【前端安全】js逆向之微信公众号登录密码

❤️博客主页iknow181
🔥系列专栏网络安全PythonJavaSEJavaWebCCNP
🎉欢迎大家点赞👍收藏⭐评论✍


随着发展,越来越多的登录页面添加了密码加密的措施,使得暴力破解变得不在简单,往往需要进行 js 逆向获得加密函数,才好进行下一步操作。

0x01 观察

使用谷歌浏览器打开网站

按下 f12 进入开发者模式

输入账号密码(随便输)

点击登录,先查看网络 里面的载荷,发现数据包 pwd 参数的值,也就是我们输入的密码(12345)被加密了

加密后为:e10adc3949ba59abbe56e057f20f883e

先记下来,为之后完成逆向后进行验证。

0x02 寻找加密函数

进入载荷旁边的启动器,可以查看调用的 js 函数

找名字和登录有关的,可以一个一个的去看。

点进去后,对光标停留的地方打断点。

重新点击登录,进入调试,到断点所在位置

此时 pwd 还未被加密

发现下面有个 pwd 调用函数 p()

在控制台直接输入函数名称 p,回车可以显示函数的具体位置,点击进入

往上翻一翻,可以看到是个 md5 加密

可以点击前面的小箭头,将代码折叠起来方便复制

0x03 调试加密函数

复制到 WebStorm 中

在函数前面加上!,在函数最后加上()。将这个函数变成匿名函数,就可以直接调用使用了。

在开头定义一个方法名:var getStr

将内部原来的调用替换掉

运行,发现和之前的一样,逆向成功


相关推荐
IMPYLH19 分钟前
HTML 的 <data> 元素
前端·html
西门吹-禅39 分钟前
java springboot N+1问题
java·开发语言·spring boot
YHHLAI41 分钟前
[特殊字符] 面试中的 Promise —— 从入门到精通
前端·javascript·面试
skywalk81631 小时前
设计并实现段言的 C FFI 绑定机制 @Trae
c语言·开发语言·python·编程
weixin_BYSJ19871 小时前
SpringBoot + MySQL 乒乓球运动员信息管理系统项目实战--附源码04954
java·javascript·spring boot·python·django·flask·php
沪飘大军2 小时前
ll-llm:一个零依赖、可插拔的 OpenAI 兼容 LLM 代理
javascript
IT笔记3 小时前
【Rust】Rust Match 模式匹配详解
java·开发语言·rust
kyriewen3 小时前
我扒了 GPT-5.6 的全部编程跑分——有一项 OpenAI 没敢放出来
前端·gpt·ai编程
2zcode3 小时前
免费开源项目文档:基于MATLAB卷积神经网络的口罩佩戴检测系统
开发语言·matlab·cnn
逝水无殇3 小时前
C# 运算符重载详解
开发语言·后端·c#