摘要:動態執行代碼無非兩種方法,即和。注意,有些網站會檢測和這兩個方法是否原生,因此需要一些小花招來忽悠過去。注入方式另外,還有個問題需要關注,就是掛鉤代碼的注入方法。
工具和資料
QQ群 - Javascript高級爬蟲 - 作者自建群,歡迎加入!
awesome-java-crawler - 作者收集的爬蟲相關工具和資料
正文現在很多網站都上了各種前端反爬手段,無論手段如何,最重要的是要把包含反爬手段的前端javascript代碼加密隱藏起來,然后在運行時實時解密動態執行。
動態執行js代碼無非兩種方法,即eval和Function。那么,不管網站加密代碼寫的多牛,我們只要將這兩個方法hook住,即可獲取到解密后的可執行js代碼。
注意,有些網站會檢測eval和Function這兩個方法是否原生,因此需要一些小花招來忽悠過去。
首先是eval的掛鉤代碼:
(function() { if (window.__cr_eval) return window.__cr_eval = window.eval var myeval = function (src) { console.log("================ eval begin: length=" + src.length + ",caller=" + (myeval.caller && myeval.caller.name) + " ===============") console.log(src); console.log("================ eval end ================") return window.__cr_eval(src) } var _myeval = myeval.bind(null) // 注意:這句和下一句就是小花招本招了! _myeval.toString = window.__cr_eval.toString Object.defineProperty(window, "eval", { value: _myeval }) console.log(">>>>>>>>>>>>>> eval injected: " + document.location + " <<<<<<<<<<<<<<<<<<<") })();
這段代碼執行后,之后所有的eval操作都會在控制臺打印輸出將要執行的js源碼。
同理可以寫出Function的掛鉤代碼:
(function() { if (window.__cr_fun) return window.__cr_fun = window.Function var myfun = function () { var args = Array.prototype.slice.call(arguments, 0, -1).join(","), src = arguments[arguments.length - 1] console.log("================ Function begin: args=" + args + ", length=" + src.length + ",caller=" + (myfun.caller && myfun.caller.name) + " ===============") console.log(src); console.log("================ Function end ================") return window.__cr_fun.apply(this, arguments) } myfun.toString = function() { return window.__cr_fun + "" } // 小花招 Object.defineProperty(window, "Function", { value: myfun }) console.log(">>>>>>>>>>>>>> Function injected: " + document.location + " <<<<<<<<<<<<<<<<<<<") })();
注意:和eval不同,Function是個有變長參數的構造方法,需要處理this
另外,有些網站還會用類似的機制加密頁面內容,然后通過document.write輸出動態解密的內容,因此同樣可以掛鉤document.write,掛鉤方法類似eval,這里就不重復了。
注入方式另外,還有個問題需要關注,就是掛鉤代碼的注入方法。
最簡單的就是F12調出控制臺,直接執行上面的代碼,但這樣只能hook住執行之后的eval調用,如果希望從頁面剛加載時就注入,那么可以用以下幾種方式:
油猴注入,油猴可以監聽文檔加載的幾種不同狀態,并在特定時刻執行js代碼。我沒有太多研究,具體請參見油猴手冊
代理注入,修改應答數據,在
標簽內的第一個位置插入"); oSession.utilSetResponseBody(b); // Set the response body back }這樣就會在所有html文檔頭部自動添加js代碼了
2. 如何添加anyproxy代理規則
編輯一個rule.js保存在anyproxy根目錄下,內容如下:
function injectEval() { if (window.__cr_eval) return ... // 見正文,此處略 console.log(">>>>>>>>>>>>>> eval injected: " + document.location + " <<<<<<<<<<<<<<<<<<<") } module.exports = { summary: "a rule to hook all eval", *beforeSendResponse(requestDetail, {response}) { if (response.header["Content-Type"].indexOf("text/html") >= 0) { response.body = (response.body + "").replace(/]*>/i, `$&`) return {response} } }, };
帶規則啟動anyproxy
anyproxy -r rule.js
可以看到,使用基于js的工具鏈有其天然優勢,即注入代碼可以以源碼而不是字符串形式和規則代碼共存,這樣可以利用到IDE的語法檢查、自動完成等機制,能夠大大提高生產力。
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/43504.html
摘要:動態執行代碼無非兩種方法,即和。注意,有些網站會檢測和這兩個方法是否原生,因此需要一些小花招來忽悠過去。注入方式另外,還有個問題需要關注,就是掛鉤代碼的注入方法。 showImg(https://segmentfault.com/img/remote/1460000018765904);showImg(https://segmentfault.com/img/remote/146000...
摘要:并且最好是在的回調函數中調用,可以保證初始化成功了。當我們通知端進行初始化,并且初始化之后,里面會去遍歷中的回調函數,并將當做參數注入。里面會將里面的回調函數保存在全局對象變量中則是自增的。 緣由:網上其實有很多講解WebViewJavascriptBridge原理的文章,但都著重了Native端,今天從一個純前端角度出發,抓住核心脈絡講解下原理,清晰明了,一文即懂。 通信的基礎: ...
摘要:前言對某網站加密混淆后的代碼也算分析了一段時間了,雖然還沒搞出來,但多少有些心得,這里記錄一下。因此,應該將局部變量也替換成唯一且更有意義的名字,比如函數名變量索引因此,正確的方法是基于編譯原理進行語法級別的替換。 showImg(https://segmentfault.com/img/remote/1460000018765904); 前言 對某網站加密混淆后的javascript...
閱讀 1076·2021-11-22 14:56
閱讀 1520·2019-08-30 15:55
閱讀 3359·2019-08-30 15:45
閱讀 1655·2019-08-30 13:03
閱讀 2868·2019-08-29 18:47
閱讀 3334·2019-08-29 11:09
閱讀 2641·2019-08-26 18:36
閱讀 2615·2019-08-26 13:55