Node.js+CryptoJS还原酷我音乐reqId生成逻辑:Webpack打包的逆向技巧

原创 于 2026-02-25 10:30:27 发布 · 1k 阅读 · 27
标签
#逆向工程 #Node.js #参数解密 #Webpack #ViewUI

Node.js+CryptoJS还原酷我音乐reqId生成逻辑:Webpack打包的逆向技巧

在音乐流媒体平台的开发中,请求参数加密是常见的反爬机制。酷我音乐通过动态生成的reqId参数来保护其API接口,本文将深入解析这一参数的生成逻辑,并展示如何通过Node.js和CryptoJS库完整还原其加密过程。

1. 逆向工程基础准备

逆向分析音乐平台的加密逻辑需要具备一定的前端工程化知识。酷我音乐采用Webpack打包的JavaScript代码,这给我们的分析工作带来了独特的挑战。

1.1 必备工具与环境配置

开始之前,请确保已安装以下工具:

  • Chrome开发者工具(最新版本)
  • Node.js环境(建议v16+)
  • Webpack逆向工具(如webpack-unpack)
  • 代码美化工具(如Prettier)

关键依赖安装

npm install crypto-js vm2 axios

1.2 Webpack打包代码特征识别

现代前端工程通常使用Webpack进行模块打包,这会导致:

  1. 所有模块被包裹在闭包中
  2. 模块通过数字ID引用
  3. 核心逻辑分散在不同模块中

酷我音乐的Webpack打包特征:

// 典型Webpack模块结构
!(function(e) {
    function t(r) {
        if (n[r]) return n[r].exports;
        var o = n[r] = {
            exports: {},
            id: r,
            loaded: !1
        };
        return e[r].call(o.exports, o, o.exports, t),
        o.loaded = !0,
        o.exports
    }
    var n = {};
    return t.m = e,
    t.c = n,
    // ...其他Webpack运行时代码
})([
    /* 0 */ function(require, module, exports) {
        // 模块内容
    }
]);

2. 请求参数逆向分析

通过抓包分析酷我音乐API请求,可以发现两个关键加密参数:reqId和Secret。本文将重点解析reqId的生成机制。

2.1 关键参数定位技巧

参数特征分析表

参数名 变化频率 长度 特征
reqId 每次请求 36 UUID格式
Secret 会话期间 32 十六进制字符串

定位加密代码的三种方法

  1. 全局搜索关键参数名(如"reqId")
  2. XHR断点调试
  3. Hook关键函数(如crypto相关方法)

提示:现代前端混淆代码中,直接搜索参数名可能无效,建议结合运行时调用栈分析

2.2 AST解析与代码还原

当面对混淆代码时,抽象语法树(AST)分析是强有力的工具。以下是通过AST解析还原加密逻辑的关键步骤:

