有道js逆向(webpack,调用crypto库实现)【超级详细】

原创 已于 2023-04-07 19:11:41 修改 · 2.7k 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript #webpack #开发语言

于 2023-04-07 17:43:40 首次发布

 

目录

一.逆向请求参数

全局搜索sign:

二.解密返回参数

1利用node.js 内置密码库crypto

2利用webpack工具半自动扣js

 

话不多说,直接干

接口:aHR0cHM6Ly9kaWN0LnlvdWRhby5jb20vd2VidHJhbnNsYXRl

一.逆向请求参数

484d1dd23c00438e8237f15fe5b3f73b.png

 f3b8449ce72e4c47be744dc8ee8ee57b.png

通过多次请求发现 只有sign和mysticTime(时间戳)是变化的,

sign有32位,估计是MD5加密,到底是不是,还得打断点调试一下。

请求加密参数sign:a13c54dae610f25771a9922819f840e8

全局搜索sign:

这个位置很明显打上断点,进去看看,很明显标准MD5加密

eff4a8dc47374c85bd2f060d8795f809.png

 加密参数如下:

`client=${l}&mysticTime=${e}&product=${d}&key=${t}`
'client=fanyideskweb&mysticTime=fsdsogkndfokasodnaso&product=webfanyi&key=1680856846833'

3707a89cf97e41329401a7d3b690d5b6.png

 

通过测试key是写死的fsdsogkndfokasodnaso

直接进行请求就可以了

import requests
import hashlib
import time
localtime = str(int(time.time() * 1000))
data = "client=fanyideskweb&mysticTime={}&product=webfanyi&key=fsdsogkndfokasodnaso".format(localtime)
sign = hashlib.md5(data.encode(encoding='utf-8')).hexdigest()#python中的MD5 加密
headers = {
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36",
    "Referer": "https://fanyi.youdao.com/index.html"
}
cookies = {
    "OUTFOX_SEARCH_USER_ID": "[email protected]",
    "OUTFOX_SEARCH_USER_ID_NCOO": "86107500.53660281"
}
url = "https://dict.youdao.com/webtranslate"
word = input('请输入翻译内容:')
data = {
    "i": f"{word}",
    "from": "auto",
    "to": "",
    "dictResult": "true",
    "keyid": "webfanyi",
    "sign": sign,
    "client": "fanyideskweb",
    "product": "webfanyi",
    "appVersion": "1.0.0",
    "vendor": "web",
    "pointParam": "client,mysticTime,product",
    "mysticTime": localtime,
    "keyfrom": "fanyi.web"
}
response = requests.post(url=url, headers=headers, cookies=cookies, data=data).text
print(response)

 返回加密数据成功c4aaff6e6c9d477995c4eb68ee829657.png

 

 

二.解密返回参数

返回数据加密,可以通过hook找JSON.parse 这里有道给出了解密接口位置(有点猖狂了)

 hook脚本:

var my_parse = JSON.parse;
JSON.parse = function (params) {
     debugger
    console.log("json_parse params:",params);
    return my_pa
最低0.47元/天 解锁文章

