当前位置：首页 > news >正文

爬虫逆向学习(三)：Hook让你快速定位网站逆向疑难杂症

news 2026/6/4 11:59:07

Hook保姆级教程

Hook定义
hook的目的
Hook使用步骤
Hook函数公式
常用Hook方式
- 对象中属性
- eval/Function
- Cookie
- header 参数
- 关闭alert
- url
- JSON.stringify
- JSON.parse
- Function
- LocalStorage
- 对象操作

Hook定义

Hook 技术又叫做钩子函数，在系统没有调用该函数之前，钩子程序就先捕获该消息，钩子函数先得到控制权，这时钩子函数既可以加工处理（改变）该函数的执行行为，还可以强制结束消息的传递。简单来说，就是把系统的程序拉出来变成我们自己执行代码片段。

hook的目的

现在很多网站js都使用了混淆，我们没法直接通过查找的方式定位参数生成位置，js hook能帮助我们找到函数入口以及一些参数变化，便于分析js逻辑，对于爬虫只借助其寻找函数入口。

Hook使用步骤

明确要定位的参数类型
编写hook逻辑
调试代码确定hook成功

Hook函数公式

old_func=funcfunc=function(argument){mytask;returnold_func.apply(argument)}func.prototype.....=.......// func ：要hook的函数

常用Hook方式

对象中属性

old_attr=obj.attrObject.defineProperty(obj,'attr',{get:function(){console.log(cookie_cache);returnold_attr},set:function(val){return......}

eval/Function

# eval/Function window.__cr_eval=window.eval // 捕捉到debugger位置varmyeval=function(src){console.log("============ eval begin: length="+src.length+",caller="+(myeval.caller&&myeval.caller.name)+" ===============")console.log(">>>>>>>>>>>> eval injected: "+document.location+" <<<<<<<<<<<<<<<<")console.log(src);console.log("============ eval end =============")returnwindow.__cr_eval(src)}// 会有一些反爬会识别是不是本机代码,这个地方是小花招本招,防止被识别var_myeval=myeval.bind(null)_myeval.toString=window.__cr_eval.toString Object.defineProperty(window,'eval',{value:myeval})

Cookie

// 捕捉window参数写入位置(function(){//document 为要hook的对象 这里是hook的cookievarcookieTemp="";Object.defineProperty(document,'cookie',{//hook set方法也就是赋值的方法set:function(val){//这样就可以快速给下面这个代码行下断点//从而快速定位设置cookie的代码console.log('Hook捕获到cookie设置->',val);cookieTemp=val;debugger;returnval;},//hook get方法也就是取值的方法get:function(){returncookieTemp;}});})();

header 参数

//方式一：varcode=function(){varorg=window.XMLHttpRequest.prototype.setRequestHeader;window.XMLHttpRequest.prototype.setRequestHeader=function(key,value){if(key=='Authorization'){debugger;}returnorg.apply(this,arguments);}}varscript=document.createElement('script');script.textContent='('+code+')()';(document.head||document.documentElement).appendChild(script);script.parentNode.removeChild(script);// 方式二(function(){varorg=window.XMLHttpRequest.prototype.setRequestHeader;window.XMLHttpRequest.prototype.setRequestHeader=function(key,value){if(key=='Authorization'){debugger;}returnorg.apply(this,arguments);};})();

关闭alert

var_alert=window.alert window.alert=function(){returntrue;}

url

(function(){varopen=window.XMLHttpRequest.prototype.open;window.XMLHttpRequest.prototype.open=function(method,url,async){if(url.indexOf("login")!=-1){debugger;}returnopen.apply(this,arguments);};})();(function(){constoriAppend=URLSearchParams.prototype.append;URLSearchParams.prototype.append=function(k,v){if(k==="a_bogus"){console.log("【a_bogus生成+拼接】值:",v);console.trace("a_bogus生成函数位置");}returnoriAppend.call(this,k,v);}})();

JSON.stringify

(function(){varstringify=JSON.stringify;JSON.stringify=function(params){console.log("Hook JSON.stringify ——> ",params);debugger;returnstringify(params);}})();

JSON.parse

(function(){varparse=JSON.parse;JSON.parse=function(params){console.log("Hook JSON.parse ——> ",params);debugger;returnparse(params);}})();

Function

(function(){// 保存原始方法window.__cr_fun=window.Function;// 重写 functionvarmyfun=function(){varargs=Array.prototype.slice.call(arguments,0,-1).join(","),src=arguments[arguments.length-1];console.log(src);console.log("=============== Function end ===============");debugger;returnwindow.__cr_fun.apply(this,arguments);}// 屏蔽js中对原生函数native属性的检测myfun.toString=function(){returnwindow.__cr_fun+""}Object.defineProperty(window,'Function',{value:myfun});})();

LocalStorage

(function(){vartmp_getItem=localStorage.getItem;localStorage.getItem=function(params){console.log("Hook localStorage.getItem ——> ",params);debugger;returntmp_getItem(params);}vartmp_setItem=localStorage.setItem;localStorage.setItem=function(params){console.log("Hook localStorage.setItem ——> ",params);debugger;returntmp_setItem(params);}})();

对象操作

如果想动态操作某个对象，可以参考下面这种方式
用途：将值与a对象的href进行网址动态拼接

a={'href':""}varjoin_url;Object.defineProperty(a,'href',{set:function(val){if(val.startsWith('http')){join_url=val;}else{letbaseURL=newURL('');baseURL.pathname=val;join_url=baseURL.toString();}returnjoin_url;},get:function(){returnjoin_url;}});

不拦截 send 执行，让 send 完整跑完 BDMS 加密拿到 a_bogus，在请求即将发往内核的最后一步直接 abort 取消请求，Network 不会出现已发送请求。

asyncfunctiongetABogus(url){returnnewPromise(resolve=>{constoriSend=XMLHttpRequest.prototype.send;constoriAppend=URLSearchParams.prototype.append;letbogusVal=null;// 1、监听a_bogus拼接URLSearchParams.prototype.append=function(k,v){if(k==='a_bogus')bogusVal=v;returnoriAppend.call(this,k,v);}// 2、send正常执行加密，加密完立刻终止请求XMLHttpRequest.prototype.send=function(...args){oriSend.call(this,...args);// 加密完成、参数拼接完毕，直接中断请求setTimeout(()=>{this.abort();// 关键：终止网络发送，Network无真实请求// 恢复原生方法XMLHttpRequest.prototype.send=oriSend;URLSearchParams.prototype.append=oriAppend;resolve(bogusVal);},10)}constx=newXMLHttpRequest();x.open('GET',url);x.send();})}// 使用getABogus("目标接口url").then(v=>console.log(v))