const parser = require('@babel/parser');
const traverse = require('@babel/traverse').
最低0.47元/天 解锁文章
e1f2g
关注
音乐逆向 请求头 参数解密js逆向
screamn的博客
12-28 3824
免责声明:本篇博文的初衷是分享自己学习逆向分析时的个人感悟,所涉及的内容仅供学习、交流,请勿将其用于非法用途!!!任何由此引发的法律纠纷均与作者本人无关,请自行负责!!!
js逆向学习】音乐排行榜 python+nodejswebpack
学海无涯
09-24 1156
webpack
webpack案例整合
weixin_41259961的博客
07-04 380
整合一些webpack的案例
音乐爬虫(400多行代码)
bash_winner的博客
03-19 7216
音乐 http://www.kuwo.cn/ 1. 分析音乐下载的接口 http://www.kuwo.cn/url?format=mp3&rid=81010978&response=url&type=convert_url3&br=128kmp3&from=web&t=1584003980221&reqId=xxxxxxxxxxxxxx...
音乐 js 逆向分析
最新发布
qq_64965973的博客
05-09 2203
通过逆向分析 Webpack 加密逻辑,结合 Python 的 JavaScript 执行能力,可有效破解动态加密参数。关键参数定位:通过抓包和调试确定加密入口。逻辑还原:分析 Webpack 模块化和加密函数调用链。代码移植:将 JavaScript 逻辑嵌入爬虫环境。
Python的requests爬取音乐的一些坑(报错、友好错误界面
2401_84247449的博客
04-10 1607
params = {‘key’: ‘夜曲’,‘pn’: ‘1’,接着我发现 csrf 的内容和 cookie 中的kw_token是一样的,因此这两个都不能缺少我正好就是 cookie 中缺少了此部分,加上去即可:根据试验我得出在这里爬取音乐数据,请求头只需要Referercsrf和cookie的kw_token部分即可。问题 3爬取音乐MV链接,遇到了 javascript 渲染的动态网页:爬取视频链接的部分代码:这时候我们会发现我们爬到的信息为None。
Python爬取音乐
一只程序猿子的博客
12-10 9455
本文将介绍Python爬虫如何实现爬取网页版我的榜单音乐并下载到本地!
爬虫很难吗?手把手音乐解析
宁不凡
07-14 1万+
不知道数据用什么加密方式就全局搜,或者一个一个加密方法试。最后才选择单步调试~可能首先想到的是用正则匹配,那有没有办法办法直接获取到。点击搜索结果,跳转至关键词数据所在页面,在此页面搜索(既然是js,那就想办法运行这段js。声明:仅用于学习交流,切勿用于其他用途~页面用的是Nuxt服务器端渲染,看到。,结论:数据来源于页面。了吧,这段js被混淆了。
python 爬取我在线音乐
m0_37302966的博客
12-27 1676
python 爬取我在线音乐
爬虫,音乐接口解析
m0_50360903的博客
04-22 8616
音乐接口解析,音乐播放接口,爬虫音乐
Python爬虫下载收费音乐
热门推荐
王昭阳的博客
09-12 1万+
#!/usr/bin/env python3 # -*- coding: utf-8 -*- # @Time : 2020/9/12 17:03 # @Author : Joe Wang # @FileName: 01.py # @Software: PyCharm # @Blog :https://blog.csdn.net/wangzhaoyoung import requests import json import os def music_download(): kw =
php:抓取各大平台音乐链接 ( QQ音乐我、咪咕、网易云 )
panjiapengfly的博客
12-02 9537
最近闲来无事,就想写点东西,刚看到分享到微信朋友圈的音乐,就想自己也写个试试做一个同样的效果。我们都知道音乐平台在点击分享的时候,都有一个复制链接的按钮,我们根据分享的链接,获取歌曲信息(歌曲链接、封面、歌手等等),以下收费歌曲都不行哈; 注:纯属练练手,大家切勿用到商业用途。 目录 一、网易云音乐 二、音乐 三、咪咕音乐 四、qq音乐 五、辅助方法 六、小结 一...
音乐解析mp3
qq_20667511的博客
03-20 5348
通过js解析音乐的流地址缘由思路java的js执行引擎 缘由 最近经常听到的一首歌曲,但是不知道是什么歌曲名,直到一个偶然的机会,我找到了这个音乐 清新的小女孩,习惯于其他音乐播放器的我,希望下载这首动听的歌曲,但是有意思的是歌曲的下载必须要下载客户端。由于某人比较懒,所以就开启了解析解析之路 (1)http://m.kuwo.cn/newh5/singles/songinfoandlrc?m...
15--jQuery插件大全-- 使用jsoup爬取音乐和微博热搜数据
weixin_42133396的博客
10-23 1264
目录 歌曲来自于音乐热歌榜 热搜数据来自于微博热搜 库我音乐前台代码如下: 库我音乐后台代码如下: Servlet代码: model代码: HTTPUtils工具类 微博热搜前台代码如下: 微博热搜后台代码如下: Servlet代码: HotModel代码: URLHandle代码: HotParse代码: HTTPUtils代码: 歌曲来自于我音...
帮你踩坑系列:音乐的歌词获取/下载,示例代码用 python
lianghong的专栏
10-31 1888
本人在下面代码中踩过的坑主要是: bytesArr_lric = resp.content # 直接 bytesArray , 转为text再解压缩会报错。 # str_lric = resp.text #得到歌词密文 上面二句 有一句 是将服务器返回的内容,转为文本,再将需要解压缩的部分 split 出来,再调用 zlib.decompress(btsLricContent) #解压缩, 结果解压缩报错。 原因是直接转为文本时,原压缩内容已经改变,解压缩模块报压缩文件模式错误...
Python的requests爬取音乐的一些坑(报错、友好错误界面、csrf、动态网页)
你豪哥的博客
07-24 7010
报错:json.decoder.JSONDecodeError: Expecting value: line 1 column 1 (char 0);友好错误界面:a padding to disable MSIE and Chrome friendly error page;请求头出错:{"success":false,"message":"CSRF Token Not Found!","now":"2021-07-23T13:15:45.683Z"};遇到 javascript 渲染的动态网页,不完整
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值