关于如何利用eval hook添加sourceURL调试eval代码

李恒道 · 发表于 2023-1-12 21:45:52

比如现在有一个代码

            eval(`
            function add(a,b){
                return a + b
            }
            console.log(add(1,2))
            `)

关于如何调试可能就束手无测了
这个时候可以对eval进行hook
添加一个sourceURL
就会在source里生成一个js文件片段
然后打上断点刷新即可
我们加一个hook

            const oldEval=window.eval
            window.eval=function(str){
                return oldEval.call(this,str+'//# sourceURL=test.js')
            }
            eval(`
            function add(a,b){
                return a + b
            }
            console.log(add(1,2))
            `)

可以发现多了一个test.js的代码片段
进行下断点后刷新即可正常断下
图片.png

结语

撒花~

steven026 · 发表于 2023-1-12 21:54:06

本帖最后由 steven026 于 2023-1-12 21:55 编辑

李恒道 · 发表于 2023-1-12 22:13:51

steven026 发表于 2023-1-12 21:54
[md]!(data/attachment/forum/202301/12/215311nl22kt24v500v5g9.png)
![](https://d.ifengimg.com/q100/im ...

也是...一种思路！

王一之 · 发表于 2023-1-12 23:45:31

李恒道发表于 2023-1-12 22:13
也是...一种思路！

使用场景不同，快反驳不能一天丢两次脸

李恒道 · 发表于 2023-1-12 23:58:44

steven026 发表于 2023-1-12 21:54
[md]!(data/attachment/forum/202301/12/215311nl22kt24v500v5g9.png)
![](https://d.ifengimg.com/q100/im ...

这种eval方式主要用于源码使用大量的eval进行构建
如果使用debugger难以做精准化的注入
而且调试在多文件的情况下也不方便
如果使用引用文件的方式
我们可以直接利用浏览器的搜索功能

李恒道 · 发表于 2023-1-12 23:58:58

王一之发表于 2023-1-12 23:45
使用场景不同，快反驳不能一天丢两次脸

我编造了一个场景堵回去了！

steven026 · 发表于 2023-1-13 09:02:48

本帖最后由 steven026 于 2023-1-13 09:04 编辑

李恒道发表于 2023-1-12 23:58

这种eval方式主要用于源码使用大量的eval进行构建
如果使用debugger难以做精准化的注入
而且调试在多文件 ...

那就直接在开头加debugger 然后手动打断点😘

关于如何利用eval hook添加sourceURL调试eval代码

结语

发表回复

荣誉开发者

管理员

油中2周年

生态建设者

喜迎中秋

新人进步奖

新人报道

挑战者 lv2

油中3周年