|
|
前言:为什么有怎么多人在为滑块问题而烦恼呢,就算很难,但是并没有减少一些码农为了滑块post而付出精力,因为什么呢,肯定是有好处了,有人需要就有市场,但是!提醒各位:这个东西可以用来交流和作为提升技术的一个手段,希望不要用在非法利益链中或某些不符合正常法律的事情!
简介:本人小白,接触post不到2月之久,但是却感受到网络异常的强大,安全常识高,深知那些同为码农的朋友,在公司工作,所付出的精力,好了,不多说了,正题把。
正题:接触到这个滑块post技术,我想这并不是一门技术,里面有非常多的学问,...加密,混淆,算法等等,都是对于逆向人员的一个重大考验,当然,如果作为逆向的你,去尝试过掉这个滑块,会遇到很多坎坷,最常见的问题就是逆向JS的时候(也就是某些加密值结果的源头),你会怀疑人生,不得不说中国的安全领域已经那么强大,但是攻防无绝对,总有一些码农为了这个技术或者说为了某些非法利益,昼夜尝试,但是"他"成功了!
对于滑块这个问题,登录的时候就是一个简单的post登录,本人也是第一次尝试这个滑块,例子(企鹅空间),先说不需要滑块的部分,你会写的格外简单,包括找密码算法也是,但是总会有难题,比如:拿到算法的你,并不能直接调用JS来进行计算,你需要修改,JS如果没有做出加密混淆的动作,可能还会简单些,如果有相关动作任何一项,对于小白都到了怀疑人生的地步,总而言之post登录很顺利。下面说到正题,滑块post部分,当你走入滑块的时候,你会先想着如何找到地址,当然你会先post一下抓一下包,也就是post所用到的值,进行分析,这些值有固定的有加密后的,有随机的,都需要进行分析,某些值很简单就找到了,甚至可以一眼看出【如:浏览器标识(ua),时间戳,所提交的账号密码(考虑到是否加密)等】,OK,简单的值就不多说了,下面说说坐标和一些困难的值,这里我附带截图,
| 截图内,所存在的参数都是post内所提交的,可能有些参数并不是 必须需要,(这里不希望小白为了节省功夫所去掉某些参数,眼里看着可能不重要,可能对方的服务器就要这个) | | | | 另外对于小白来说,一定要看懂协yi头,某些站协yi头里面都会存在User-Agent(UA),代表浏览器标识符,进行身份识别所使用的,他代表机器的身份,如存在,尽量不要去掉 | | | | 协yi头和cookies就不多说了,说说这个post把,他所用到的参数有三种,【固定值,人为值和加密值】固定值和人为值(你填写的数据),是容易最为理解的值,一眼看得出 | | | | 加密值:重点说这个加密值,加密值是通过算法而得到的值,而值的源头所用到了几个参数,也需要去分析,我们常见的加密手段(哈希值(MD*系列),字节集等等,), | | | | 但是对于企业级别的公众平台,要遇到常见的加密方式是很少见的,大多数为自己公司所编写的加密算法,这种算法大多数人不常见,在加密算法手段的基础上还存在了一种 |
大家非常常见的手段,{混淆等},通过混淆达到看似明文非似明文的效果,代码算法也会错乱但不影响代码的正常调用,
截图内有两个是加密后的值,即为随人为不固定参数而不固定值,也就是本来是你手中的数据,通过了算法加密再提交,同时服务器只认这个加密后的数据,所以就要去找算法了
大多数算法的存在,F12开发者模式时候可查看所调用的JS,算法就在调用JS的其中一个,也就可能算法在源码内,都需要去找,
在逆向的时候会存在很多问题而怀疑人生,最大的问题就是加密值找算法,其他都简单,具体的我也不说了,总结一下滑块的步骤把.
v1:其实滑块就是一个简单的post,但是程序猿在里面加了料,也就是加密算法,因为这个算法的存在而不再简单,如果想学会滑块post,建议先学习逆向分析和JS代码逻辑
感谢小伙伴看完了,本人小白一个,有什么说的不对的地方欢迎评论纠正,学习无止境,
想要交流算法的伙伴,希望加群----718893123 一起交流,互联网热潮的时候流行的分享精神已经很少了。希望来到群里的人,每个人都存在分享精神并且都不为非法而来 |
|
|
粤公网安备 44522102000125 增值电信业务经营许可证 粤B2-20192173
发表于 2018-5-16 13:59:11
主题置顶卡
沉默卡
变色卡
楼主
扫一扫,关注易界动态