猿人学js逆向比赛第一届第九题

首先遇到了udc文件中的无限debugger,这里利用ast进行代码还原,处理后有下面两个监测点,进行手动删除。

看到页面中的js也被混淆了,这里将页面中的js也处理一下再替换到原始页面中。同时要注意删除处理后代码中的一些格式化检测。如下面这样。

经过手动删除无效代码后得到了下面的js

那么这就很明显了,这是循环3次调用 decrypt函数然后得到最后一次的结果并加了m和r得到cookie

通过进入decrypt函数中可以看到这应该是一个rsa算法。这里首先按照标准算法尝试。

因为传入的参数看着像时间戳,可以判断出这个参数应该是动态的,所以这里要从页面中动态取出。

python 复制代码
t = re.search(r'decrypt,\'(\d+)\'', response.text)
if t:
    t = t.group(1)
    print(t)

通过正则表达式可以从页面中取出这个时间戳。

经过手动拼接后更新cookie再次访问,可以看到已经能正常访问到页面数据了。虽然可以正确拿到页面数据了,但是访问api是被拒绝的。

这里还是怀疑m生产的不对,所以这里重新比较了m重新还原了一次页面的代码。

可以看到这里的m循环次数不再是3次了,那么重新从页面中匹配出循环次数再试一下。重新设置完之后还是无法拿到页面数据。这里尝试从原js代码中抠取加密函数。可以看到没有问题了。

相关推荐
一枚前端小能手3 分钟前
🌐 HTML DOM API全攻略(下篇)- 高级接口与现代Web开发实践
前端·javascript·html
Lhan.zzZ3 分钟前
详解 QGridLayout:Qt的网格布局管理器
开发语言·qt
xixixin_17 分钟前
【React】节流会在react内失效??
开发语言·前端·javascript·react
格拉格拉17 分钟前
PHP基础知识
开发语言·php·php基础
晴殇i20 分钟前
解锁Web Workers:解决90%前端性能瓶颈的利器
前端·javascript·vue.js
汤姆yu31 分钟前
2026版基于python的旅游景点推荐系统
开发语言·python·景点推荐
yoyoma44 分钟前
一文搞懂浏览器垃圾回收机制:从原理到面试答题全攻略
前端·javascript
不一样的少年_1 小时前
女朋友被链接折磨疯了,我写了个工具一键解救
前端·javascript·浏览器
摸鱼仙人~1 小时前
一文深入学习Java动态代理-JDK动态代理和CGLIB
java·开发语言·学习
lsnm1 小时前
C++新手项目-JsonRPC框架
开发语言·c++·1024程序员节