IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> Python知识库 -> JS加密破解案例分享 -> 正文阅读

[Python知识库]JS加密破解案例分享

JS加密破解案例分享

? 我们在提取某个接口数据的时候,往往后端服务器需要进行身份认证。因此我们要提取数据的时候就有因为这个认证导致我们的接口不能够获取到想要的数据。这样我首先先分析一般登录的流程。

问题分析

界面输入用户名密码–》到后台服务器中验证–》服务器验证通过–》登录成功

服务器验证不通过–》登录失败

技术资源

在这里首先我们要引入python的requests库中的session对象。

会话对象让你能够跨请求保持某些参数。它也会在同一个 Session 实例发出的所有请求之间保持 cookie, 期间使用 urllib3connection pooling 功能。所以如果你向同一主机发送多个请求,底层的 TCP 连接将会被重用,从而带来显著的性能提升。 (参见 HTTP persistent connection).这里利用这个特性,就能完成我们登录,之后在去获取信息。

示例分析

这里我拿一个示例网站来分析如何保持登录状态,在调研需要登录了之后才能提取到相应信息的接口。

解决过程: 查询登录接口—查找登录接口需要的参数信息—获取登录加密后的用户名和密码信息(python模拟加密过程)—组合登录接口请求信息— 创建保持会话对象—进行登录 —在进行其他接口获取。

首先打开网站的登录界面,我们使用F12定位到登录界面添写,用户名和密码的html界面,查看到登录源码如下

<div id="wrapper" class="clearfix">
	<div class="aw-login-wrap clearfix">
		<!-- 登陆框 -->
		<div class="aw-login-box pull-right">
			<div class="aw-mod">
				<div class="aw-mod-head">
					<a href="https://www.jisilu.cn/account/register/" class="aw-btn b-new-user pull-right">注册新用户</a>					<i class="aw-icon i-login-user-no-hover"></i>
					登录				</div>
				<div class="aw-mod-body">
					<form id="login_form" method="post" onsubmit="doLogin();return false;" action="https://www.jisilu.cn/account/ajax/login_process/">
						<input type="hidden" name="return_url" value="https://www.jisilu.cn/" />
						<ul>
						                        							<li>
								<label class="aw-label-icon pull-left" for="aw-login-user-name"><i class="aw-icon i-login-user-no-hover"></i></label>
								<input type="text" id="aw-login-user-name" placeholder="预留的手机号" name="user_name" value="server" />
							</li>
							<li>
								<label class="aw-label-icon pull-left" for="aw-login-user-password"><i class="aw-icon i-key"></i></label>
								<input type="password" id="aw-login-user-password" placeholder="密码" name="password" />
							</li>
							<li class="error error-message hide">
								<p><i class="aw-icon i-no"></i><em id="show_error_msg"></em></p>
							</li>
							<li class="last">
								<a href="javascript:;" onclick="doLogin(); return false;" id="login_submit" class="pull-right btn btn-large btn-success">登录</a>
								<input id="login-radio" type="checkbox" value="1" checked="true" name="net_auto_login" />
								<label for="login-radio">记住我</label>
								<a href="https://www.jisilu.cn/account/find_password/" style="color: #08c;">忘记密码</a>
							</li>
						</ul>
					</form>
				</div>
				<div class="aw-mod-footer">
					<a title="微信登录" class="js-bindwechat" href="/wx/open/login/" style="color: #08c;"><i class="sprite-index-icon-wechat"></i>微信登录</a>
									</div>

通过分析上面的登录源代码,发现登录调用的是doLogin()函数,我们可以通过前端断点的方式定位到doLogin()函数的执行逻辑

var A397151C04723421F = '397151C04723421F';
function doLogin(){
    var data = $('#login_form').serializeObjectToJson();
    data['_post_type'] = 'ajax';
    data['aes'] = 1;
    data['user_name'] = jslencode(data['user_name'], A397151C04723421F);
    data['password'] = jslencode(data['password'], A397151C04723421F);
	$("body").css("cursor", "progress");
    $.post('/account/ajax/login_process/', data, function(rst){
    	$("body").css("cursor", "default");
        on_login_error_processer(rst);
    }, 'json');
}

从这个位置就能够详细的查看到登录使用的后端接口和接口请求需要的参数。从上面的user_name和password两个参数看到,这个地方使用的一个自定义函数进行加密。

看到这个位置我们不难发现我们需要解决的问题就应该在这个位置。这里有两种方法解决:

  1. 可以查看 jslencode函数是如何实现的,找到python相关的库重写jslencode实现的业务逻辑。
  2. 直接断点获取加密后的请求参数数据,保存到自己的请求参数中。查看请求体中是否还有其他参数,一同添加上。同样的账号他加密后的结果是一样的。

这个位置我使用的是第2中方法来解决。示例代码如下:

import requests

sess = requests.session()
login_in_url = 'https://www.jisilu.cn/account/ajax/login_process/'
data = {'aes': 1,
        'net_auto_login': "1",
        'password': "5b5c8ba28de211a7f358eb533345554",
        'return_url': "https://www.jisilu.cn/",
        'user_name': "97a468e9df2wweew2131a59c1a6b61c",
        '_post_type': "ajax"}
headers = {
    'X-Requested-With': 'XMLHttpRequest',
    'Content-Type': 'application/x-www-form-urlencoded; charset=UTF-8',
    'User-Agent': "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/73.0.3683.103 Safari/537.36",

}
res = sess.post(login_in_url, data=data, headers=headers)
print(res.json())

base_url = 'https://www.jisilu.cn/data/cbnew/cb_list/?___jsl=LST___t=1573193958081'
response = sess.get(base_url, headers=headers)
text = response.text
print(text)

到这里我们就解决的js这种加密问题。

  Python知识库 最新文章
Python中String模块
【Python】 14-CVS文件操作
python的panda库读写文件
使用Nordic的nrf52840实现蓝牙DFU过程
【Python学习记录】numpy数组用法整理
Python学习笔记
python字符串和列表
python如何从txt文件中解析出有效的数据
Python编程从入门到实践自学/3.1-3.2
python变量
上一篇文章      下一篇文章      查看所有文章
加:2021-08-22 13:29:59  更:2021-08-22 13:32:24 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/26 11:31:30-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计