别再手搓JS逆向了!这个skill让AI帮你搞定,还能直接输出autodecoder脚本

admin
admin
admin
0
文章
0
评论
2026-04-13 04:02:19 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文介绍了一款二次开发的AI辅助JS逆向Skill,作者将底层MCP替换为chrome-mcp以复用真实浏览器会话,并将输出改造为autodecoder规范的Flask脚本。该方案使AI分析完JS加密逻辑后能直接生成与Burp无缝联动的加解密接口,有效减少渗透测试中手动算签的重复劳动,使用时将Skill文件导入AI工具目录并配置MCP即可激活。 综合评分: 52 文章分类: WEB安全,渗透测试,安全工具,爬虫,软文广告

cover_image

别再手搓JS逆向了!这个skill让AI帮你搞定,还能直接输出autodecoder脚本

原创

跟着斯叔唠安全 跟着斯叔唠安全

跟着斯叔唠安全

2026年4月7日 20:45 江苏

免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。

1

Start

众所周知现在ai干活越来越流行,一个好的skill能让ai的干活效率事半功倍。粗略的搜索了一下大型同性交友平台上的js逆向相关skill,二开了一个叫hello_js_reverse_skill的skill,原项目地址如下

https://github.com/WhiteNightShadow/hello_js_reverse_skill

    本来也没想着做微调的,毕竟能直接上手使用,谁还费功夫做改动呢?原项目是围绕 camoufox-reverse MCP 做的js逆向分析,但是好巧不巧,这个MCP本人用cursor死活调用不起来,单纯测试MCP的状态是正常的,一让他干活就撂挑子

    那么细数一下,在原本项目做的微调动作如下:

1、旧版是独立 Camoufox 实例:登录态、企业 SSO、设备绑定、已装扩展往往要再配一遍。新版通过 streamable-mcp-server 操作当前真实标签页,Cookie、会话、人机验证后的状态与日常渗透浏览器一致,更容易复现「只有这个环境才过」的接口(在已授权测试范围内)。2、旧版默认交付是「独立协议脚本」;现在默认交付是 autoDecoder 约定的 Flask(/encode、/decode、dataBody),密文/明文可以在 Repeater、Intruder、插件流水线里自动加解密,适合改参、爆破、多步骤业务链,减少「每次手动算 sign / 贴密文」的重复劳动。

    简单说一下,一个是把联动的mcp更改成了chrome mcp,让它直接操作浏览器;另一个是让它的输出设置成autodecoder的脚本,更方便咱们日常的渗透使用。

2

Action

使用方式也很简单,以cursor为例,将目标skill的文件夹,全部复制粘贴到到对应 AI 工具的 skills 目录下

    正常情况下安装完成后,AI Agent 会自动读取 SKILL.md 获取 逆向分析能力。当你在对话中涉及接口签名分析、反爬对抗、动态 Cookie、混淆 JS、WASM 或浏览器环境调试等场景时,Skill 会自动激活。

    我这里使用的chrome mcp是如下链接的0.0.6版本

https://github.com/hangwin/mcp-chrome

    一切都配置妥当后,即可开始实操。我习惯先让他熟悉一下新加载的skill内容,确保skill加载正常

    确认加载完毕直接让他分析网站的加解密逻辑

    分析完直接让他输出一个autodecoder脚本就完事了。直接运行输出的autodecoder脚本,burp上正常加载autodecoder插件,一气呵成,没有一丝报错,直接上手就能用。

    js逆向~

3

End

🚀 新圈子上线 | 高质量安全内容持续更新中!

我最近在纷传上建立了一个全新的安全技术圈子,主要聚焦于 WEB安全、APP安全、代码审计、漏洞分享* 等核心方向。目前圈子刚刚建立,内容还不算多,但会持续高频更新*,只分享真正有价值、有深度的干货文章。

📚 圈子中包含:

  • 高质量原创或精选的安全技术文章
  • 公众号历史付费内容免费查看(如:小程序RPC、APP抓包解决方案)
  • 一些只在圈子内分享的独家思路和实战经验
  • 不定期分享0/1day

文章中涉及skill已上传至纷传圈子中,需要的师傅可以自取哈

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:跟着斯叔唠安全 跟着斯叔唠安全 跟着斯叔唠安全《别再手搓JS逆向了!这个skill让AI帮你搞定,还能直接输出autodecoder脚本》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0