当前位置：首页 > article >正文

JS逆向之某招标采购平台接口aesKey、epcos以及响应content解密

article 2026/4/25 3:09:59

文章目录声明一、起因与目标二、第一步：先证明它不是普通接口三、第二步：观察页面结构，判断从哪里下手四、第三步：优先打请求拦截器，不要先钻业务页1. GET 请求加密逻辑2. POST 请求加密逻辑五、第四步：把真正的加密函数剥出来1. 请求加密函数2. 响应解密函数请求侧响应侧六、第五步：别漏掉一个关键细节，AES key 不是任意 16 位字符串七、第六步：回到业务页面，确认目标接口的明文参数到底是什么八、协议真正还原后的完整流程GET 请求复现流程第一步：准备业务参数第二步：把参数拼成前端同款查询字符串第三步：生成 16 位 AES key第四步：AES 加密参数明文第五步：把 AES key 用 RSA 公钥加密第六步：把 `content` 再做一次 URL 安全 Base64 编码第七步：发请求第八步：解响应九、纯 Python 复现落地十、几个特别容易踩坑的点1. 只带 `epcos` 不带 `aesKey` 一定不行2. `epcos` 不是直接 AES 密文3. 响应里的 `aesKey` 不是请求头原样回显4. 业务页参数里 `null` 不参与最终明文声明本文章中所有内容仅供学习交流，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关，若有侵权，请私信我立即删除！一、起因与目标这次目标站点是：主页：https://zbb.tjhonline.com.cn/homeEntrustBulletin目标接口：/tjh/purchaser/entrustment/public/homepage目标非常明确，一共四件事：搞清楚请求头里的aesKey是怎么生成的搞清楚 GET 请求里的epcos是怎么生成的搞清楚响应里的content怎么解密用纯 Python 脱离浏览器环境复现整个调用过程换句话说，不是要“在浏览器里能调通”，而是要最终拿到一个独立脚本，直接在 Python 里发请求、拿结果、完成解密。这类任务的核心原则一直只有一句话：不要猜，所有关键结论都要落到代码和实测上。二、第一步：先证明它不是普通接口最开始我没有急着看 JS，而是直接拿接口去请求：

JS逆向之某招标采购平台接口aesKey、epcos以及响应content解密

相关文章：

JS逆向之某招标采购平台接口aesKey、epcos以及响应content解密

【进程间通信】————匿名管道、模拟实现进程池

云服务器配置远程桌面

C++：模板精讲

015-016 类中方法中的this，解决类中this指向问题

Weka回归分析实战：从数据预处理到模型部署

边缘节点的PHP应用部署、数据同步、算力调度标准化方案=hyperf最

ARM智能卡接口(SCI)架构与通信协议详解

别再手动算了！用Matlab的dec2hex/dec2bin函数搞定进制转换（附硬件寄存器操作实例）

evolver部署教程：构建自动优化AI系统

扩展拖垮VSCode？禁用这3类高危插件，启动速度提升3.2倍，实测有效

如果openKylin 2.0 SP2主机的IPv4地址改变，如何让GitLab正常运行

VSCode量子插件配置踩坑实录：92%开发者忽略的3项核心环境校验与自动修复方案

DimOS：AI原生机器人操作系统入门与实践指南

告别STC-ISP！手把手教你写一个通吃STC89/12/15系列单片机的延时函数库

量子模拟中的N-可表示性问题与相关纯化方法

未来3年，这3个AI赛道已经定了

3个颠覆性功能让Pearcleaner成为Mac系统清理必备神器

Linux服务器磁盘爆满？手把手教你用parted命令在线扩容/home分区（CentOS 8/9实战）

差分放大器在高速信号链中的关键作用与设计实践

NREL风速数据API参数详解：从wkt坐标到interval间隔，新手避坑指南

神经形态硬件在强化学习机器人控制中的低功耗实践

Pytest及相关测试工具实战指南

PyTorch实现Transformer英法机器翻译系统

从零实现5大机器学习基础算法：Python代码与数学推导

从‘像素’到‘3D模型’：手把手拆解David Marr视觉四层描述，理解CV任务本质

数字孪生AI赋能智慧社区：从概念到落地的全景指南

AI Agent Harness日志体系：可追溯性设计

数字孪生AI赋能智慧商圈：从概念到落地的全解析

不用C、不用Verilog！用Ada点亮LED，这才是Zynq的“另一种打开方式”