惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

The Hacker News
The Hacker News
D
Docker
GbyAI
GbyAI
Y
Y Combinator Blog
C
Check Point Blog
M
MIT News - Artificial intelligence
Martin Fowler
Martin Fowler
D
Darknet – Hacking Tools, Hacker News & Cyber Security
Blog — PlanetScale
Blog — PlanetScale
P
Palo Alto Networks Blog
Recent Commits to openclaw:main
Recent Commits to openclaw:main
V
Vulnerabilities – Threatpost
I
InfoQ
Simon Willison's Weblog
Simon Willison's Weblog
博客园_首页
T
Threat Research - Cisco Blogs
J
Java Code Geeks
Hacker News - Newest:
Hacker News - Newest: "LLM"
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
The Register - Security
The Register - Security
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
Exploit-DB.com RSS Feed
Exploit-DB.com RSS Feed
阮一峰的网络日志
阮一峰的网络日志
O
OpenAI News
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
Recent Announcements
Recent Announcements
Forbes - Security
Forbes - Security
AWS News Blog
AWS News Blog
雷峰网
雷峰网
博客园 - 三生石上(FineUI控件)
S
Security Affairs
H
Heimdal Security Blog
Engineering at Meta
Engineering at Meta
T
Troy Hunt's Blog
T
Tenable Blog
MongoDB | Blog
MongoDB | Blog
H
Hacker News: Front Page
IT之家
IT之家
N
News and Events Feed by Topic
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
G
GRAHAM CLULEY
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
V
Visual Studio Blog
S
Secure Thoughts
U
Unit 42
cs.CL updates on arXiv.org
cs.CL updates on arXiv.org
The Last Watchdog
The Last Watchdog
S
Security @ Cisco Blogs
NISL@THU
NISL@THU
T
The Blog of Author Tim Ferriss

博客园 - 曲滨*銘龘鶽

IE8 隐藏命令行参数 学习 ASP.NET mvc 第一天、也可能是最后一天 Visual Studio 2008 开启被遗忘的 “同步类视图”功能、附带一个MSDN 的 bug windows 桌面开发 - 子类化控件(不用任何WinAPI),演示拦截Button的WM_LBUTTONDBLCLK 在真实项目中使用第三方或开源代的代码,组件,中间件,框架的基本规则 你有?项目设计开发阶段,甲方经常的要求看程序,而经常在做【假界面】【假程序】的情况吗? Windows Live Writer 测试 文档共享:罗斯文2007 (Northwind 2007),数据库文件,中文版本、英文版、英文表结构中文数据版 本机 MSDN Sorry, no topics were found for the selected link 问题,及临时解决方案 2008-9-6 文档共享:罗斯文2007 (Northwind 2007),数据库,微软最新的 Access 2007 样列数据库分析(中文/英文) C# 操作 XML 数据库类型、Oracle XMLType IE7,ie8说爱你不容易,企业应用困局 如何:在 Winform 动态启动、控制台命令行? 如何:使 comboBox 输入状态变成 readonly 方式;TextBox 只读时的效果; 设计模式学习:Model View Presenter (MVP) C# 直接执行、调用本机代码、汇编代码 shell Native Code OneDay “屏幕任务”小软件 TaskScreen_080408 Oracle 使用数据泵 expdp impdp 导入导出数据库“表空间”文件 适合编程开发用的"宋体"和"新宋体"
实战 IE8 开发人员工具
曲滨*銘龘鶽 · 2009-04-04 · via 博客园 - 曲滨*銘龘鶽

    今天整理我收藏的漫画的时候发现 风云3 少了两集(486、487),这对于收藏者来说基本是不可忍受的;

    从风云一到三,应该一集也不能少的;

    决定上网去找找,不过溜达一圈常去的分享论坛,由于时间太长了而且多半都是放在网盘里的以前

    所以不是没有了就是网盘过期了;

    看来只能去找在线的了;还好很快找到一个在线的虽然不是特别高清晰的,不过忍了起码质量还可以还可以看

    不过没有下载,这么多页要一页一页的翻下去,还不能邮件保存,屏蔽了右键、而且身为搞软件的如果一页一页的去

    Copy 图片也太丢人显眼了;

    正好最近装了ie8,里面不是有个开发人员工具吗?据说不错,试验试验了看来,就当练手了;

    一、分析得到需要html 信息

    按F12 启动开发人员工具

    用选择界面元素功能(Ctrl+b) 选择承载漫画的 img 标签;

