【JS逆向】某验三代点选逆向分析

已于 2025-03-26 20:14:36 修改
阅读量1.5k 收藏 20
点赞数 23
CC 4.0 BY-SA版权
文章标签: python
于 2025-03-21 22:02:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46780369/article/details/146429931

某验3代点选逆向分析

本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关.本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责

逆向目标

站点:aHR0cHM6Ly93d3cuYmlsaWJpbGkuY29tLw==

目标:某某验点选

配套视频:视频

抓包分析

提前打开F12,进入网站点击登录,手动点错一次提交后,观察发包:

在这里插入图片描述

这5次请求为核心请求,依次分析。

1. gettype.php

在这里插入图片描述

发现其主要参数为gt,且能搜索到是来自于capthca这个接口,再看看这个接口有什么:

在这里插入图片描述

观察主要返回这些内容,在接下来的流程中可能会用到。

2. get.php

响应内容:返回了很多字段,可能后续有用

在这里插入图片描述

请求参数:gt,challenge上一步我们已经拿到。w看起来似乎要处理。

在这里插入图片描述

3. ajax.php

这里就不贴图了,跟第2步的请求参数一样,可能要处理w。至于响应内容,则返回的是当前验证码类型:

{
   
   "status": "success", "data": {
   
   "result": "click"}}
4. get.php

响应内容:pic返回了图片,以及一些字段后续可能用到

在这里插入图片描述

请求参数:没有需要特别处理的,此前全都能取到。

在这里插入图片描述

5. ajax.php

响应内容:返回fail,正是点击失败的返回,这一步就是去验证验证码了

{
   
   
    "status": "success",
    "data": {
   
   
        "result": "fail"
最低0.47元/天 解锁文章

200万优质内容无限畅学
ShriyGo
关注
三代推理证码逆向分析
猫敷雪
03-09 967
在对某网站(aHR0cHM6Ly9qenNjLm1vaHVyZC5nb3YuY24vZGF0YS9jb21wYW55L2RldGFpbD9pZD0wMDIxMDUyOTEyMzk0NTEzMDk=)进行逆向爬虫的过程中,发现除了常规的js加密算法外,还存在如下图所示的推理证码,经过分析采用的是极三代空间推理证码,因此本篇文章针对证码进行逆向分析。经过分析发现,证码每次会大概每次爬取40+数据,就会触发证码机制,如果不进行处理,那么每次都需要手动更新accesstoken,非常麻烦。
3代文字点选逆向分析
qq_35249586的博客
09-16 1886
3代文字点选逆向分析
点选 js逆向 参数详解 思路 极3代点选证码
学习交流Q群:450297392
12-11 1414
一、分析接口请求注:本篇博客仅供学习使用,请勿用作其他商业用途一、分析接口请求1.一共有多个接口地址,分别为:2.其中ajax接口会请求两次,第二次为证码是否通过,通过会返回validate,并且status值为success。
【JavaScript 逆向】极三代无感证码逆向分析
Yy_Rose的博客
01-05 6426
三代无感证码两个 w 参数逆向分析,新年快乐~
3逆向 JS逆向最新点选证码 逆向分析详解
学习交流Q群:450297392
05-28 1310
原创文章,请勿转载!本文内容仅限于安全研究,不公开具体源码。维护网络安全,人人有责。本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关。 本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请联系作者立即删除,请各位自觉遵守相关法律法规。具体位置为官网的demo(float):demo 列表 1.拿gt与challenge
JS逆向练习】极三代一键通过模式证码JS逆向分析
qq_29091459的博客
10-28 1876
地址:aHR0cHM6Ly93d3cuZ2VldGVzdC5jb20vZGVtby9mdWxscGFnZS5odG1s。
3点选js逆向
瑾年
12-22 769
参数及环境已破解,识别自己训练或者打码平台,成功返回。极3的点选证主要是请求流程,识别和w参数。极3.0,图标点选文字点选js逆向。。
三代滑块证码逆向分析
qq_49349528的博客
06-16 1268
三代滑块
JS逆向练习】极三代滑块模式证码逆向分析
qq_29091459的博客
