摘要:动态执行代码无非两种方法,即和。注意,有些网站会检测和这两个方法是否原生,因此需要一些小花招来忽悠过去。注入方式另外,还有个问题需要关注,就是挂钩代码的注入方法。
工具和资料
QQ群 - Javascript高级爬虫 - 作者自建群,欢迎加入!
awesome-java-crawler - 作者收集的爬虫相关工具和资料
正文现在很多网站都上了各种前端反爬手段,无论手段如何,最重要的是要把包含反爬手段的前端javascript代码加密隐藏起来,然后在运行时实时解密动态执行。
动态执行js代码无非两种方法,即eval和Function。那么,不管网站加密代码写的多牛,我们只要将这两个方法hook住,即可获取到解密后的可执行js代码。
注意,有些网站会检测eval和Function这两个方法是否原生,因此需要一些小花招来忽悠过去。
首先是eval的挂钩代码:
(function() {
if (window.__cr_eval) return
window.__cr_eval = window.eval
var myeval = function (src) {
console.log("================ eval begin: length=" + src.length + ",caller=" + (myeval.caller && myeval.caller.name) + " ===============")
console.log(src);
console.log("================ eval end ================")
return window.__cr_eval(src)
}
var _myeval = myeval.bind(null) // 注意:这句和下一句就是小花招本招了!
_myeval.toString = window.__cr_eval.toString
Object.defineProperty(window, "eval", { value: _myeval })
console.log(">>>>>>>>>>>>>> eval injected: " + document.location + " <<<<<<<<<<<<<<<<<<<")
})();
这段代码执行后,之后所有的eval操作都会在控制台打印输出将要执行的js源码。
同理可以写出Function的挂钩代码:
(function() {
if (window.__cr_fun) return
window.__cr_fun = window.Function
var myfun = function () {
var args = Array.prototype.slice.call(arguments, 0, -1).join(","), src = arguments[arguments.length - 1]
console.log("================ Function begin: args=" + args + ", length=" + src.length + ",caller=" + (myfun.caller && myfun.caller.name) + " ===============")
console.log(src);
console.log("================ Function end ================")
return window.__cr_fun.apply(this, arguments)
}
myfun.toString = function() { return window.__cr_fun + "" } // 小花招
Object.defineProperty(window, "Function", { value: myfun })
console.log(">>>>>>>>>>>>>> Function injected: " + document.location + " <<<<<<<<<<<<<<<<<<<")
})();
注意:和eval不同,Function是个有变长参数的构造方法,需要处理this
另外,有些网站还会用类似的机制加密页面内容,然后通过document.write输出动态解密的内容,因此同样可以挂钩document.write,挂钩方法类似eval,这里就不重复了。
注入方式另外,还有个问题需要关注,就是挂钩代码的注入方法。
最简单的就是F12调出控制台,直接执行上面的代码,但这样只能hook住执行之后的eval调用,如果希望从页面刚加载时就注入,那么可以用以下几种方式:
油猴注入,油猴可以监听文档加载的几种不同状态,并在特定时刻执行js代码。我没有太多研究,具体请参见油猴手册
代理注入,修改应答数据,在
标签内的第一个位置插入"); oSession.utilSetResponseBody(b); // Set the response body back }这样就会在所有html文档头部自动添加js代码了
2. 如何添加anyproxy代理规则
编辑一个rule.js保存在anyproxy根目录下,内容如下:
function injectEval() {
if (window.__cr_eval) return
... // 见正文,此处略
console.log(">>>>>>>>>>>>>> eval injected: " + document.location + " <<<<<<<<<<<<<<<<<<<")
}
module.exports = {
summary: "a rule to hook all eval",
*beforeSendResponse(requestDetail, {response}) {
if (response.header["Content-Type"].indexOf("text/html") >= 0) {
response.body = (response.body + "").replace(/]*>/i, `$&`)
return {response}
}
},
};
带规则启动anyproxy
anyproxy -r rule.js
可以看到,使用基于js的工具链有其天然优势,即注入代码可以以源码而不是字符串形式和规则代码共存,这样可以利用到IDE的语法检查、自动完成等机制,能够大大提高生产力。
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/109345.html
摘要:动态执行代码无非两种方法,即和。注意,有些网站会检测和这两个方法是否原生,因此需要一些小花招来忽悠过去。注入方式另外,还有个问题需要关注,就是挂钩代码的注入方法。 showImg(https://segmentfault.com/img/remote/1460000018765904);showImg(https://segmentfault.com/img/remote/146000...
摘要:并且最好是在的回调函数中调用,可以保证初始化成功了。当我们通知端进行初始化,并且初始化之后,里面会去遍历中的回调函数,并将当做参数注入。里面会将里面的回调函数保存在全局对象变量中则是自增的。 缘由:网上其实有很多讲解WebViewJavascriptBridge原理的文章,但都着重了Native端,今天从一个纯前端角度出发,抓住核心脉络讲解下原理,清晰明了,一文即懂。 通信的基础: ...
摘要:前言对某网站加密混淆后的代码也算分析了一段时间了,虽然还没搞出来,但多少有些心得,这里记录一下。因此,应该将局部变量也替换成唯一且更有意义的名字,比如函数名变量索引因此,正确的方法是基于编译原理进行语法级别的替换。 showImg(https://segmentfault.com/img/remote/1460000018765904); 前言 对某网站加密混淆后的javascript...
阅读 1956·2021-11-24 09:39
阅读 958·2021-11-11 16:55
阅读 1388·2021-10-09 09:43
阅读 1389·2021-10-08 10:17
阅读 1588·2021-08-25 09:41
阅读 393·2019-08-30 13:02
阅读 604·2019-08-29 15:14
阅读 961·2019-08-29 13:53
