- 2024-06-12yrx34题
页面首请求了两次34,第二次请求正常响应,加载数据,然后加载了h1.js和h2.js两个文件打script断点,得到第一次请求返回的内容,加载了h1,h2两个js,之后调用了sEnc()方法;此处还需要注意rnns和rind(都是动态的)后面要用扣出sEnc()方法,即可。h1.js中的binl2hex()方法用了rnns和rind
- 2024-03-16实战5-某政府采购网cookies反爬(进入前检查浏览器)
目标网站aHR0cDovL3d3dy55bmdwLmNvbS8=1.呈现状态2.分析网站先复制请求链接的curl看看打印出的结果打印出的结果不正常,来看看请求头,里面有一个'$Cookie',转场到请求连接的cookies中看看,xincaigou这个值大概就是我们想要的往上看其他请求,找xincaigou从哪冒出来,在第二个链
- 2024-02-03爬虫逆向案列---《某采购网ck反爬》
网站接口:aHR0cDovL3d3dy55bmdwLmNvbS9wYWdlL3Byb2N1cmVtZW50L3Byb2N1cmVtZW50TGlzdC5odG1s首先分析ck是怎么生成的?访问首页获取通过js代码逆向获取其它页面返回访问接口,返回一段js代码,分析js代码获取ck所以,ck一般是在网页端的文档中的html可以观察到。刷新网址我们可以
- 2023-09-07用友NC 6.5未授权文件上传漏洞
漏洞描述用友NC6.5版本存在未授权文件上传漏洞,攻击者可以未授权上传任意文件,进而获取服务器控制权限。影响版本NC6.5漏洞复现fofa语法:app="用友-UFIDA-NC"访问页面POC脚本如下:importrequestsimportthreadpoolimporturllib3importsysimportargparseurllib3.di
- 2023-07-14js黑客思想(1)
十六进制 十六进制,它只在字符串内部起作用,如果您尝试将其用作标识符,他们将失败。一个有趣的方面是,十六进制转义必须使用小写的x,如果使用大写的X,它将不会被视为十六进制转义,js引擎将简单地将字符串处理为字面上的大写X,后面跟着你指定的字符。'\x61'//a"\x61"//a`\x61