作者:xaony23625 | 来源:互联网 | 2023-09-06 13:45
原标题:【2022-09-14】JS逆向之某团影视(jsjiami-v5)
文章仅供学习参考
前言
目标网站:aHR0cHM6Ly93d3cuZmFudHVhbmhkLmNvbS9wbGF5L2l文章来源地址15017.htmlkwww.yii666.comLTEzMzk3LTEtMS5odG1s
一、页面分析
要拿到的是这个网站解析后返回的视频地址
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/eec57030b649a106.webp)
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/5287a7b3296ea13e.webp)
通过搜搜是无法找到文章来源地址15017.html的,说明不是后端直接返回,而是通过JS处理后生成的
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/0a0ce631ec450943.webp)
二、找加密入口
通过观察发现,这一处有一串神秘的url,大概率就是视频地址加密之后的样子,然后调用 YZM.start()进行解密的
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/60405fda58cd0acd.webp)
先下个断点看看
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/4283cd4bbba41b87.png)
进到函数里面,继续调用play函数
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/6789f68dabde0aed.png)
跟到这里后,先看看网页有没有生成视频链接
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/c72d78d7317a9e8e.webp)
发现没有生成,直接按个F10跳过这个函数
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/0d80e8a685a9a87b.png)
文章来源站点https://www.yii666.com/
可以看到是生成了视频地址,说明play函数里做了url的解密操作
![在这里插入图片描述](https://img.php1.cn/3cd4a/189d8/b64/5b34b53b79a39fdd.jpeg)
重新断点到play函数,走到这后,进yzmplayer里
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/bdd1ca32a69bc8b2.webp)
好家伙!一目了然了,这是直接薅的jsjiami呀,注释也不去了
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/7494af3c1cda418d.webp)
然www.yii666.com后进到里面,最终是走这个else分支里的代码
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/d67981797265d9c7.webp)
简单还原下看看
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/011ac27956d007f0.webp)
这边不好判断是在哪里进行的解密,笨方法就是逐个下断点看在哪里生成了url,然后下个断点刷新下,
最终入口是在这
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/011ac27956d007f0.webp)
然后慢慢跟进去,就能发现了
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/d84f9786330d9e41.png)
也就是个AES-CBC的加密,IV跟KEY是死的,直接套算法模板调用就行了
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/d34245582687a4e6.webp)
![在这里插入图片描述](https://img.php1.cn/3cd4a/1eebe/cd5/7cccb7e4b6cb5cb8.webp)
三、总结
水一篇吧…… 是在是太久没更新了
来源于:【2022-09-14】JS逆向之某团影视(jsjiami-v5)