200万优质内容无限畅学
js逆向webpack篇-某电商网站-拼xx
博客
12-01 688
本篇文章仅讲如何定位该加密参数以及如何抠该加密参数,该参数涉及的补环境部分不作讲解
有道翻译的js逆向
weixin_62598379的博客
12-27 797
任务:js逆向有道翻译的参数,实现简易版的翻译 https://fanyi.youdao.com/translate_o?smartresult=dict&smartresult=rule 步骤: 1 分析网页,找到有道翻译的API 2 通过扣代码,补充js环境 3 通过js和python的交互,可以实现 import execjs import requests class Youdao(): def __init__(self,key): self....
有道翻译js逆向
weixin_59419135的博客
01-11 2303
有道翻译最新js逆向 前台识别。
Webpack逆向(附案例)
最新发布
m0_55337562的博客
07-01 1648
本文介绍了JavaScript中匿名函数与Webpack模块系统的核心原理。主要内容包括:1)匿名函数与IIFE模式在Webpack中的应用;2)Webpack模块加载器的实现机制,通过数组/对象结构和闭包管理模块;3)逆向分析Webpack代码的技巧,包括全局对象注入、日志输出和注释初始化;4)以某医疗平台为例,展示了如何通过Hook方法定位加密函数并提取Webpack模块。文章揭示了Webpack利用匿名函数实现模块隔离的核心思想,为逆向工程提供了实用方法。
webpack5+crypto
程序员的专栏
08-04 632
Module not found: Error: Can't resolve 'crypto' webpack5 node 模块
有道翻译爬虫+JS逆向
m0_63853512的博客
04-15 2321
JS逆向分析
网页爬虫之WebPack模块化解密JS逆向
z_ipython的博客
04-26 6806
然后重写 window[“webpackJsonp”] 数组的 push( ) 方法为 webpackJsonpCallback( ),也就是说 window[“webpackJsonp”].push( ) 其实执行的是 webpackJsonpCallback( ),window[“webpackJsonp”].push( )接收三个参数,第一个参数是模块的ID,第二个参数是 一个数组或者对象,里面定义大量的函数,第三个参数是要。所有的资源都是通过JavaScript渲染出来的。
js逆向-webpack-python
Sdwq12的博客
07-12 1119
-发现不同执行方式会有不同得生成n得值也就是 e(直接将代码copy进本地)--t.header.user 是动态变得,获取时通过响应头获取,在传参。--我们需要找到其加载器,都知道本地,使用加载器调用函数。-- e 为 key 并且是随机变换得(但只有两个值)10、需要将另一个其参数的映射文件复制本地。-- 分析发现ee是一个webpack。--发现一部分是一个标准的加载器写法。--en函数错误,在将en导入本地。--然后把加载器赋值给全局变量。--有参数说明是单文件传入。--搜索参数找到其位置。
js逆向——webpack实战案例()
Tandy12356_的博客
09-28 1783
首先通过跟栈的方法找到加密位置我们跟进u函数,发现是通过webpack加载的向上寻找u的加载位置,然后打上断点,刷新网页,让程序断在加载函数的位置u = r.n(a)
JS逆向Webpack()
Wxc的Blog
03-09 6596
JS逆向Webpack 今天我们来学习一下js逆向之扣webpack代码 网址如下 https://www.gm99.com/ 需要逆向的值: 登录请求的password 首先肯定不是md5或者sha1或者des这类的,看上去想rsa,因为可以看到输入相同的密码加密后的结果不一样,好了那我们就开始吧 找到加密点 这是一个xhr请求,那我们直接看方法栈,很容易定位到时在n.login这里做了手脚,点进去看看 然后已经可以发现加密的地方了 然后我们下个断点,再提交一次看看 可以看到是对raw pass
JS逆向---webpack专题讲解
m0_52336378的博客
08-04 3104
webpack是一个现代的前端打包工具,它的主要作用是将多个模块打包成一个或多个静态资源文件。通过配置webpack,我们可以定义入口文件和出口文件,使用插件和加载器来处理不同类型的文件,以及设置开发模式和使用webpack开发服务器。[1][2]使用webpack可以实现模块化开发,提高前端项目的开发效率和性能。对于webpack的配置项,我们需要了解入口和出口的设置,插件和加载器的使用,以及开发模式和webpack开发服务器的运作过程。声明。
