web逆向-webpack代码自吐

原创 已于 2025-05-29 17:47:50 修改 · 1.6k 阅读 · 13 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#javascript
于 2025-05-29 16:49:39 首次发布

0 声明

本文仅用于技术交流

1 分析

网站:aHR0cHM6Ly9zcGEyLnNjcmFwZS5jZW50ZXIv
一个webpack练手网站
分析一下接口
一个简单的get请求,请求url中添加了一个加密参数token
在这里插入图片描述
定位加密位置的方式比较多,这里还是使用习惯用的请求拦截器,在代码中搜索interceptors.requets.use,找到了之后打断点定位
在这里插入图片描述
重新加载页面,通过堆栈去找token加密位置,发现params中的token值是e,在这里打断点
在这里插入图片描述
翻页,使断点定住,分析代码,方法i.a传入了两个参数,第一个参数是this.$store.state.url.index,发现其值固定为/api/movie,第二个参数e,是通过(page - 1) * 10计算得来,即第一页值为0,第二页值为10,依次类推,再看最重要的方法i.a,发现i并没有在在此方法内部,往上找,发现i = e("7d92"),看起来比较像webpack,还是打个断点跟一下
在这里插入图片描述
翻页的话在i处是断不住的,更加验证了是webpack,需要重新加载页面
断住了之后进入e方法内部
可以看到是一个标准的webpack的构造器,代码如下

function c(t) {
    if (r[t])
        return r[t].exports;
    var n = r[t] = {
        i: t,
        l: !1,
        exports: {}
    };
    return e[t].call(n.exports, n, n.exports, c),
    n.l = !0,
    n.exports
}

在控制台输出发现共加载了253个函数
在这里插入图片描述
按照往常的方式我们可能会把这个文件完整的复制过来,直接运行,但是会发现调用到的函数不全,是因为这个网站把一部分函数通过webpackJsonp放到了别的文件里
在这里插入图片描述
这就需要另辟蹊径,我们先把整体代码拿到本地,进行两处的修改

  1. 给代码头部添加!防止报错
    在这里插入图片描述

  2. 删除所有调用的函数
    在这里插入图片描述
    那么现在就开始补调用的函数
    我们在webpack构造器处发现r原本应该是传入的那些函数(也可叫模块),现在给置为空对象,再定义一个空对象
    在这里插入图片描述
    然后在构造器的if判断出打上条件断点wp[t] = e[t], false,之后放行在控制台输出看下总共调用了多少函数,调用多少就补多少
    在这里插入图片描述
    发现调用了47个,但是实际应该是48个,因为在我们使用条件断点的时候已经加载了7d92,但是48个函数补起来也比较麻烦,可以直接使用命令Object.entries(wp).map(([key, value]) => “${key}”: ${value}).join(", ")进行代码自吐,wp是一个object对象,使用Object.entries使其变成一个数组,在使用数组的map方法对数组内的每个元素进行解构赋值操作并返回一个新的数组,再通过join方法进行字符串拼接
    在这里插入图片描述
    直接右击复制字符串内容,插入到我们的代码中即可,别忘记补“7d92”放到最上面
    编辑器里格式化下可以看到比较清楚
    在这里插入图片描述
    之后还是做以下操作:

