破了这几种爬虫加密算法后,我的路更近了「JS逆向3」
off999 2024-11-06 11:28 20 浏览 0 评论
来源:麦叔编程
作者:kevin。
JS逆向是爬虫的难点,是爬虫路上的拦路虎。所谓逆向就是破解网站使用的JS加密算法,拆解相关的参数。然后就可以登堂入室了。
本文总结了JS中最常用的加密算法。正所谓练武不练功,到老一场空。掌握好加密算法就是爬虫技术的功。如果你是爬虫是认真的,认真阅读,收藏,讨论。
伪加密算法:base64
Base64是一种用64个字符来表示任意二进制数据的方法。
问:为什么base64被成为伪加密算法?
答:使用base64将明文变成密文的操作最多算是混淆。没有密钥注入算法,所以只要拿到密文进行base64解密就能得到对应的明文。
当然还有一种情况就是实现base64的代码被改写,成为定制版的base64算法。这也没关系,把js代码抠出来再用python去执行,也能将密文解密。
识别方式:由于base64的编码的特性,要编码的二进制数据如果不是3的倍数,最后会剩下1个或2个字节,Base64用\x00字节在末尾补足后,再在编码的末尾加上1个或2个=号,表示补了多少字节。根据这个特性,一般密文结尾处如果是'='结尾的,可以先判断是base64编码而成。
信息摘要算法:MD5、SHA
摘要算法又称哈希算法、散列算法。它通过一个函数,把任意长度的数据转换为一个长度固定的数据串(通常用16进制的字符串表示)。
信息摘要算法信息摘要位数备注MD5128bit
SHA-1160bit
SHA-224224bitSHA-256的“阉割版”SHA-256256bit
SHA-384384bitSHA-512的“阉割版”SHA-512512bit
摘要算法不能被称为加密算法,因为它是单向操作明文的。单向操作的意思就是,将明文变成‘密文’之后是无法再将'密文'变成明文(部分信息摘要算法已经被突破,可实现'密'转明)。
基于这种单向操作的特性,摘要算法一般被用于确保信息传输完整一致。在爬虫模拟登录部分这种算法用得会比较多,举个栗子:
假设我现在要将用户名是kevin,密码是123在网页上进行登录,浏览器会先通过js代码将密码123转成202cb962ac59075b964b07152d234b70(MD5)再发送给服务器。服务器收到后,知道这个用户名为kevin想要登录,所以从数据库中调取了kevin对应的密码123,然后在服务器端也对123进行相应的加密(哈希)也得到202cb962ac59075b964b07152d234b70,校验两者一致,服务器就返回给客服端登录成功的响应。
在实际JS逆向中哈希函数的源码经常会被改写,成为定制版哈希函数;还有就是在哈希过程中,明文会被加盐值,遇到些情况就需要认真分析源码。
加盐:上述栗子中,只对密码进行 md5 加密是肯定不够的。聪明的程序员想出了个办法,即使用户的密码很短,只要在他的短密码后面加上一段很长的字符,再计算 md5 ,那反推出原始密码就变得非常困难了。加上的这段长字符,我们称为盐(Salt),通过这种方式加密的结果,我们称为加盐 Hash。
import hashlib
md5 = hashlib.md5()
md5.update(b'123I_love_salt')
#此处的盐值为 'I_love_salt'
print(md5.hexdigest())
207a9e3b7f1d0c08f5444c8cb92f8d85 #运行结果
识别方式:无论明文数据的长度,经过哈希之后,长度都是固定的。MD5是32位十六进制数,SHA1是40位十六进制数,SHA224是56位十六进制数等等。在获得密文数据后,可先判断是否是十六进制数构成,再判断其长度是否是常见信息摘要位数。
对称加密(加密解密密钥相同):DES、3DES、AES
对称加密的核心就是密钥,拿到密钥就等于拿到数据。也不用去管你是AES还是DES,还有多少轮加密的,拿到密钥就用python现成的库去实现解密。
AES密钥长度密钥长度对应的轮数128bit10192bit12256bit14
识别方式:密文数据的长度会随着明文数据的长度而变化。
非对称加密(分公钥私钥):RSA
对付像RSA这种非对称加密算法,我们心中应牢记十六字方针——“公钥加密,私钥解密。私钥加密,公钥解密”。
在非对称加密算法中,加密与解密的密钥肯定是不一样的(一样的话,就不叫非对称加密算法了)。牢记“十六字方针”后,我们只要找到‘公钥’和‘私钥’就能解密了。当然python也有现成的库进行RSA解密。
识别方式:RSA公钥加密会进行类似MD5加盐的操作,所以相同的明文,用相同的公钥进行RSA加密会生成不同的密文。
RSA的密钥对不仅可能存在JS代码中,还有很有可能会存在在HTML文件中。这时我们进行全局搜索关键词RSA,KEY,encrypt一处处判别就会有意外收获。
自定义加密函数
顾名思义,这种加密解密形式是非常规的,每个程序员都可以写属于自己风格的加密方式。对于逆向这种加密方式,我们还是抠出加密代码就行了。
这种形式的加密方式应该算逆向中最难的,因为解密者需要去理解加密者的代码逻辑,并避开加密者设的各种坑。最后就看谁JS玩得更6了。
补充
在实际逆向项目中MD5、SHA、AES、RSA,自定义加密函数使用频率是最多的。而且极有可能会碰到多种不同加密算法混合使用,例如:网页数据先base64再AES再进行base64,或者解密明文的RSA的密钥对被AES加密了等等情况。
DES、3DES、AES、RSA、MD5、SHA传入的数据或者密钥都是bytes数据类型,不是bytes数据类型的需要先转换;密钥一般是8的倍数。
附录参考
下面表格是把明文123用不同算法加密后的密文。相关的加密方法源码可以在下面的知识星球获得。
相关推荐
- 推荐一款Python的GUI可视化工具(python 可视化工具)
-
在Python基础语法学习完成后,进一步开发应用界面时,就需要涉及到GUI了,GUI全称是图形用户界面(GraphicalUserInterface,又称图形用户接口),采用图形方式显示的计算机操...