JS逆向学习-「有道翻译」逆向详细处理过程
DCSDA的博客
03-26 2426
深入学习js逆向中,这里详细记录下个人针对 有道翻译的 加解密全过程以上方法仅用于学习参考。
js逆向js合并成的webpack
cyz52的博客
04-14 4114
文章目录扣代码练习找加密的位置扣代码开始调用例子 扣代码练习 网站地址 https://web.ewt360.com/register/#/login?_k=4xcfi6 找加密的位置 y.Encrypy 已经找到关键了 就是把y对象提取出来即可 扣代码开始 这里其实看到是AES加密 1、可以去找一个原生的AES加密,一般的网页都不会改写加密的 2、将加密部分的代码扣出来 今天是来解webp...
JS逆向解析之有道翻译
自成背后的博客
10-24 2443
文章目录简单方法 ---调用开源api复杂一丢丢的JS解析常见的加密方法MD5加密base64加密HAMC 加密 简单方法 —调用开源api 这个比较简单四行代码就可以搞定,先放代码: import requests while True: input_data = input('请输入你要翻译的数据:') print(requests.get('http://fanyi.youdao.com/translate',params={'doctype':'json',"type":'AUTO'
js逆向有道翻译获取所需参数,手把手投喂方法简单好学
Aasee的博客
03-01 682
闲着无聊,既然解决了百度翻译的参数就来顺便解决一下有道翻译的,查看了一下有道的参数也是一目了然,没有什么很复杂的隐藏,这篇文章就来逆向获取有道的参数。 分析 首先依旧是对页面进行分析,这是我找到的页面,我们进去按f12打开开发者界面进行分析,输入一个你想翻译的文字,像这样 选择network找到这个链接,可以看到这个就是我们所需要的数据,然后我们对他的参数进行分析 可以看到我们需要这些参数,我们再输入另外一个需要翻译的词语看看参数有没有什么变化。 可以发现i 就是我们需要翻译的文字,from,to都
js逆向爬虫】-有道翻译js逆向实战
weixin_69999177的博客
07-17 3603
毕加锁(锁!)今天给大家带来的是【js逆向爬虫】-有道翻译js逆向实战。
某道翻译逆向
ohh11的博客
02-20 2115
步骤1:观察和捕获网络请求了解有道翻译发起的各个请求,确认需要逆向的接口参数和返回加密数据。步骤2:定位签名生成(sign)函数利用XHR断点、全局搜索、栈断点等手段,定位生成sign的核心代码,并扣出关键部分,补全缺失内容。步骤3:定位AES解密函数通过调试定位返回数据的解密逻辑,扣出核心代码,整理出利用AES-128-CBC方式解密返回数据的流程。步骤4:整合与优化代码将扣出的代码进行变量补全、删除冗余,替换第三方引用,确保代码能够独立运行。步骤5:转换和验证。
从零开始学逆向js逆向启蒙:有道翻译
没有蛀牙lm的博客
05-24 1937
js、pythonpycharm、chrome浏览器F12调试、chatgpt(补充js第三方,转python)、node.js(js运行)(必须)学习掌握基本js逆向知识。;原因:1、平台加密相对而言,比较简单。2、但是相较于一般平台,已加入了混淆;适合入门进阶能够了解逆向的整体流程和手段。具有一定指导性意义;chatgpt在逆向中的应用。通过xhr debug、栈debugger、事件定位等多种调试手段,在js文件中找到完整的核心js函数、变量。
JS逆向有道云翻译
微信号:RunsenLiu
12-19 1376
上次完成了百度翻译,这次搞搞有道云翻译,连百度翻译都可以搞定,那有道云翻译算个屁啊 js逆向有道云翻译 比较两次的data的参数,有四个是变化的 一个salt,一个sign,一个ts,一个bv 同时注意到salt去掉最后一个数字就是bv,几次都是这样子 salt 我直接把salt搜出来,不一个一个往上找了,这种成功率还是可以的 就是他们四个 r应该是个函数,往下看看 不就全出来的吗?原来...
js逆向webpack 加载器
01-21
### 实现 JavaScript 逆向工程与 Webpack 自定义加载器 在 Webpack 中创建自定义加载器可以极大地扩展构建工具的功能。通过编写特定于项目的加载逻辑,能够处理各种资源转换需求。 #### 创建基础加载器结构 为了...
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值