  • 定义window = global;
  • 在构造器下进行导出 window.duan = c;
  • 外部调用window.duan

测试下看到可以得到正确的结果
在这里插入图片描述
代码太长了,就不往文章里贴了

webpack自动打包和热更新的实现方法
10-16
主要介绍了webpack自动打包和热更新的实现方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
【python】webpack是什么,如何逆向webpack打包的js代码
景天科技苑
03-24 6148
Webpack是一个现代的静态模块打包工具,它主要用于前端开发中的模块化打包和构建。 通过Webpack,开发者可以将多个模块(包括JavaScript、CSS、图片等)进行打包,生成优化后的静态资源文件,以供在浏览器中加载和运行。 webpack网站逆向案例分享。
JS逆向Webpack
qq_15326513的博客
07-15 4761
在这篇文章里面,我们重新利用两个方法来实现扣出代码优化代码webpack所有方法和webpack精减代码法。把这两个方法结合起来使用。一、Webpack是什么??webpack是一个基于模块化的打包(构建)工具, 它把一切都视作模块.概念:webpackJavaScript 应用程序的模块打包器,可以把开发中的所有资源(图片、js文件、css文件等)都看成模块,通过loader(加载器)和plugins(插件)对资源进行处理,打包成符合生产环境部署的前端资源。
网安核心知识点:Web / 软件 / 安卓 / APP 逆向全汇总
最新发布
m0_71746416的博客
04-16 1029
摘要:逆向工程是通过拆解分析软件程序来推导其源代码、设计原理等的过程,包括Web逆向、软件逆向、安卓逆向等类型。常用工具有OllyDbg、IDA Pro等。学习逆向工程能培养独特的计算机视角,但需要扎实的基础知识积累。网络安全学习建议从基础开始系统掌握,而非追求速成。文中提供了282G网络安全学习资料包,包含视频教程、技术书籍、工具源码等资源,适合从入门到进阶的学习需求。(149字)
JS逆向实战案例之----【通姆】252个webpack模块自
m0_62050444的博客
08-09 1227
本文分析了某电商网站(aHR0cHM)的sign签名加密机制。通过Chrome开发者工具定位到前端使用webpack4.x打包,包含252个模块。研究采用以下步骤:首先抓取含sign的XHR请求,识别webpack特征;然后导出加载器代码,通过Node.js动态执行并导出所有模块源码;最后补全浏览器环境,复现加密算法。关键点是在加载器处添加条件断点,将模块赋值给全局变量后批量导出。该方法需在浏览器环境中运行以避免性能问题,最终成功提取出加密模块fadf的sign生成逻辑。
【JS逆向】之webpack实战(越挫越勇)
weixin_44504978的博客
05-10 2900
​声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢! 前言:在这篇文章里面,我们重新利用两个方法来实现扣出代码优化代码webpack所有方法和webpack精减代码法。把这两个方法结合起来使用。 流程: 1.抓取参数 定位参数位置 分析参数的加密流程 扣出代码,运行 优化webpack代码 目标网址: aHR0cHM6Ly93d3cuZmRjMzg4OC5jb20= 1.我这里写的是XZ的JM逆向部分 ,就是他提交的data参数。 2.定位参数,这里如果直接搜索d
点点数据webpack环境
puppies的博客
03-28 1344
虽然群友已经搞出来了,但是前面扣某滑块的verifyParam参数时,扣了个webpack打包的加密,整整干了我俩个小时,中午吃饭的时候手都快抽抽了,正好这个加密又碰到了webpack打包索性就研究下怎么能快速导出下所需的函数解放一下我得双手。追进来后可以很明显看到这是一个webpack的加载器,正常我们扣的话就是把这个加载器拿出来然后打印e的值 然后在每次去页面上找缺失的e的值这样循环往复知道代码不报错位置,这样抠出来的代码,除了有点废手指外 代码逻辑还是很美观的。下断点,点击别的榜单,然后单步跟进。
逆向篇】Web逆向WebPack结构分析
MAI44的博客
12-23 4076
用需要找到这个加密代码段给扣下来,进行加密,方便我们写的爬虫或者采集工具去自动登录或者其他操作,一般前端加密代码一个难点是处理webPack打包结构的代码webpack字如其名,实际上是网页代码的一种打包机制将多个js文件(也可以是其他类型文件,比如.png)统一打包为一个js文件,一个png文件当然如果是webpack多打包机制就会生成多个js文件最终目的肯定是为了压缩代码,提高代码执行效率。好几万行代码,如果是高手能直接复制要用到的代码就当我是p话。ok.这样我们就得到了webpack加载器的代码
JS逆向实战19——通杀webpack逆向
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
06-30 4532
