记一次x星学习通网页逆向分析(新手一次尝试)

背景

由于疫情原因,学校未能开学,课程都改为网课教学,由于x星学习通有视频观看进度,因此想制作一个程序快速点亮进度
记一次x星学习通网页逆向分析(新手一次尝试)_第1张图片

网页分析

通过burpsuit抓包分析,发现浏览器会定期以get形式向服务器发送一个请求(如下图)
在这里插入图片描述构造的url中存在以下变量
记一次x星学习通网页逆向分析(新手一次尝试)_第2张图片
其中通过与视频进度比对,playingTime表示视频当前的时间秒数(1分半则为90)duration则为视频完整的时间(转换为秒)将其发送出去后返回了{“isPassed”:false}此时playingtime 在这里插入图片描述

以上图的请求为例子,尝试直接修改palyingtime字段,将其改为duration的值后直接发送服务器发现被服务器拒绝,对比前后两次的请求内容发现存在三个不同的字段
记一次x星学习通网页逆向分析(新手一次尝试)_第3张图片
修改提交测试,发现第三个_t不影响,而playingTime和enc修改任意一点就会被拒绝。可以看到这个请求来源显示为xhr
在这里插入图片描述
利用浏览器进行监测
记一次x星学习通网页逆向分析(新手一次尝试)_第4张图片
发现其来源于下图文件
在这里插入图片描述
将其复制出来并用代码排版工具进行排版,发现enc来自于md5加密(如下图)
在这里插入图片描述
查看enc变量如何构建
记一次x星学习通网页逆向分析(新手一次尝试)_第5张图片
原来网页利用各字段构成enc进行上传,服务端同样利用各字段构造enc并进行md5加密,以此判断是否接受请求 由于水平有限,目前尝试进行到这里,接下来再试着分析剩下的步骤

你可能感兴趣的:(笔记,安全,javascript)