Python逆向之 eval 函数解析,看着一篇就会了,案例掌房
文章目录
- ⛳️ 实战场景
- ⛳️ 加密参数寻找过程
⛳️ 实战场景
本篇博客要盘的目标站点是【掌房买好房】登录页加密逻辑,提前访问 http://eip.chanfine.com/login.jsp 做一下接口分析。
随机写入一个账号和密码,测试加密接口。
- 账号:15012341234
- 密码:123456
通过开发者工具查看到接口参数如下所示。
- 请求网址: http://eip.chanfine.com/j_acegi_security_check
- 请求方法: POST
其中加密位置呈现如下内容。
- j_username: 15012341234
- j_password: 䐵匠䴵 N3IRFNdustKHXjJ5PDrZIQ==
- j_redirectto:
其中比较重要的就是 j_password,我们要解析的位置也在这里。
⛳️ 加密参数寻找过程
直接全局搜索关键字 j_password 即可查询对应值。
直接定位到检索结果中的 desEncrypt 函数位置,得到下述内容。
鼠标移动到加密函数位置,发现出现 VM 相关内容,这里就可以初步猜测其使用的是 eval 函数加密。
直接跳转到对应代码部分,其实已经得到了相关逻辑,参考着下述代码编写 Python 代码就可以完成任务,但这与我们一开始学习 eval 逆向相违背。
function desEncrypt(value, xForm, type) {if (_0(xForm)) {return value;} else {var keyObj = {};if (type == null || "aes" == type.toLowerCase()) {keyObj = SECURITYKEY.get();value = CryptoJS.AES.encrypt(value, CryptoJS.enc.Utf8.parse(keyObj.key), {iv: CryptoJS.enc.Utf8.parse(keyObj.iv),}).toString();} else {keyObj = SECURITYKEY.get("des");value = CryptoJS.DES.encrypt(value, CryptoJS.enc.Hex.parse(keyObj.key), {iv: CryptoJS.enc.Hex.parse(keyObj.iv),});}return keyObj.security + value;}
}
从上述代码提炼关键字 SECURITYKEY,在全局代码再次检索。
结果中发现了加密函数真实位置,并且明显的 eval 痕迹。
既然已经找到代码源头,接下来就可以找一款在线解密工具,实施解析即可。
Python逆向之 eval 函数解析,看着一篇就会了,案例掌房相关推荐
- c++ _int64转字符串_C语言 仿JS的eval函数 解析字符串
C语言 利用后缀表达式解析字符串(符合c98标准,很容易移植到计算器上) 最近用98标准的C语言写了个解析字符串,类似于JavaScript中的eval函数,感觉挺实用(移植到了计算器上,可以画F(X ...
- python装饰器功能是冒泡排序怎么做_传说中Python最难理解的点|看这完篇就够了(装饰器)...
https://mp.weixin.qq.com/s/B6pEZLrayqzJfMtLqiAfpQ 1.什么是装饰器 网上有人是这么评价装饰器的,我觉得写的很有趣,比喻的很形象 每个人都有的内裤主要是 ...
- python详细安装教程-超详细Python与PyCharm安装教程,看这一篇就够了
原标题:超详细Python与PyCharm安装教程,看这一篇就够了 学习了三天的python, 之前测试一直用课程自带的网页版玩玩, 为了学习 然后就下载了一个python和pycharm 现在分享下 ...
- python中的EVAL函数的定义和用法!
https://blog.csdn.net/weixin_42859280/article/details/84673079 Python 内置函数 Python 内置函数 描述: eval() 函数 ...
- [转载] python中的eval函数
参考链接: Python中的求值函数 eval eval函数很强大,可以将字符串做为有效的表达式来求值并返回计算结果,如下所示: # 基本的数学计算 In [1]: eval("1 + 1& ...
- R:parse函数和eval函数解析字符串为命令并运行
文章目录 例子1 例子2 例子3:回归函数lm中 例子4:绘图函数ggplot中 parse函数解析字符串为表达式:eval函数执行表达式输出结果:parse函数和eval函数在自定义函数中常常非常有 ...
- js的eval函数解析后台返回的json数据时为什加上圆括号eval((+data+)),而HTML页面定义的数据不用...
一,情况如下,这是成功代码: $(function () {$.ajax({url: "Demo.aspx",type: "post",data: { Id: ...
- python中的eval函数
1 eval函数的简介和语法: eval()函数用来执行一个字符串表达式,并返回表达式的值.还可以把字符串转化为list.tuple.dict. eval函数的语法: eval(expression[ ...
- 传说中Python最难理解的点|看这完篇就够了
今天我就带领大家由浅入深的去窥探一下,这个装饰器到底是何方神圣,看完本篇,装饰器就再也不是难点了. 1.什么是装饰器 网上有人是这么评价装饰器的,我觉得写的很有趣,比喻的很形象 每个人都有的内裤主 ...
最新文章
- session_id
- Nature综述——真菌的多样性:真菌的高通量测序及鉴定
- 打开python的步骤_python RE 常见的打开方法
- python3 urllib
- 得力人脸识别考勤机密码设置_百度大脑人脸识别公有云日均调用量过亿 成为业内第一...
- 如何使用@component-scan排除不需要的类
- Redis源码剖析(十三)整数集合
- Picture POJ - 1177(矩形周长并))
- java pnpoly算法_C语言实现的PNPoly算法代码例子
- 为了寻找当下最好的照片备份方式,我写了7000字的长文...
- 是一套基于PHP,zhw_cms 中和网企业建站系统这是一套基于PHP的快速 ,主要适用于中小 建立 WEB(ASP,PHP,...) 267万源代码下载- www.pudn.com...
- 基于Android实现美颜相机功能的开发
- 对自己大学的期望与目标
- 那些让人“上瘾”的产品,是如何铺设流量陷阱的?
- STM32开发实战:W25Q32JV SPI Flash详解
- 黑色简洁的PHP短网址短链接生成源码 可在后台添加广告
- Arduino和单片机有啥区别?
- spring-上手spring
- 2022登高架设考题及在线模拟考试
- 这个专门提供多角恋约会的软件,终于被谷歌封杀了
热门文章