JS逆向实战案例之----【通姆】252个webpack模块自吐

一、案例背景

  • 目标域名:
    aHR0cHM6Ly93d3cubXR6aC50b3AvbXR6aF9oNS8jL3BhZ2VzL1NlYXJjaFByb2R1Y3RzMi9pbmRleD9zZWFyY2hOYW1lPUE0MTk3JnNlYXJjaFR5cGU9Mg(下文简称 通姆

  • 关键请求头:
    sign

  • 前端打包:

    标准 webpack 4.x,252 个模块 全部塞进一个自执行函数,模块 ID 从 0251

  • 加密位置


二、整体思路

步骤 关键动作 工具
① 抓包定位 找到含 sign 的 XHR Chrome Network
② 识别 webpack 关键字 !(function(t){function e(e){for(var r... DevTools
③ 导出加载器 把 webpackJsonp 加载器扣出来 Fiddler + VSCode
④ 模块自吐 动态执行,把所有模块源码打印成文件 Node.js
⑤ 离线补环境 windowdocumentnavigator jsdom
⑥ 算法复现 找到 module[fadf]的 sign 生成 本地测试

三、导出 webpack 加载器

1. 浏览器里复制整段自执行函数

四、一次性自吐 252 个模块

方法二、

1.在加载器的位置添加条件断点,先把d置空把e(" fadf ")执行的所有模块全部赋值给全局变量aaa,最后迭代循环aaa里面的所有模块就可以

最后执行这段代码

javascript 复制代码
result = '{';
for (let x of  Object.keys(aaa)) {
    result = result + '"'+ x + '"'+ ":" +aaa[x]+','
}
;result = result + '}'

可以看到也是可以吐出来的

加密逻辑

五、实现效果

一定要在浏览器里面运行,不然会卡

相关推荐
360智汇云1 分钟前
k8s共享存储fuse-client三种运行方案对比
java·linux·开发语言
先知后行。20 分钟前
QT音视频
开发语言·qt·音视频
二向箔reverse34 分钟前
人脸特征可视化进阶:用 dlib+OpenCV 绘制面部轮廓与器官凸包
开发语言·python
寒月霜华40 分钟前
java-File
java·开发语言
会开花的二叉树1 小时前
上手 cpp-httplib:轻量级 C++ HTTP 库的安装与实战指南
开发语言·c++·http
周杰伦fans1 小时前
C# 集合框架完全指南:从IEnumerable到ObservableCollection的深度解析
开发语言·c#
秦禹辰1 小时前
开源多场景问答社区论坛Apache Answer本地部署并发布至公网使用
开发语言·后端·golang
猪哥帅过吴彦祖1 小时前
第 5 篇:WebGL 从 2D 到 3D - 坐标系、透视与相机
前端·javascript·webgl
代码村新手1 小时前
C语言-指针
c语言·开发语言·jvm
折七2 小时前
expo sdk53+ 集成极光推送消息推送 ios swift
前端·javascript·ios