当前位置: 首页 > news >正文

某DingTalk企典 - Token

news 2025/6/30 19:21:21

⚠️前言⚠️

本文仅用于学术交流。
学习探讨逆向知识,欢迎私信共享学习心得。
如有侵权,联系博主删除。
请勿商用,否则后果自负。

网址

aHR0cHM6Ly9kaW5ndGFsay5jb20vcWlkaWFuLw==

浅聊一下

  • 没毛病,就这字段,有效期 大约 在两个小时左右
    在这里插入图片描述

加密分析

1. 加密位置
  • 全局检索 X-Acs-Qidian-Access-Token,就是这里了

在这里插入图片描述

  • 简单跟一下这个方法,发现获取 localStorage 中的 token 属性

在这里插入图片描述
在这里插入图片描述

  • 并做了一些转化,最终得到了 X-Acs-Qidian-Access-Token

在这里插入图片描述
在这里插入图片描述

2. localStorage.token 生成位置

  • hook Storage setItem,找到这个位置,发现 token 在被set之前的明文中已经存在我们需要的值

  • 因此我们需要找到在这之前,这个加密值是怎么生成的
    在这里插入图片描述

  • 由于js文件有57多万行,且存在众多异步操作,所以我们这里巧借一下工具

  • 【ast 内存漫游,hook一下】,大概率就是这个位置了

在这里插入图片描述

在这里插入图片描述

  • 断点调试一下,找到加密位置
    在这里插入图片描述
    在这里插入图片描述
  • 加密参数是由一个 get 接口返回的
    在这里插入图片描述
    在这里插入图片描述
  • 整体加密其实就是一个MD5
    在这里插入图片描述

下班

在这里插入图片描述

http://www.lryc.cn/news/392050.html

相关文章:

  • 手写一个类似@RequestParam的注解(用来接收请求体的参数)
  • 【遇坑笔记】Node.js 开发环境与配置 Visual Studio Code
  • 【ajax实战07】文章筛选功能
  • promise.all和promise.race的区别
  • Python爬取豆瓣电影+数据可视化,爬虫教程!
  • 初阶数据结构二叉树练习系列(1)
  • 【selenium 】操作元素
  • 【MySQL】事务实现原理
  • 面向物联网行业的异常监控追踪技术解决方案:技术革新与运维保障
  • 守护厨房空气:全面排查与修复油烟净化器跳闸问题
  • 【微服务网关——https与http2代理实现】
  • mssql查询历史执行过的语句日志
  • 【LeetCode】每日一题:买卖股票的最佳时机 II
  • 【TS】TypeScript 联合类型详解:解锁更灵活的类型系统
  • kali改回官方源后更新失败
  • Mysql 左关联(LEFT JOIN)
  • [笔记]小米CyberDog机器狗仿真调试记录
  • 第十四届蓝桥杯省赛C++B组G题【子串简写】题解(AC)
  • 实现Java Web应用的高性能负载均衡方案
  • 医学预测模型web APP的制作建议
  • gitlab每日备份以及restore
  • 2024-07-05 base SAS programming学习笔记9(variables)
  • kafka--发布-订阅消息系统
  • 2024最新软件测试面试题。内附答案+文档
  • 新加坡很火的slots游戏代投Facebook广告新流量趋势
  • C++ 实现字符串逆序
  • 【项目实践】贪吃蛇
  • 将exe文件添加到注册表中,实现开机时自动运行
  • SQL使用注意事项
  • uniapp小程序IOS端,uni.createInnerAudioContext()无声音