分享最新对微信贵州葫芦娃小程序(贵旅优品 黔寻积分 航旅黔购等小程序)的解密思路

于 2024-05-31 11:07:01 发布
阅读量347 收藏 8
点赞数 4
文章标签: 微信 经验分享 其他 java 微信公众平台
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_82874566/article/details/139346939
版权

贵州葫芦娃加密解密思路

一、背景

账号不多,但是懒得天天点开小程序去预约,因此尝试用脚本来代替人工预约,于是有了本文。

 

二、抓包请求,梳理必要条件

1690810212(1).png

简单的抓了个包,抓取内容不重要,看了下请求头,图示红框请求头为葫芦娃家特有的加密的变量。

接下来破密就围绕这几个变量来处理。

 

三、直捣黄龙,小程序逆向

 

贵州葫芦娃小程序,据观察来看,一体n位,即一套代码用多个程序,只是样式微调,于是挑了一个小程序(偲源惠购)进行逆向。

看了小程序的文件结构,根据公共方法里的http请求js文件,找到了请求头的加密方法(文件:utils\encryption.js)

image-20230731213310669.png

查看文件得知,相关的请求头变量也有,所以加密方法找到了。

 

 

四、结果

 

根据小程序逆向得来的加密方法文件,

出现了一种加密格式hmac-sha256,

以及一种编码方式base64

同时出现了ak、sk关键词,在文件里也找到了自带的相关消息

1690810637(1).png

根据知识量,大胆的猜测,葫芦娃的后端是采用AK/SK鉴权

说回主题,根据加密方法,照猫画虎,得到以下成果:

X-HMAC-SIGNATURE:

1、先编写一条字符串,格式:

请求方式(GET/POST) + "\n" + 请求Api的路径(不含域名,如https://gw.huiqunchina.com/front-manager/api/customer/promotion/channelActivity 中的“/front-manager/api/customer/promotion/channelActivity”) + "\n\n" + ak + "\n" + 格式化后的date(也就是X-HMAC-Date) + "\n"

2、然后将上面的字符串为加密值,sk为key进行hmac-sha256加密

X-HMAC-ACCESS-KEY: 【ak的值,可能会随着小程序热更新改变】

X-HMAC-ALGORITHM: "hmac-sha256" -》常量

X-HMAC-DIGEST: 【以请求的数据为加密值,sk为key进行hmac-sha256加密】

X-HMAC-Date: Mon, 31 Jul 2023 13:29:04 GMT -》一种特定格式的GMT时间

#葫芦娃预约#

#偲源惠购#

#贵旅优品#

#空港乐购#

#贵盐黔品#

#遵航出山#

•#乐旅商城#

#航旅黔购#

#黔寻积分#

注:以上hmac-sha256加密与base64编码,均是使用crypto-js库的加密方法,其方法与普通加密方法似乎有出入的,复现时注意一下。

c744eceff81e4c219ff0fd6eac1c23fc.png

 7ec4218bcd2342889b367b51566b6adc.png

22ff4fdb787041f4a3a28156f7583990.png 

abd03ca4d9b34c98b75041aecf573727.png 

1629f31e747f489ba4b0cea4c9676b8d.png 

 

