超星登錄參數分析

從登陸包可以看到用戶名和密碼的加密方法為同一個繼續搜尋相關參數,找到如下代碼,即通過 encryptByAES 函數加密。提取出來以後,可以看到結果和登陸包的請求内容是一樣的相關js代碼:function encryptByAES(message, key) { let CBCOptions = { iv: CryptoJS.enc.Utf8.parse(key), mode: CryptoJS.mode.CBC, padding: CryptoJS.pad.Pkcs7 }; let aeskey = CryptoJS.enc.Utf8.parse(key); let secretData = CryptoJS.enc.Utf8.parse(message); let encrypted = CryptoJS.AES.encrypt( secretData, aeskey, CBCOptions ); return CryptoJS.e

滲透逆向 · 2024-10-07 · 584 人浏览
超星登錄參數分析

某網絡加速器sign參數分析

觀察登錄包,貌似只有sign加密了,是連同輸入的密碼一起加密的,timestamp很明顯是時間戳看上去是層層相扣,要找到sign的參數,就要找到 cr 的值,要找到 cr 的值,就要找到 we 的值不管了,直接全部扣下來,他媽的, var Qe = { exports: {} }; (function(t) { (function() { var e = "input is invalid type" , n = "finalize already called" , o = typeof window == "object" , r = o ? window : {}; r.JS_MD5_NO_WINDOW && (o = !1); var a = !o && typeof self =

滲透逆向 · 2024-10-06 · 642 人浏览
某網絡加速器sign參數分析

Xboard UUID泄露漏洞

Xboard面板漏洞,可导致所有用户uuid泄漏,目前已有多家机场被大规模扫描。起因是Xboard开发者只核验了提交的token是否正确,却没判断是否为空,导致没token的时候反而绕过了校验导致订阅可被未授权遍历。此漏洞可导致用户订阅信息泄漏,预计泄漏后将导致市面出现大批免费节点。另外据传Xboard还存在SQL注入漏洞。修復方法:文件位置:/app/Http/Middleware/Server.php方法1(推荐更优雅):见图红色部分,添加图片红色部分到代码中。方法2(不推荐不优雅):加到中间件内:加到$request->validate(前)$token = $request->input('token'); if (empty($token)) { throw new ApiException('token is null',403); }參考地址aapanel + docker compose| 1panel | docker compose 更新命令docker compose pull docker compose run -it --rm xboar

機場運營 · 2024-10-06 · 928 人浏览
Xboard UUID泄露漏洞

尋找幾位對逆向感興趣的朋友

感興趣的可以聯係我的TG,能夠一起研究和測試,爲的就是一起進步。

隨筆 · 2024-10-04 · 687 人浏览
尋找幾位對逆向感興趣的朋友

4399小游戲JS登錄逆向

!function(a, b) { "object" == typeof exports ? module.exports = exports = b() : "function" == typeof define && define.amd ? define([], b) : a.CryptoJS = b() }(this, function() { var a = a || function(a, b) { var n, c = Object.create || function() { function a() {} return function(b) { var c; return a.prototype = b, c = new a, a.prototype = null, c

滲透逆向 · 2024-10-03 · 718 人浏览
4399小游戲JS登錄逆向

[cloudcone]充值活动,冲5.1$额外送50%

支持叠加 多账号不要冲,封号網站鏈接

VPS · 2024-09-29 · 896 人浏览
[cloudcone]充值活动,冲5.1$额外送50%

使用2captcha過reCAPTCHA V2驗證

API_KEY為2captcha的API import requests creat_task_url = 'https://2captcha.com/in.php?key=API_KEY&method=userrecaptcha&googlekey=WEBSITE_KEY&pageurl=URL' id = '' res = requests.get(creat_task_url) if res.status_code == 200: id = str(re.findall('\|(\d*)', res.text)[0]) time.sleep(20) code_res = requests.get(f'https://2captcha.com/res.php?key=API_KEY&action=get&id={id}') print(code_res.text)

滲透逆向 · 2024-09-25 · 228 人浏览

記一次測試網站關於登錄頁面為AES加密

找登錄包后看到三個參數:1.token(網頁刷新直接頁面就可以通過f12搜尋到)2.email3.password(加密)剩下就是尋找加密函數了,搜索token后看到頁面加密的位置,encryptPass('emailPwdInp'),那麽接下來搜索 encryptPass找到加密函數了 function encrypt (str) { const key = CryptoJS.enc.Utf8.parse("idcsmart.finance") const iv = CryptoJS.enc.Utf8.parse("9311019310287172") var encrypted = CryptoJS.AES.encrypt(str, key, { mode: CryptoJS.mode.CBC, padding: CryptoJS.pad.Pkcs7, iv: iv, }).toString() return encrypted } function encryptPass (id) { le

