某土地市场网JS逆向:debugger脚本限制秒退和webpack hash参数加密

🔍某土地市场网逆向思路

🚫 解决网页反debugger

🔍 网页禁止打开开发者工具

在访问中国土地市场网时,我们会发现网页禁止了开发者工具的使用,包括F12和右键调试。

🔍强制进入开发者工具 窗口关闭并回退

这种反debugger机制会导致强制进入开发者工具时,网页自动跳转。

💡 解决方法:事件监听断点调试

我们可以通过事件监听断点调试的方法找到限制脚本的位置。找到脚本后,将限制代码删除,并开启本地替换,这样就可以正常使用开发者工具了。

🔍 抓包请求接口,发现请求头hash值加密

使用抓包工具捕获请求接口的数据包,发现请求头中的hash值是经过加密的。

🧩 全局搜索hash相关代码,找到代码加密位置

在JS代码中全局搜索hash=,我们可以定位到具体的加密代码位置。代码中提到hash参数是由一个函数生成的,该函数接收的参数为useragent、当天日期以及url的最后一个元素。

其中有一串代码

js 复制代码
n = (c.a.isKey("manageLoginToken") && (n = c.a.get("manageLoginToken"),
                !Object.prototype.hasOwnProperty.call(e, "manageLoginToken")) && n && (e.Authorization = "Bearer " + n),
                i("lPiR"))

该表达式意思:如果 && 4个条件都成立 赋值i("lPiR")

🔍 分析代码结构,为典型的webpack加密

通过分析代码结构,发现这是一个典型的webpack加密模式,变量名、属性名和方法名都经过了混淆。

💻 扣取JS代码

扣取生成hash参数的关键JS代码,并整理成可用的代码片段。

🐍 Python调用JS代码

使用Python调用扣取的JS代码,模拟生成请求头中的hash值。

💡 成功获取数据

最终通过正确生成的hash值请求数据接口,成功抓取到某土地市场网的数据。

相关推荐
前端百草阁2 分钟前
【TS简单上手,快速入门教程】————适合零基础
javascript·typescript
彭世瑜2 分钟前
ts: TypeScript跳过检查/忽略类型检查
前端·javascript·typescript
Backstroke fish3 分钟前
Token刷新机制
前端·javascript·vue.js·typescript·vue
zwjapple3 分钟前
typescript里面正则的使用
开发语言·javascript·正则表达式
小五Five5 分钟前
TypeScript项目中Axios的封装
开发语言·前端·javascript
临枫5415 分钟前
Nuxt3封装网络请求 useFetch & $fetch
前端·javascript·vue.js·typescript
酷酷的威朗普6 分钟前
医院绩效考核系统
javascript·css·vue.js·typescript·node.js·echarts·html5
前端每日三省6 分钟前
面试题-TS(八):什么是装饰器(decorators)?如何在 TypeScript 中使用它们?
开发语言·前端·javascript
小刺猬_9857 分钟前
(超详细)数组方法 ——— splice( )
前端·javascript·typescript
契机再现8 分钟前
babel与AST
javascript·webpack·typescript