一、shuji工具还原前端代码
万能的js。js是参数漏洞最多最多的地方。比如vue的有些网址可以还原所有静态逻辑文件。
当前端是vue开发的网址,如果存在js.map文件(手动添加.map)。比如https://wwww.baidu.com/app.js.map 下载app.js.map到本地。
利用shuji 工具(安装nodejs 在安装shuji)https://www.npmjs.com/package/shuji
shuji app.js.map -o desfile
二、SourceMap还原前端代码
restore-source-tree 可以直接通过SourceMap 将前端代码还原到本地。
0x01 安装 restore-source-treePermalink
- git clone https://github.com/laysent/restore-source-tree.git
- cd restore-source-tree
- npm i -g restore-source-tree
0x02 还原代码Permalink
- 找个能访问的页面按Ctrl+U 查看源代码,再随便打开一个js找到映射文件。
- 通常我们要找到的SourceMap 映射文件都在这些文件的最下面有个注释的地方。
//# sourceMappingURL=abcd.js.map
把这 abcd.js.map 拼接到当前url目录就能把这个Source Map 文件下载下来了
使用 restore-source-tree 开始还原代码
restore-source-tree abcd.js.map
chunk-vendors.6b92c4bd.js.map 就是我们刚才拼接的文件
# -o 参数是输出目录,默认为当前目录output文件夹
最终生成的文件会存放在./output目录
转载自:
https://xz.aliyun.com/t/8976
https://p1kaju.github.io/javascript/restore-source-map/