当前位置：首页 > news >正文

图灵爬虫练习平台第七题千山鸟飞绝js逆向

news 来源：原创 2025/5/10 7:43:42

题目七：千山鸟飞绝

还是先进入开发者模式，一进来还是一个无限debugger，直接右键点击一律不在此处停留

然后点击下一页，复制curl进行代码生成，然后就会发现加密内容是headers中的m,ts，还有参数中的x，接下来还是进行堆栈分析

前面的那两个就是直接复制的文件，可以不用看，直接就看下面的进去之后发现里面全部都是看不懂的

着就是明显的ob混淆，需要的解混淆的网站里面去解混淆，其实这个解混淆第一次有一个错误，后面你就会发现，解混淆之后，你就会发现加密的位置可能在这里

解混淆工具

解混淆测试版

 
$.addRequestInterceptor(function (_0x2410d2) {let _0x2498e1 = new Date().getTime();let _0x48003c = window.eeee("xialuo" + _0x2498e1);_0x2410d2.headers = _0x2410d2.headers || {};_0x2410d2.headers.m = _0x48003c;_0x2410d2.headers.ts = _0x2498e1;_0x2410d2.url += "&x=" + encodeURIComponent(dd.a.SHA256(_0x48003c + "xxoo"));return _0x2410d2;
});
$.addResponseInterceptor(function (_0x3dd6df, _0x1ec311, _0x2ea8f0) {if (_0x2ea8f0.statusText === "OK" || _0x2ea8f0.statusText === "success") {const _0x10319d = xxxxoooo(_0x3dd6df.r);const _0x3f6d4e = x1.parse(_0x10319d);return _0x3f6d4e;} else {return _0x3dd6df;}
});

断点调试以后可以发现这里就是加密的位置

可以看到, param参数的x为请求头的参数m+固定值"xxoo" , 经过SHA256算法得到

验证SHA256算法: SHA256 - 在线工具

然后就可以把他改一下

function main123 () {let ts = new Date().getTime().toString();let m = eeee("xialuo" + ts);let x = encodeURIComponent(CryptoJS.SHA256(m + "xxoo"));return {"ts": ts,"m": m,"x": x}
}

然后运行这串代码，接下来就是补环境，你在解混淆的代码中，把需要的复制过来，然后这个可以改变一下，把他这种该成一个函数

是跟上一题一样，继续找他的加密，加密位置可以发现就在这个加密的下边

解混淆

$.addResponseInterceptor(function (_0x3dd6df, _0x1ec311, _0x2ea8f0) {if (_0x2ea8f0.statusText === "OK" || _0x2ea8f0.statusText === "success") {const _0x10319d = xxxxoooo(_0x3dd6df.r);const _0x3f6d4e = x1.parse(_0x10319d);return _0x3f6d4e;} else {return _0x3dd6df;}
});

然后也把他改一下，继续补环境，能发现值被输出出来了