目录
目标网站:aHR0cHM6Ly9jb25zb2xlLmlzaHVtZWkuY29tL25ldy8=
一、分析流程
打开抓包工具,刷新页面
滑动前
眼花缭乱一堆包,其实请求数据的也就这一个register
滑动后
多了这么一个包 fverify,先看看携带的参数
多刷新几次就可以总结出,只有这几个参数需要关注 其他都是固定的
qq: OA9vaFlIaPw= 轨迹位移加密
rid: 20220321130410bbb358fa5472324c06 上一个包返回的
tt: QUq+sFdnMok= 轨迹时间加密
yk: tGbhxn5Srrvz....fh68+LqzrosI 轨迹加密
成功之后回返回 riskLevel: "PASS"
二、逆向过程
这个站加密位置挺容易找到的,没啥好说的
就是这里有三个分支,在每个分支下个断点就知道它走的哪一条了
加密方法是原生的DES加密,直接套库就搞定
(1) yk
这里要提醒一下 轨迹加密的轨迹是经过了json.stringify之后的
如果是自己写的生成轨迹算法,可能需要把轨迹加工一下,我这里是用群里大佬给的方法处理
(2) qq
(3) yk
两个时间戳相减,猜测应该是滑动过程的时间
搞定✔
三、总结
1.该站对轨迹的校验并没有很严格,滑动时间和过程不是很重要,最后X坐标对了基本就能通过了
2.服务器返回的底图是600*300的,需要我们自己调整图片大小再识别缺口,我是用的cv2根据边缘识别缺口距离,成功率相对来说有点低,大佬们有更好的识别方法欢迎在评论区讨论