JS逆向|某音滑块captchaBody分析
💡
原文中文,约5700字,阅读约需14分钟。
📝
内容提要
本文介绍了如何逆向分析网站接口的参数加密和响应数据解密。通过抓包分析,发现请求参数queryContent和sign需要使用SM4和SM2算法进行处理,最终成功模拟请求获取数据。文章强调技术信息的参考性质及法律责任。
🎯
关键要点
- 逆向目标是接口参数加密和响应数据解密。
- 抓包分析发现请求参数queryContent和sign需要逆向分析,nonceStr为随机字符串。
- 响应头为application/octet-stream,需逆向分析响应数据解密。
- 通过逆向分析,发现queryContent使用SM4算法加密。
- 使用nodejs模拟SM4加密,验证结果与网页一致。
- sign参数使用SM2算法进行签名,需跟踪相关函数。
- SM2算法为椭圆曲线公钥密码算法,需通过请求接口验证参数正确性。
- 响应数据解密使用SM4算法,需验证响应数据的签名。
- 通过导库实现各种加解密算法,最终获取数据。
- 文章强调技术信息的参考性质及法律责任,读者需谨慎使用。
❓
延伸问答
如何进行接口参数的加密和解密分析?
通过抓包分析,识别请求参数queryContent和sign,使用SM4和SM2算法进行加密和解密。
SM4和SM2算法的作用是什么?
SM4用于加密queryContent,SM2用于对sign进行签名,确保数据的安全性。
如何模拟请求以获取数据?
通过nodejs实现SM4和SM2的加密和签名逻辑,构造请求参数并发送请求。
在逆向分析中如何处理响应数据的解密?
响应数据使用SM4算法解密,需验证响应数据的签名以确保数据的完整性。
逆向分析过程中需要注意哪些法律责任?
技术信息仅供参考,读者需遵守相关法律法规,避免因使用不当而承担责任。
如何验证加密参数的正确性?
通过请求接口,如果返回数据则表示参数正确,需跟踪相关函数以确保逻辑一致。
➡️
