一个网站的请求头加密，伤透了脑筋

酒伴久伴丶

大家好，自身对JS逆向很感兴趣，很多时候会自己寻找一些网站进行学习，验证自己的能力，这次碰到的这个网站，属实是把我搞的有点头疼了！

网站网址：aHR0cHM6Ly9zaG9wLmx1bHVsZW1vbi5jb20vaGVscC9vcmRlcnMvZ2lmdC1jYXJkLWJhbGFuY2U=

分析目标：协议头里的加密参数是如何生成的（X-Dwoclkrx-A、X-Dwoclkrx-A0、X-Dwoclkrx-A1等等...）



首先在网页随便填入一个Card和pin点击查询，F12查看网页请求，找到带有/api/graphql的HTTP请求，在请求头里就能看到很多被加密的参数，如果POST请求中不携带这些参数的话，将无法进行查询，所以这些参数是必须的；




这些参数在每次查询的时候都是不同的



通过这些关键字进行全局搜索，但无法搜索到任何信息，第一次遇到这种情况，直接把我干懵了，也想了很多其他的办法，比如搜索encrypt之类的，就算我把全部带有这个字符的都下断点，也还是断不下来，也尝试过从启动器里随便找个进去F9单步，但F半天，也没发现什么异常，后来我又想能否通过HOOK XHR来获知是在哪里触发的，遂百度了适用于油猴的HOOK函数；



但还是没有效果，好像并不会触发XHR，这下真是黔驴技穷了，研究了好几个月，每次有点新想法，就研究这个，就是不肯服输，哈哈，虽然知道自己技术就这样了，但还是想突破他，不知道有没有大佬可以提供一下思路？遇到这种情况应该如何去找到这个加密的生成位置？

漁滒

这是shape盾，请求头是在jsvmp内部生成

homehome

不妨用上Wireshark抓包进行分析一下？

linguo2625469

https://github.com/JSREI/ast-hook-for-js-RE
可以使用内存漫游方案去搜索加密点
我试了试是能搜出来的 只是比较乱就没去分析 没事可以看看

xiaopacI

蹲后续教程

酒伴久伴丶

漁滒 发表于 2024-3-6 23:35
这是shape盾，请求头是在jsvmp内部生成

大哥，可能是我孤陋寡闻了，我赶紧去学习一下

酒伴久伴丶

linguo2625469 发表于 2024-3-6 23:02
https://github.com/JSREI/ast-hook-for-js-RE
可以使用内存漫游方案去搜索加密点
我试了试是能搜出来的  ...

好的，这就去看看，谢谢大佬的指点

shiran520

你找错了吧，这个只是设置请求头而已，setRequestHeader，你可以尝试找一下关键字【x-dwoclkrx】或者检索一下源代码。

酒伴久伴丶

shiran520 发表于 2024-3-7 10:23
你找错了吧，这个只是设置请求头而已，setRequestHeader，你可以尝试找一下关键字【x-dwoclkrx】或者检索一 ...

找不到，setRequestHeader和全部key都查过，没有任何信息

amoxuk

涨知识了，也叫F5 shape 用来做风控的，可以参考这个https://blog.csdn.net/weixin_44251614/article/details/127145748