【2021-02-05】JS逆向之某某銀行理财産品

聲明：本文隻作學習研究，禁止用于非法用途，否則後果自負，如有侵權，請告知删除，謝謝！

阿J線上接各種逆向單 --》 wx：zwj1314520-y

文章目錄

• 前言
• 一、頁面分析
• 二、參數破解
• • 1.參數定位
  • 2.參數破解
  • • 2.1 data參數擷取
    • 2.2 mac參數擷取
  • 3.密碼擷取
• 三、模拟請求
• 四、 總結

前言

目标網址：https://z.cib.com.cn/public/fin/onsale/index

加密類型：RSA、AES、sha1

這篇文章應該是年前最後一篇了，也提前祝大家新年快樂♥~

一、頁面分析

打開網頁，切換到xhr，下拉觸發請求，可以看到兩個加密參數

data、mac

二、參數破解

1.參數定位

直接搜mac這個不常見的參數嗷、好的出來了，下斷點!

2.參數破解

2.1 data參數擷取

這個data嗷，是啥加密？聰明，aes嗷，我們試一下，aes的參數都在方法裡，自己找哈

data是AES加密的沒毛病哈

2.2 mac參數擷取

這個mac參數，就應該是sha加密，至于是那種類型的呢，方法進去看就曉得了

sha1加密沒毛病哈

3.密碼擷取

那麼到此為止，好像沒啥問題，然後感覺這個怎麼這麼簡單是吧！

那不可能的，這麼簡單我就懶得發部落格了，這裡的問題是那兩個密碼是怎麼來的

在上面找到了密碼的擷取方式

三、模拟請求

接下來我們就來模拟請求下資料，但是發現這個接口裡還有一個加密參數

我們就來找找看這個是怎麼加密的，在這個位置找到了加密方式，我們進去看看

可見這個是RSA加密，然後參數

t

就是公鑰，加密參數是兩個密碼的拼接

然後按順序發請求，OK！

四、 總結

這個網站呢，用到了三個加密方式，而且還是動态綁定的密碼，整體來說是挺新穎的，适合練練手~