了。
第二部分值得研究一下,因为是混淆过的内容,照着还原回原来的代码意义不大且费时费力,需要做的就是不停调试你看不明白的代码,争取能明白这个代码的意思,能理解的代码越多,去改写越简单。
简单说下代码的逻辑:
- 先取出 _0xa12e这个数组里面一个加密过的元素,取出后用 AES解密
var _0xa12e = [‘appendChild’, ‘fromCharCode’, ‘ifLSL’, ‘undefined’, ‘mPDrG’, ‘DWwdv’, ‘styleSheets’, ‘addRule’, ‘::before’, ‘.context_kw’, ‘::before{content:\x20\x22’, ‘cssRules’, ‘pad’, ‘clamp’, ‘sigBytes’, ‘YEawH’, ‘yUSXm’, ‘PwMPi’, ‘pLCFG’, ‘ErKUI’, ‘OtZki’, ‘prototype’, ‘endWith’, ‘test’, ‘8RHz0u9wbbrXYJjUcstWoRU1SmEIvQZQJtdHeU9/KpK/nBtFWIzLveG63e81APFLLiBBbevCCbRPdingQfzOAFPNPBw4UJCsqrDmVXFe6+LK2CSp26aUL4S+AgWjtrByjZqnYm9H3XEWW+gLx763OGfifuNUB8AgXB7/pnNTwoLjeKDrLKzomC+pXHMGYgQJegLVezvshTGgyVrDXfw4eGSVDa3c/FpDtban34QpS3I=’, ‘enc’, ‘Latin1’, ‘parse’, ‘window’, ‘location’, ‘href’, ‘146385F634C9CB00’, ‘decrypt’, ‘ZeroPadding’, ‘toString’, ‘split’, ‘length’, ‘style’, ‘type’, ‘setAttribute’, ‘async’, ‘getElementsByTagName’, ‘NOyra’, ‘fgQCW’, ‘nCjZv’, ‘parentNode’, ‘insertBefore’, ‘head’];
-
解密后的值放入到secWords中,对secWords中的值遍历并做了一堆骚操作,将处理过后的值放入到words当中,注意这里words就已经是文字了。
-
最后在 JS 的最后操作 DOM 进行替换
这个 JS 不是很难,从网页复制的 JS 加上两个打印直接就可以使用,但是在 node 中直接运行发现输出的字符和实际页面展现的并不相同。
正确的字符是这样的
在 node 中运行输出的结果是这样的
明显 node 环境下输出的结果不是我们要的,而且字符数也少了两个,同一份代码环境不同,可以大致猜到可能是代码里做了一些对环境属性的判断。
这个时候理解代码的好处就来了,可以很快定位到下面这行代码
最后
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/空白诗007/article/detail/998621
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。