闲鱼小助手
关注
葫芦娃自动预约-公众号代挂
程序工厂
08-31 3104
#小程序://航旅黔购/1nkYlNRVzm0Gg9x #小程序://贵旅优品/7zz6mtnSVgDfyqa #小程序://新联惠购/ibFdsuhWqIbczEd #小程序://贵盐品/u2TgExCUdkavrFe #小程序://空港乐购/ANkOOdqEeo71kah #小程序://遵航出山/ZkR7DQy1raoPxKD #小程序://乐旅商城/Ip5cgpJ7TLmRrWF #小程序://乐旅商城/Ip5cgpJ7TLmRrWF #小程序://积分/SSPh4Dre5uTnOhr*
js脚本自动化之葫芦娃
程序工厂
08-18 5270
用脚本实现每天自动帮你预约茅台坐等中签#小程序://航旅黔购/1nkYlNRVzm0Gg9x #小程序://贵旅优品/7zz6mtnSVgDfyqa #小程序://新联惠购/ibFdsuhWqIbczEd #小程序://贵盐品/u2TgExCUdkavrFe #小程序://空港乐购/ANkOOdqEeo71kah #小程序://遵航出山/ZkR7DQy1raoPxKD #小程序://乐旅商城/Ip5cgpJ7TLmRrWF #小程序://驿路/z
葫芦娃预约解析
m0_74360179的博客
11-07 1291
中的“/front-manager/api/customer/promotion/channelActivity + "\n\n”) + ak + "\n" + 格式化后的(date也就是X-HMAC-Date) + "\n"看了小程序的文件结构,根据公共方法里的http请求js文件,找到了请求头的加密方法(文件:utils\encryption.js)简单的抓了个包,抓取内容不重要,看了下请求头,图示红框请求头为葫芦娃家特有的加密的变量。查看文件得知,相关的请求头变量也有,所以加密方法找到了。
i茅台/葫芦娃预约解析
2301_80446338的博客
10-21 1920
第一次使用先清空./myConfig/credentials中的信息,或者直接删除credentials文件也可以。3、按提示输入 预约位置、手机号、验证码 等,生成的token等。先Fork本项目,再去自己的项目中配置PUSHPLUS_KEY和和PRIVATE_AES_KEY。2、修改config.py,按照你的需求修改相关配置,这里很重要,建议每个配置项都详细阅读。5、配置 Github actions,每日自动预约,省去自己买服务器的成本。航旅黔购 HLQG_COOKIE 这里填写Token。
不止微信、支付宝!一文带你了解所有小程序平台
cloud_minapp的博客
04-11 1231
小程序平台越来越多了,开发者的精力也越来越分散。事实上,这些平台有怎样的特色?他们有怎样的代表作品?他们有几个入口?开发成本高吗?他们有给开发者怎样的扶持政策? 一文为你解析小程序六大平台。 01 微信 ####关于微信小程序 2017 年 1 月 9 日,微信小程序正式上线。经过三年的发展,它俨然成为了开发者最关注的小程序开发平台。在 2018 年 8 月,马化腾就透露已有 150 万开发者...
【腾讯Bugly干货分享】聊一聊微信小程序
腾讯Bugly的专栏
10-08 2050
Dev Club 是一个交流移动开发技术,结交朋友,扩展人脉的社群,成员都是经过审核的移动开发工程师。定期会举行嘉宾分享,话题讨论等活动。本期讨论话题为:聊一聊微信小程序”。引言2016年9月21日,微信开始陆续对外发送小程序(应用号)内测邀请,而小程序即被外界广为关注的微信应用号。 微信小程序是什么? 小程序是一种不需要下载安装即可使用的应用,它实现了应用“触手可及”的梦想,用户扫一扫或者搜
汇总支付宝小程序正式公测.docx.pdf
06-13
在公测阶段,支付宝小程序主要涵盖了六大类目,包括航旅交通、商业及生活服务、生活百货、网络虚拟服务、专业服务和专业销售,这涵盖了日常生活中的众多场景。 与微信小程序相比,支付宝小程序的使用方式更加灵活,...
汇总支付宝小程序正式公测.docx.docx
06-14
微信小程序相比,支付宝小程序在入口和推广方面具有一定的优势,例如,用户可以在支付宝首页、应用中心、消息中心等多个入口找到小程序,且支持生成小程序二维码进行线下推广。 在用户信息获取方面,支付宝小程序...
微信小程序抓包
01-03
我们知道,微信小程序的请求接口都是HTTPS,因此单纯的使用Burpsuite无法抓取数据包,原因是APP启用了SSL Pinning(又叫做“SSL证书绑定”)。 至于原理就不过多的进行介绍。 首先,分享一下我整理的所需要的安装包:https://pan.baidu.com/s/1rQGXnBn-ysMwKBkDIxRIfg 提取码:ue7m 环境准备 夜神模拟器 (安卓版本为Android 5.1.1) Xposed JustTrustMe weixin_v6.6.5.apk (7.0以下都可以) HttpCanary 以上安装包,不认识的自行百度了解,这里不做讲述 安装 1
i茅台,葫芦娃预约脚本.zip
最新发布
03-02
i茅台,葫芦娃预约脚本.zip
小程序抓包
tianzhende_kun的博客
09-22 356
小程序抓包
java hmac digest_BASE64,MD5,SHA,HMAC加密與解密算法(java)
weixin_42477505的博客
02-13 835
packagecom.ice.webos.util.security;importjava.io.UnsupportedEncodingException;importjava.math.BigInteger;importjava.security.Key;importjava.security.MessageDigest;importjava.security.SecureRandom;impo...
HMAC顶级加密方法
qq_40047871的博客
05-09 1316
//    HMAC加密    //使用一个秘钥加密数据做两次散列    //秘钥来自服务器    //1、发一个账号,服务器生成一个key(秘钥),服务器保存帐号,账号对应的key,key给客户端进行明文加密(HMAC密码),发给服务器保存,注册成功。    //2、使用已经存在的key(秘钥)对帐号加密,带着key、HMAC密码、帐号区服务器验证。    //3、 办:(1)、发帐号给服务器,...
java hmac digest_JAVA加密算法(2)- 消息摘要算法(MD5、SHA、HMAC)
weixin_29331115的博客
02-16 489
消息摘要的概念对消息通过一个单向Hash算法进行计算,得到一个唯一的结果。每个消息对应一个唯一结果,所有结果的长度固定。消息摘要的分类(1)MD5(Message Digest)消息摘要算法(2)SHA(Secure Hash Algorithm)安全散列算法(3)MAC(Message Authentication Code)消息认证码算法,结合了MD5和SHA的优势,同时用密钥对摘要进行加密,...
贵州葫芦娃
m0_71803768的博客
07-23 1085
众所周知贵旅优品贵高速安心E购机场云商遵行出山小农这几个扶贫农特产平台比较广受欢迎为此开发一款工具方便大家使用源代码分享如下。
实现接口访问的HMAC-SHA1签名算法
Json的知识梦工厂
10-13 3476
PHP交流群:294088839,Python交流群:652376983 public function index(){ $url = ''; $method = "POST"; $arr=C('yjs'); //第三方Id $arr['X-User-Id']='1'; //访问url路径后缀 $arr['path']=''; $url=$url.$arr['path'];
Linux 使用openssl命令行计算文件hash值,hmac,cmac的digest值
weixin_37207685的博客
07-30 781
Linux 使用openssl命令行计算hash值,hmac,cmac
航旅纵横:演进之路与实时计算实践
本文档记录了中国民航信息网络股份有限公司在2014年MDCC中国移动开发者大会上分享的关于"航旅纵横"应用的演进历程和技术架构。唐红武的演讲涵盖了应用的基本介绍、系统架构、基于队列(Q)的业务处理、事件机制以及...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值