滲透逆向 · 2024-09-24 · 233 人浏览
記一次測試網站關於登錄頁面為AES加密

[人民云] 3.99¥/月無限流量VPS

購買地址 || 評測結果

VPS · 2024-09-20 · 527 人浏览
[人民云] 3.99¥/月無限流量VPS

[Lamhosting] 9.9¥/月 US VPS评测

購買地址 || 評測結果配置如下:1v CPU1024M RAM20G 硬盘2000Mbps 带宽1T 单向 流量

VPS · 2024-09-17 · 339 人浏览
[Lamhosting] 9.9¥/月 US VPS评测

便捷安裝谷歌商店

大陸安卓機普遍不能使用谷歌商店,我嘗試過Go安裝器但是提示網絡錯誤,後來下載了Suplay安裝器總算安裝上了。

隨筆 · 2024-09-12 · 179 人浏览
便捷安裝谷歌商店

Python獲取進程並實現自動化操作

獲取應用程式進程並識別圖片獲取坐標,最後滑鼠點擊,還有按鍵操作首先安裝庫pip install psutil mss opencv-python pyautogui numpy然後import psutil import mss import cv2 import numpy as np import pyautogui import time import keyboard import time # 等待5秒钟,方便你切换到要操作的窗口 time.sleep(5) # 按键 keyboard.press_and_release('2') # 游戏进程名称 TARGET_PROCESS_NAME = "PokeMMO.exe" # 替换为你的游戏进程名 # 要识别的图片路径 TARGET_IMAGE_PATH = "image/login.png" # 替换为你的目标图片路径 def find_process_by_name(process_name): """查找指定名称的进程&quo

Python · 2024-08-21 · 341 人浏览

救黑磚 + Root面具 教學

线刷和卡刷的区别? 简单来讲,线刷指使用USB线作为刷机工具进行刷机,而卡刷则是把固件或者升级包拷贝到手机SD卡中进行刷机升级操作。 线刷一般是官方所采取的升级方式,主要用来刷固件,如果手机故障造成无法开机等情况,我们可以考虑使用线刷来拯救手机,线刷一般需要刷机工具,也有和刷机包整合好的。手機變黑磚了,我通過谷歌搜尋了9008綫刷救磚包,通過MiFlash刷入即可。關於Root面具:需要提取當前手機版本的Boot.img文件,然後通過面具導入Boot文件打補丁,導出的面具補丁再通過電腦刷入Boot即可(成功刷入面具)

小知識·隨筆 · 2024-08-18 · 344 人浏览

在Cloudflare WAF中屏蔽国内浏览器

要在Cloudflare WAF免费计划中添加屏蔽国内浏览器的规则,请按照以下步骤操作。这个规则基于用户代理字符串来屏蔽特定的浏览器。以下是具体的步骤和完整的规则表达式:步骤:登录到 Cloudflare Dashboard选择托管的域名在左侧导航栏中选择 Security点击 WAF选择 Custom rules点击 Create rule在 Expression preview 右侧点击 Edit expression粘贴以下规则表达式表达式:(http.user_agent contains "115Browser") or (http.user_agent contains "2345chrome") or (http.user_agent contains "2345Explorer") or (http.user_agent contains "360EE") or (http.user_agent contains "360SE") or (http.user_a

小知識 · 2024-08-07 · 470 人浏览
在Cloudflare WAF中屏蔽国内浏览器

[Kuroit] 1.5 英鎊歐洲VPS/月

SPCLDEDIOFF 这个优惠吗是独立服务器专属CPU:1v核心内存:1GB硬盘:10GB SSD带宽:10Gbps流量:1TB价格: 1.5英镑/月机房可选: 英国、美国达拉斯、美国阿什本、荷兰購買地址CPU:2v核心内存:4GB硬盘:30GB SSD带宽:10Gbps流量:4TB价格: 2.5英镑/月机房可选: 美国阿什本購買地址CPU:4v核心内存:8GB硬盘:50GB SSD带宽:10Gbps流量:8TB价格: 5英镑/月机房可选: 美国阿什本購買地址

VPS · 2024-08-06 · 412 人浏览
本站立足于美利堅合衆國,請讀者自覺遵守當地法律!如有違規,本站不承擔任何法律責任! This site is based in the United States of America, readers are requested to abide by local laws! If there are any violations, this site does not bear any legal responsibility!
2025 Xue Li Li's Blog. All Rights Reserved.
Theme Jasmine by Kent Liao