JS逆向- 颜加 sign 加密参数逻辑分析

目标网站

aHR0cDovL2ppZmVuLmtvdWhvbmdndWkuY29tLyMvc

mVnaXN0ZXJob21lP3Rva2VuPTE1NDcxNzcwMzY0MD

g0M184MTEzNjEwZjM3MTc0OTI4OTQwNjJhNjc2MWU

zZWJmYiZ1c2VySWQ9MTU0NzE3NzAzNjQwODQzJm

5pY2tOYW1lPTE1MCUyYSUyYSUyYSUyYTM0MDM=

这次要解析的是这个网站发送短信时会出现的sign

分析请求

我们分析一个加密参数第一步还是要抓包。

我们随便填入一个手机号,点击发送验证码。【图1-1】

图1-1

点击发送后,可以看到在Network面板成功捕获请求了。【图1-2】

图1-2

知道请求之后通常是检索参数名,所以直接检索即可。

定位加密

通过枚举之前套路中提到的检索项,逐步将检索的结果缩减到下面这个检索项中。【图2-1】

图2-1

看到标黄位置的赋值,大概加密的位置就是这里了。

在如图的位置打上断点【图2-2】

重新发起一次接受验证码的请求。可以看到断点断上了。【图2-3】

图2-3

接下来就是按部就班的调试了,这个例子很简单。

将参数传入【图2-4】

经过 RSA 加密,将加密后的结果用 Base64 编码【图2-5】

图2-5

之后就是拼接的操作,现在想找这么简单的例子不好找了。

难度评级【0.2星】

代码就不扣了。

煌金 wechat
扫描关注公众号,回复「1024」获取为你准备的特别推送~
  • 本文作者: 煌金 | 微信公众号【咸鱼学Python】
  • 本文链接: http://www.xianyucoder.cn/2020/02/28/每日JS-颜加sign/
  • 版权声明: 本博客所有文章除特别声明外,均采用 许可协议。转载请注明出处!
  • 并保留本声明和上方二维码。感谢您的阅读和支持!