猿人学js逆向比赛第一届第九题

首先遇到了udc文件中的无限debugger,这里利用ast进行代码还原,处理后有下面两个监测点,进行手动删除。

看到页面中的js也被混淆了,这里将页面中的js也处理一下再替换到原始页面中。同时要注意删除处理后代码中的一些格式化检测。如下面这样。

经过手动删除无效代码后得到了下面的js

那么这就很明显了,这是循环3次调用 decrypt函数然后得到最后一次的结果并加了m和r得到cookie

通过进入decrypt函数中可以看到这应该是一个rsa算法。这里首先按照标准算法尝试。

因为传入的参数看着像时间戳,可以判断出这个参数应该是动态的,所以这里要从页面中动态取出。

python 复制代码
t = re.search(r'decrypt,\'(\d+)\'', response.text)
if t:
    t = t.group(1)
    print(t)

通过正则表达式可以从页面中取出这个时间戳。

经过手动拼接后更新cookie再次访问,可以看到已经能正常访问到页面数据了。虽然可以正确拿到页面数据了,但是访问api是被拒绝的。

这里还是怀疑m生产的不对,所以这里重新比较了m重新还原了一次页面的代码。

可以看到这里的m循环次数不再是3次了,那么重新从页面中匹配出循环次数再试一下。重新设置完之后还是无法拿到页面数据。这里尝试从原js代码中抠取加密函数。可以看到没有问题了。

相关推荐
Wang's Blog8 分钟前
Go-Zero框架上手前奏2: 微服务核心要素 —— 拆分、通信与无状态设计
开发语言·微服务·golang
To_OC8 小时前
别再串行写 await 了,Promise.all 才是并行请求的正确打开方式
前端·javascript·promise
To_OC9 小时前
LC 17 电话号码的字母组合:我的回溯算法,就是从这道题开窍的
javascript·算法·leetcode
我是坏垠10 小时前
Crypto、Cipher与Password:Java加密开发的三个核心概念
java·开发语言·python
white_ant10 小时前
JDK LTS 版本升级迁移注意事项大全
java·开发语言
Bobolink_11 小时前
跨境业务网络环境评估,“干净、一致、独享”三个关键指标
开发语言·网络·php·跨境网络·网络环境
你怎么知道我是队长11 小时前
JavaScript的变量和数据类型介绍
开发语言·javascript·ecmascript
xingke11 小时前
C 语言多文件编程:(一)头文件、extern、编译链接
c语言·开发语言·多文件
戮漠summer12 小时前
Missing Semester 计算机教育中缺失的一课 Lecture 01 Shell
开发语言·后端·scala
jinyishu_12 小时前
C++ string使用方法
开发语言·c++