aHR0cHM6Ly93d3cueW91emhpY2FpLmNvbS9zbjEvMDEwMi5odG1sCiA=
1.请求目标网站
发起请求,返回结果如下
目标网站请求头Cookie信息
看到这里,大概率跟“spvrscode”值有关系,只要cookie带上这个值,就能正常返回数据
2.分析返回代码
看到返回混淆代码就比较有经验了,之前某招标网站也是返回混淆的script代码,在这我们先把返回代码放到浏览器控制台格式化一样看看有什么猫腻,这个网站运气就比较好了,没什么检测格式化死循环的代码,如图。
首先看到这几个关键字,猜大概率是AES或者DES加密了,不过在这里更要注意的是下边的document[_0x3cc240(0x8e)] = ck,大概率这个就是spvrscode的值了,为了验证猜测,运行下这段代码
本以为没有检测,结果一运行还蹦出来个debugger,没办法跟一下看看是那个函数触发的debugger
还好,他这里没啥东西,一个定时器触发的debugger,这里没什么关联代码,直接干掉定时器,再运行一下啊看看有没有问题
提示CryptoJS没有找到,下个debugger,看看CryptoJS在哪里定义
F11进入CryptoJS函数内,看看那个函包含parse
如图,定义全局变量CryptoJS,将_0x19a8fe导出
现在我们在运行代码,不报任何错误了,开始验证之前的猜测
是DES加密,并且ck就是spvrscode的值,这里要注意的是,a值和b值都是动态的,实际运用过程中要动态取值
本文仅交流学习使用,如有侵权请联系作者删除
网友评论