企名片Js逆向思路

企名片Js逆向思路

这个案例不算难，简单说一下思路。

目标链接：https://www.qimingpian.cn/finosda/project/pinvestment 网站更新了https://www.qimingpian.com/innovate

一、抓包

• 进入页面后打开抓包工具后刷新页面查看请求，表格内容习惯性先看XHR，发现了三个Ajax请求，其中有一个叫做recommendedItemList的请求包含了一些数据，encrypt_data看起来是加密数据，一般来说用的都是同一个加密算法，所以随便拿一个。

二、调试改写js

• 全局搜索encrypt_data后在js文件内继续搜索encrypt_data，发现一共出现了六次。不会分辨加密代码的话可以一行一行打断点试

• 打上断点后刷新页面，光标指着可以发现d.a对应的是一个function s(e)
  

• 点进去打上断点继续运行，发现把e的参数传到了这里，把这段函数拿出来新建一个文件放进去，很明显a.a.decode(e)也是一个函数，点进去，直接抠出来
  
  

• 这里报错需要改写一下，名字随便定义一下。

• 这里提示o没有定义，回源代码看一下，我们发现o其实是又是一个function啊，点进去看一下
  点进去发现函数最下边就是刚才的s函数，直接扣下来算了。再次运行提示 f 和c未定义，继续回浏览器，在控制台分别输入 f 和 c 后的返回值，在函数中定义即可
  

运行结果

最后

过程不算很难，但是很考验耐心和细节

没有接受挑战，没有失败经验，怎进步向前？

源代码已经同步提交至Gitee：码云 - 开源中国

爬虫请勿过度使用