逆向案例二十三——某租逆向,总是有映射源文件怎么办以及分析webpack代码

本文主要是介绍逆向案例二十三——某租逆向,总是有映射源文件怎么办以及分析webpack代码,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

网址:aHR0cHM6Ly93d3cubWFvbWFvenUuY29tLyMvYnVpbGQ=

抓取数据包发现载荷以及数据都进行了加密:

 

定位方法一:直接搜decrypt(,进入js文件,可以发现就是直接AES的解密方法,打上断点,

 

下方的d是解密函数

 

 

现在有一个问题,e是怎么来的,可以看见,在下方,是k中的md5加密获得的,这两个才是真正的处理位置。

可以发现 在这里传入的e是密文,a是密钥,a是通过k函数获得的。

 

k函数就在上方是一个md5加密。

 

 

加密函数也是一样,不止AES加密,在这里传入两个参数,一个e,一个a

 

 

真正的加密位置在这

 

 

还要用到k,k也在上面,是个md5加密。

 

定位方法二:跟栈,这是一个典型的异步栈,e.exports是明显的webpack特征,前三个是发送请求,加密处理在异步栈中

点击第一个在send会出现映射源文件,很烦人,可以去关闭。

 

如何关闭映射源文件

点击设置,即螺丝图标不让启用javascript源代码映射

 

点击r.requests,又见到了n = n.then(t.shift(), t.shift()),可以在控制台打印t,逐个进入其中的六个函数。直接跟栈法,很难找到位置。

 

进入第四个函数,发现了加密和解密的位置,其实这六个函数按顺序放在一起,位于一个 webpackJsonp([44], [function(e, a, l)下

 

 

 

在加密和解密位置看到interceptors,可以知道是拦截器,分别拦截请求进行加密,和对发送的数据进行加密。 

先看解密位置,在return处打上断点后,释放其他断点,并点击下一页。

此时e就是密文。

再点击两次跳过下一个函数调用

使程序执行到e.data = JSON.parse(e.data)) 

此时e.data变成了明文

故解密部分就是o.default下面的aes_decrypt方法,o在上面有定义,哇撒,变成webpack格式了,打上断点,释放其他断点,进行页面刷新

 

鼠标覆盖t,发现就在上面,这段代码的含义是

function t(e) { return e && e.__esModule ? e : { default: e }

这段代码定义了一个函数 t,该函数接受一个参数 e。函数的作用是检查参数 e 是否存在且具有 __esModule 属性,如果存在,则返回参数 e;如果不存在或者没有 __esModule 属性,则返回一个对象,该对象的 default 属性值为参数 e

所以只要看r,在r上打断点,进入l,就可以看见加载器了。

接着就是复制模块了,据说要复制36个模块。我就不写了。 

 

 

 

 

 

 

这篇关于逆向案例二十三——某租逆向,总是有映射源文件怎么办以及分析webpack代码的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/900798

相关文章

Hadoop企业开发案例调优场景

需求 (1)需求:从1G数据中,统计每个单词出现次数。服务器3台,每台配置4G内存,4核CPU,4线程。 (2)需求分析: 1G / 128m = 8个MapTask;1个ReduceTask;1个mrAppMaster 平均每个节点运行10个 / 3台 ≈ 3个任务(4    3    3) HDFS参数调优 (1)修改:hadoop-env.sh export HDFS_NAMENOD

性能分析之MySQL索引实战案例

文章目录 一、前言二、准备三、MySQL索引优化四、MySQL 索引知识回顾五、总结 一、前言 在上一讲性能工具之 JProfiler 简单登录案例分析实战中已经发现SQL没有建立索引问题,本文将一起从代码层去分析为什么没有建立索引? 开源ERP项目地址:https://gitee.com/jishenghua/JSH_ERP 二、准备 打开IDEA找到登录请求资源路径位置

深入探索协同过滤:从原理到推荐模块案例

文章目录 前言一、协同过滤1. 基于用户的协同过滤(UserCF)2. 基于物品的协同过滤(ItemCF)3. 相似度计算方法 二、相似度计算方法1. 欧氏距离2. 皮尔逊相关系数3. 杰卡德相似系数4. 余弦相似度 三、推荐模块案例1.基于文章的协同过滤推荐功能2.基于用户的协同过滤推荐功能 前言     在信息过载的时代,推荐系统成为连接用户与内容的桥梁。本文聚焦于

活用c4d官方开发文档查询代码

当你问AI助手比如豆包,如何用python禁止掉xpresso标签时候,它会提示到 这时候要用到两个东西。https://developers.maxon.net/论坛搜索和开发文档 比如这里我就在官方找到正确的id描述 然后我就把参数标签换过来

poj 1258 Agri-Net(最小生成树模板代码)

感觉用这题来当模板更适合。 题意就是给你邻接矩阵求最小生成树啦。~ prim代码:效率很高。172k...0ms。 #include<stdio.h>#include<algorithm>using namespace std;const int MaxN = 101;const int INF = 0x3f3f3f3f;int g[MaxN][MaxN];int n

【区块链 + 人才服务】可信教育区块链治理系统 | FISCO BCOS应用案例

伴随着区块链技术的不断完善,其在教育信息化中的应用也在持续发展。利用区块链数据共识、不可篡改的特性, 将与教育相关的数据要素在区块链上进行存证确权,在确保数据可信的前提下,促进教育的公平、透明、开放,为教育教学质量提升赋能,实现教育数据的安全共享、高等教育体系的智慧治理。 可信教育区块链治理系统的顶层治理架构由教育部、高校、企业、学生等多方角色共同参与建设、维护,支撑教育资源共享、教学质量评估、

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

计算机毕业设计 大学志愿填报系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点赞 👍 收藏 ⭐评论 📝 🍅 文末获取源码联系 👇🏻 精彩专栏推荐订阅 👇🏻 不然下次找不到哟~Java毕业设计项目~热门选题推荐《1000套》 目录 1.技术选型 2.开发工具 3.功能

【区块链 + 人才服务】区块链集成开发平台 | FISCO BCOS应用案例

随着区块链技术的快速发展,越来越多的企业开始将其应用于实际业务中。然而,区块链技术的专业性使得其集成开发成为一项挑战。针对此,广东中创智慧科技有限公司基于国产开源联盟链 FISCO BCOS 推出了区块链集成开发平台。该平台基于区块链技术,提供一套全面的区块链开发工具和开发环境,支持开发者快速开发和部署区块链应用。此外,该平台还可以提供一套全面的区块链开发教程和文档,帮助开发者快速上手区块链开发。

SWAP作物生长模型安装教程、数据制备、敏感性分析、气候变化影响、R模型敏感性分析与贝叶斯优化、Fortran源代码分析、气候数据降尺度与变化影响分析

查看原文>>>全流程SWAP农业模型数据制备、敏感性分析及气候变化影响实践技术应用 SWAP模型是由荷兰瓦赫宁根大学开发的先进农作物模型,它综合考虑了土壤-水分-大气以及植被间的相互作用;是一种描述作物生长过程的一种机理性作物生长模型。它不但运用Richard方程,使其能够精确的模拟土壤中水分的运动,而且耦合了WOFOST作物模型使作物的生长描述更为科学。 本文让更多的科研人员和农业工作者