声明 本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除! 网站 aHR0cHM6Ly9mb2dhbmctbS5pdG91Y2h0di5jbi9tZWRpYURldGFpbC8zODc1Nw== aHR0cHM6Ly93d3cuZ205OS5jb20v webpack是什么?...
web逆向笔记:js逆向案例四 QQ音乐 sign值(webpack打包代码如何扣取)
qq_49268524的博客
03-18 3346
webpack
【js逆向webpack打包网站
weixin_55205599的博客
12-05 1270
在工作之余看到此篇文章,之前没有了解过js逆向,更没有了解到webpack打包。src漏洞挖掘篇之前端接口爬取测试思路 - FreeBuf网络安全行业门户。问题一:如何识别此网站是用webpack网站打包?可以大概知道是webpack打包的js代码。且这篇帖子附上了爬取脚本,拿过来。类似于:n:["xxx"]问题二:js逆向是什么?
js逆向 webpack_【JS逆向】之webpack所有方法
weixin_42364855的博客
02-26 1637
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!1.这边简单解释一下webpack直接上代码和图了自结果![在这里插入图片描述](https://img-blog.csdnimg.cn/20210206005010455.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,t...
WebPack自动出脚本
Ben_boba的博客
03-08 1312
记一次Web逆向私活接单的全过程
python爬虫人工智能大数据
11-08 1707
每年双十一前后,是Python圈里的兼职接单旺季,爬虫类的私活订单会在此期间集中爆发,数量多价格高。其实,这些年业界对爬虫技术服务的需求量一直在暴增,当下早已供不应求,不平衡的供需关系使爬虫服务的价格变高。几乎所有的Python圈内人,都在利用爬虫技术接私活。本月已交付结款的订单????在这个万物互联的时代,人们在网络世界中的行为产生了大量数据,这些数据有着极大的商业价值。爬虫作为最好最快的数据采集技...
自动扣webpack脚本
ASSS55254的博客
06-29 948
自动扣webpack只需要在加载器初始化的时候将他断住,将下面的代码控制台输入,即可自webpack
web逆向
weixin_35754962的博客
12-21 1377
web逆向是指分析和理解Web应用程序的内部工作方式,从而在未经授权访问源代码的情况下,提取和分析应用程序的功能和特征。这种技术通常被用于挖掘Web应用程序的安全漏洞,并帮助修复这些漏洞。 Web逆向的过程包括拆分Web应用程序的前端和后端,分析它们之间的交互方式,以及使用工具来提取和分析应用程序的内部结构。这种技术需要使用者具备良好的编程和调试技能,并且需要对Web应用程序的工作原理有深入的理解...
JavaScript逆向实战Webpack改写资源文件介绍:深入掌握Webpack逆向工程技巧
gitblog_06723的博客
05-29 1687
JavaScript逆向实战Webpack改写资源文件介绍:深入掌握Webpack逆向工程技巧 去发现同类优质开源项目:https://gitcode.com/ Webpack作为现代前端开发不可或缺的模块打包工具,其代码混淆功能在保护开发者代码安全方面发挥着重要作用。然而,逆向工程技术的不断发展,使得Webpack代码混淆不再是一道不可逾越的屏障。《JavaScript逆向实战:Webpack...
JavaScript逆向九大专题详解
xm-love-mq的博客
12-19 4668
AST是一种将代码转换为树形结构的数据结构,它可以帮助我们更好地理解代码的结构和含义。在JavaScript中,AST可以用于代码分析、代码优化、代码混淆等方面。AST的生成过程一般分为三个步骤:词法分析、语法分析和AST构建。词法分析将代码分解为一个个的词法单元,语法分析将词法单元组合成语法树,AST构建则是将语法树转换为AST。
js逆向——webpack实战案例(一)
Tandy12356_的博客
09-28 2149
首先通过跟栈的方法找到加密位置我们跟进u函数,发现是通过webpack加载的向上寻找u的加载位置,然后打上断点,刷新网页,让程序断在加载函数的位置u = r.n(a)
网页爬虫之WebPack模块化解密(JS逆向
z_ipython的博客
04-26 7296
然后重写 window[“webpackJsonp”] 数组的 push( ) 方法为 webpackJsonpCallback( ),也就是说 window[“webpackJsonp”].push( ) 其实执行的是 webpackJsonpCallback( ),window[“webpackJsonp”].push( )接收三个参数,第一个参数是模块的ID,第二个参数是 一个数组或者对象,里面定义大量的函数,第三个参数是要。所有的资源都是通过JavaScript渲染出来的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值