12-29 2531
上一篇,分析了一键通过模式的证,这次准备把对滑块分析的过程更详细记录下来
证码逆向专栏】极三代、四代点选证码逆向分析
K哥爬虫
03-30 2506
因此 t 是将十六位随机字符串加密后得到的,这里为 RSA 加密,从原型链中跟进去即可找到公钥和模值,将代码扣下来或者直接用库都行,至此 l 值分析完了,接下来是 h 值,接口,虽然只返回了证码类型,没什么关键参数,但是不请求会报错,点击文字进行证后,抓到第二个。方法加密后得到 p,跟进去扣下来即可,三代图标、语序除了 a 的写法,其他逻辑都是一样的。,跟进去打断分析会发现是 AES 加密,初始向量 iv 为。i 上文讲了,为十六位随机字符串,e 中。,同样后面会用到,这个接口的。
JS逆向|某三代一键通过模式(2023-3-6)
Hamsung
03-06 747
JS逆向|某三代一键通过模式(2023-3-6)
2024最新【JS逆向】某3代无感证码逆向分析3代无感证码_js逆向无感
2303_79055586的博客
05-12 1380
(二)、点击提交后会加载1.点击提交后请求的接口2.模拟用户登陆成功的接口(提交请求成功后返回的validate)
RAGFlow Agent 知识检索节点源码解析:从粗排到精排的完整流程
澄南澄北的博客
08-01 920
文本检索:基于关键词匹配,擅长精确匹配和术语查找向量检索:基于语义相似度,擅长理解查询意图和同义词匹配Embedding 检索方法通过分别编码 Query 和 Chunk 得到向量,并用余弦相似度评估相关性。优点是可以提前计算Chunk的向量并存储,检索效率高、可大规模向量召回,适合在粗排阶段使用。但这种独立编码方式无法建模两者之间的语义交互。而 Rerank 模型会将 Query 和 Chunk 作为一个成对的输入,同时送入模型进行处理。
使用yolo11训练饮料瓶盖缺陷检测质量检测数据集VOC+YOLO格式1432张5类别步骤和流程
FL1623863129的博客
08-03 732
训练完成后,最佳权重保存路径为:runs/detect/train/weights/best.pt,如果多次运行命令runs/detect/train2,runs/detect/train3文件夹生成只需要到数字最大文件夹查看就可以找到模型。经过上面训练可以使用模型做一步部署,比如使用onnx模型在嵌入式部署,使用engine模型在jetson上deepstream部署,使用torchscript模型可以在C++上部署等等。通过比较不同模型在这些指标上的表现,可以判断哪个模型在实际应用中可能更有效。
numpy广播
2402_89746772的博客
08-01 442
展平数组并返回拷贝(修改不影响原数组)。展平数组并返回视图(修改会影响原数组)。将数组广播到指定形状(返回只读视图)。数组元素迭代器,用于遍历所有元素。不改变数据,仅修改数组形状。对换数组维度(矩阵转置)。删除数组中的一维条目。滚动指定轴到新位置。
ORACLE复杂查询
ZZH1120KQ的博客
08-04 1207
在Oracle数据库中,逻辑判断和条件判断是两个密切相关但又不完全相同的概念。逻辑判断主要关注的是根据逻辑运算符(如AND、OR、NOT)对条件表达式的结果进行逻辑运算,从而得出最终的布尔值(true或false)。条件判断则更侧重于根据给定的条件或表达式来判断某个操作是否应该执行,或者应该执行哪个分支的操作。
JumpServer 堡垒机全流程搭建指南及常见问题解决方案
最新发布
2401_83649605的博客
08-05 830
文章详细介绍了JumpServer的技术架构和部署流程,包括基础环境配置、数据库安装等步骤。JumpServer采用分布式架构,支持多机房部署,无资产数量和并发限制,是企业IT安全运维的理想选择。
【笔记】ROS1|5 ARP攻击Turtlebot3汉堡Burger并解析移动报文【旧文转载】
shandianchengzi的博客
08-04 553
本文介绍了如何使用ARP攻击技术干扰Turtlebot3汉堡机器人的ROS通信。作者首先讲解了ARP协议的基本原理和攻击依据,然后通过实演示了如何利用arpspoof工具实施ARP欺骗攻击,包括干扰普通主机上网和小车与控制机的通信。文章提供了详细的实步骤和思考题,并建议读者在虚拟机环境下进行实践。实结果显示,通过持续发送虚假ARP响应包可以成功劫持网络通信,开启IP转发后虽能恢复但会降低网速。最后作者还演示了如何解析被攻击机器人的移动控制报文。
Google Map V3开发教程:搜索与多点标注功能解析
Google Maps API v3是谷歌公司提供的一套用于在网页上嵌入Google地图功能的JavaScript API。开发者利用这套API能够创建具有交互性的地图应用,并实现各种地图服务功能,如地图展示、搜索定位、地点标注以及多点路径...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值