逆向
未读
某校图书馆预约系统分析
分析了某校图书馆预约系统的登录流程。首先通过抓包和观察HTTP请求,确定了登录API及相关参数,包括账号密码需要加密。接着,通过逆向JavaScript代码,发现了`X-hmac-request-key`的生成逻辑。核心在于对特定字符串使用HMAC-SHA256算法进行加密,其中密钥常量可破解。还发现了用户名密码加密,通过启动器分析定位了加密方法。最终,成功模拟登录过程,获取必要的token。
逆向
未读
对某虚拟实验网页VIP及购买检测的分析
本文分析了某虚拟实验网页的 VIP 和购买检测机制。首先通过修改 JavaScript 中的 `isVip` 变量绕过了第一层 VIP 限制。接着,为了阻断跳转到支付页面,作者利用抓包和代码调试,找到了跳转的相关代码,主要观察到了配置文件,并在确定判断 `VIP` 与否的函数后,通过修改其返回值,从而绕过了第二层 VIP 限制,成功解锁了受限资源。
逆向
未读
对于某云课堂密码的分析
学校云课堂终端设置需密码。作者分析同公司学生管理软件,猜测密码互通,通过行为分析发现软件读取 mmr.ini 文件,但未找到密码信息。尝试输入密码后,发现生成了包含 MD5 编码密码的文件。作者将密码替换为 123456 的 MD5 编码,成功打开设置。最后反查 MD5 得到密码,密码为软件公司网址,成功破解密码并验证了互通性。