    如下:Html标签\箭头按钮;然后点击一下网页里的图片 ok

    clip_image001

    我们找到 id=pic-show-area 的img 标签看 src

    http://comictelecom-qy.ktxp.com/comicdata3/f/fy3/487/jy001wsg.jpg

    猜测一下在浏览器输入,

    http://comictelecom-qy.ktxp.com/comicdata3/f/fy3/487/jy002wsg.jpg

    木有图片

    没有看来没那么简单

    继续分析……

    看看第二页漫画的 src

    http://comictelecom-qy.ktxp.com/comicdata3/f/fy3/487/jy002evl.jpg

    哦!原来是这样;明显后三位是,随即的或者什么没有规律的

    为了防止盗用的?我是搞企业管理软件的这个就不太明白了;

    查看源码,没有发现 id=pic-show-area 大概是某个js 动态创建的;不管他

    我是来找图片 url 的至于这个img标签怎么出来的我不太关心;

    二、使用探查器

    【按开始配置文件】按钮、在网页上按 F5 刷新,直到网页加载完成,停止

    得打如下图的结果,按时间排序、找到一个类似的代码!!!;看着很像就是他了下面的 loadPic 函数耗时 15.63

    以我的经验判断一般这种设置src 的函数时间耗时不可能很短的......

    clip_image002

    三、发现并分析脚本

    双击,进入一个js代码段中、搜索找到 pic-show-area 就是他了

    clip_image003

    重点:原来是这里设置的 src,找到了;

    $("pic-show-area").src=current_pic_server+hex2bin(pic[A]);

    这行代码的意识大家应该看懂了;用 hex2bin 把 pic 数组中的变量变成真正的 url

    关于 Pic 数组,在页面源码里可以看到,我早就看见,不过可以无视,这种东西如果叫加密的话

    pic 数组代码如下:

var pic = new Array();pic[0] = '2f636f6d696364617461332f662f6679332f3438372f6a793030317773672e6a7067';pic[1] = '2f636f6d696364617461332f662f6679332f3438372f6a7930303265766c2e6a7067';

    ......很多剩下的省略

    四、编写测试脚本&执行测试脚本

    复制到ue 里一转换得到的就是 /comicdata3/f/fy3/487/jy001wsg.jpg 这是加密??

    Ok 我们只要执行一行代码就可以了;

    循环解码所有的 pic 拼一个大串; ok 放置到剪贴板里;

    既然已经提供了 hex2bin 咱们还是利用一下吧;

    在开发人工具,脚本这里执行多行脚本

    代码如下:

var s = "";

for (var i = 0; i < pic.length; i++) {

    s = s + current_pic_server + hex2bin(pic[i]) + "\n";

}

window.clipboardData.setData('Text', s);

如图所示

    image 

    执行 OK

    粘贴到记事本 我们得到下面的结果

    http://comictelecom-qy.ktxp.com/comicdata3/f/fy3/487/jy001wsg.jpg

    http://comictelecom-qy.ktxp.com/comicdata3/f/fy3/487/jy002evl.jpg

    。。。略

    Save 成 487.lst

    启动,天朝盗链最nb的【迅雷】、导入下载列表,下载成功;

    接下来在去搞 486 收藏全部凑齐了,呵呵高兴,不过对漫画站咱站长先赔礼了,小生真的没时间一页一页的copy;

    如果本漫画站,站长要求撤下本文,请通知一声,我的邮箱在本blogs 上方的图片中......

    END.最终

    写道这里各位看官一定会有所感触,JVAVSCRIPT 太不安全了、不过这是事实

    比如被禁用的按钮了,禁止复制了,数据校验了、反正用js 实现的一切和安全相关的东西本来也都是没啥用处的

    js只是用来提升用户感受的、并不是一个真正的安全的语言,尤其是在浏览器中运行的时候,即使不借助开发着工具,在地址栏仍然是可以敲入进行执行的

    所以即使是 ajax 盛行的今天,各位开发者也不要忘记了浏览器中 JS 并不是安全的,最起码浏览器用户有对他的100%的控制权,而且这一技术很容易被掌握;

    本篇文章只是为了练习和学习开发着工具,如果有人利用这一技术或方式制作如批量下载器一类的危害被分析网站利益的一切事宜,或者去做其他不道德或违法的事情与本作者无关、

    作者:曲滨 2009-4-4 23:46:07