抓包與定位
這網站比較敏感所以我們快速過一下,不要研究深了,封號警告~
先看下需要分析的請求
這個請求之后回傳了一個 json 資料,前端程式決議這個 json 展示在頁面上
所以進一步來看下他的請求引數
可以看到位置的引數只有sign這一個,其他的引數基本都能猜出大概的意思
所以直接檢索一下引數名(不是 xhr 請求用不上 xhr 斷點)
檢索的結果很少,只有兩個,可以通過請求的鏈接快速定位這個引數所在的檔案位置
通過在檔案中再次檢索,可以快速定位到sign的位置
加密分析
這個邏輯就非常簡單了,快速過一下這個邏輯
第一步、獲取到提交引數中的appkey可以寫死,并做一個簡單的運算
第二步、將第一步的g和當前的時間戳、token還有提交的引數中的data部分做一個拼接后傳入了h()
這里比較迷惑性的是token,這個token試過是由不同訪問的會話生成一個固定的值帶入cookie當中的,這一點可以直接在會話中檢索,和cookie中的值一樣
那么這個cookie的值是怎么來的呢?
通過檢索是可以看到是由請求直接寫入的
這里就需要再次去模擬這個請求然后拿到服務器回傳的cookie,之后再決議出這個cookie中的_m_h5_tk再帶入到上面的h()引數中
第三、獲取cookie的這個請求可以看到也帶有sign,這個時候就陷入懵逼的情況了,不知道的還以為是無限套娃呢?
不過經過使用postman測驗發現,這個獲取cookie請求的sign寫死也是可以獲取到set-cookie的,所以我們就直接寫死sign就行了
第四、完成第三步假的sign之后,我們就可以獲取到set-cookie中的_m_h5_tk也就是token
第五、完成第四步之后,h()傳入的引數就可以完成拼接了,這里就需要分析h()完成了什么邏輯
打上斷點,可以看到h()是個比較簡單的 js 也沒什么混淆,可以直接扣取代碼,也可以直接參考咸魚分析的結果,這個h就是 MD5 演算法,直接用 Python 實作即可
第六、使用 Python 完成資料的獲取
PS:如有需要Python學習資料的小伙伴可以加下方的群去找免費管理員領取
可以免費領取原始碼、專案實戰視頻、PDF檔案等
本文的文字及圖片來源于網路,僅供學習、交流使用,不具有任何商業用途,著作權歸原作者所有,如有問題請及時聯系我們以作處理,
作者: 煌金的咸魚
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/33672.html
標籤:Python