- 教你用Python绘制谷歌浏览器的3种图标
-
前两天在浏览matplotlib官方网站时,笔者无意中看到一个挺有意思的图片,就是用matplotlib制作的火狐浏览器的logo,也就是下面这个东东(网页地址是https://matplotlib....
- 小白学Python笔记:第二章 Python安装
-
Windows操作系统的python安装:Python提供Windows、Linux/UNIX、macOS及其他操作系统的安装包版本,结合自己的使用情况,此处仅记录windows操作系统的python...
- Python程序开发之简单小程序实例(9)利用Canvas绘制图形和文字
-
Python程序开发之简单小程序实例(9)利用Canvas绘制图形和文字一、项目功能利用Tkinter组件中的Canvas绘制图形和文字。二、项目分析要在窗体中绘制图形和文字,需先导入Tkinter组...
- 一文吃透Python虚拟环境(python虚拟环境安装和配置)
-
摘要在Python开发中,虚拟环境是一种重要的工具,用于隔离不同项目的依赖关系和环境配置。本文将基于windows平台介绍四种常用的Python虚拟环境创建工具:venv、virtualenv、pip...
- 小白也可以玩的Python爬虫库,收藏一下
-
最近,微软开源了一个项目叫「playwright-python」,作为一个兴起项目,出现后受到了大家热烈的欢迎,那它到底是什么样的存在呢?今天为你介绍一下这个传说中的小白神器。Playwright是...
- python环境安装+配置教程(python安装后怎么配置环境变量)
-
安装python双击以下软件:弹出一下窗口需选择一些特定的选项默认选项不需要更改,点击next勾选以上选项,点击install进度条安装完毕即可。到以下界面,证明安装成功。接下来安装库文件返回电脑桌面...
- colorama,一个超好用的 Python 库!
-
大家好,今天为大家分享一个超好用的Python库-colorama。Github地址:https://github.com/tartley/coloramaPythoncolorama库是一...
- python制作仪表盘图(python绘制仪表盘)
-
今天教大家用pyecharts画仪表盘仪表盘(Gauge)是一种拟物化的图表,刻度表示度量,指针表示维度,指针角度表示数值。仪表盘图表就像汽车的速度表一样,有一个圆形的表盘及相应的刻度,有一个指针...
- 总结90条写Python程序的建议(python写作)
-
1.首先 建议1、理解Pythonic概念—-详见Python中的《Python之禅》 建议2、编写Pythonic代码 (1)避免不规范代码,比如只用大小写区分变量、使用容易...
- [oeasy]python0137_相加运算_python之禅_import_this_显式转化
-
变量类型相加运算回忆上次内容上次讲了是从键盘输入变量input函数可以有提示字符串需要有具体的变量接收输入的字符串输入单个变量没有问题但是输入两个变量之后一相加就非常离谱添加图片注释,不超过1...
- Python入门学习记录之一:变量(python中变量的规则)
-
写这个,主要是对自己学习python知识的一个总结,也是加深自己的印象。变量(英文:variable),也叫标识符。在python中,变量的命名规则有以下三点:>变量名只能包含字母、数字和下划线...
- 掌握Python的"魔法":特殊方法与属性完全指南
-
在Python的世界里,以双下划线开头和结尾的"魔法成员"(如__init__、__str__)是面向对象编程的核心。它们赋予开发者定制类行为的超能力,让自定义对象像内置类型一样优雅工...
- 11个Python技巧 不Pythonic 实用大于纯粹
-
虽然Python有一套强大的设计哲学(体现在“Python之禅”中),但总有一些情况需要我们“打破规则”来解决特定问题。这触及了Python哲学中一个非常核心的理念:“实用主义胜于纯粹主义”...
- Python 从入门到精通 第三课 诗意的Python之禅
-
导言:Python之禅,英文名是TheZenOfPython。最早由TimPeters在Python邮件列表中发表,它包含了影响Python编程语言设计的20条软件编写原则。它作为复活节彩蛋...
你 发表评论:
欢迎- 一周热门
- 最近发表
- 标签列表
-
- python计时 (73)
- python安装路径 (56)
- python类型转换 (93)
- python进度条 (67)
- python吧 (67)
- python字典遍历 (54)
- python的for循环 (65)
- python格式化字符串 (61)
- python静态方法 (57)
- python列表切片 (59)
- python面向对象编程 (60)
- python 代码加密 (65)
- python串口编程 (60)
- python读取文件夹下所有文件 (59)
- java调用python脚本 (56)
- python操作mysql数据库 (66)
- python获取列表的长度 (64)
- python接口 (63)
- python调用函数 (57)
- python多态 (60)
- python匿名函数 (59)
- python打印九九乘法表 (65)
- python赋值 (62)
- python异常 (69)
- python元祖 (57)