葫芦娃预约解析

最新推荐文章于 2025-03-29 07:01:01 发布
最新推荐文章于 2025-03-29 07:01:01 发布
阅读量1.6k 收藏 13
点赞数 6
文章标签: 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_74360179/article/details/134276386
版权

贵州葫芦娃加密解密思路

一、背景

账号不多,但是懒得天天点开小程序去预约,因此尝试用脚本来代替人工预约,于是有了本文。

二、抓包请求,梳理必要条件

1690810212(1).png

葫芦娃预约

#贵旅优品##新联惠购##空港乐购##贵盐黔品##遵航出山##乐旅商城##航旅黔购#

#小农##空港商城##贵盐##遵航出山##贵州酒店##机场云商##贵旅优品中签##小农中签##机场云商中签##新联惠购中签##贵盐中签##空港乐旅中签##遵航出山中签##航旅黔购中签##黔寻积分#

简单的抓了个包,抓取内容不重要,看了下请求头,图示红框请求头为葫芦娃家特有的加密的变量。

接下来破密就围绕这几个变量来处理。

三、直捣黄龙,小程序逆向

贵州葫芦娃小程序,据观察来看,一体n位,即一套代码用多个程序,只是样式微调,于是挑了一个小程序(新惠联购)进行逆向。

看了小程序的文件结构,根据公共方法里的http请求js文件,找到了请求头的加密方法(文件:utils\encryption.js)

image-20230731213310669.png

查看文件得知,相关的请求头变量也有,所以加密方法找到了。

四、结果

根据小程序逆向得来的加密方法文件,

出现了一种加密格式hmac-sha256,

以及一种编码方式base64

同时出现了ak、sk关键词,在文件里也找到了自带的相关消息

1690810637(1).png

根据知识量,大胆的猜测,葫芦娃的后端是采用AK/SK鉴权

说回主题,根据加密方法,照猫画虎,得到以下成果:

X-HMAC签名:

1、先编写一条字符串,格式:

请求方式(GET/POST) + "\n" + 请求Api的路径(不含域名,如https://gw.huiqunchina.com/front-manager/api/customer/promotion/channelActivity 中的“/front-manager/api/customer/promotion/channelActivity + "\n\n”) + ak + "\n" + 格式化后的(date也就是X-HMAC-Date) + "\n"

2、然后将上面的字符串为加密值,sk为key进行hmac-sha256加密

X-HMAC-ACCESS-KEY: 【ak的值,随着可能会小程序热更新改变】

X-HMAC-ALGORITHM: "hmac-sha256" -》常量

X-HMAC-DIGEST: 【以请求的数据为加密值,sk为key进行hmac-sha256加密】

X-HMAC-Date: Mon, 31 Jul 2023 13:29:04 GMT-》一种特定格式的GMT时间

注:以上hmac-sha256加密与base64编码,均是使用crypto-js库的加密方法,其方法与普通加密方法似乎有出入的,复现时注意一下。

桦盛66989
关注
葫芦娃自动预约-公众号代挂
程序工厂
08-31 3260
#小程序://航旅黔购/1nkYlNRVzm0Gg9x #小程序://贵旅优品/7zz6mtnSVgDfyqa #小程序://新联惠购/ibFdsuhWqIbczEd #小程序://贵盐黔品/u2TgExCUdkavrFe #小程序://空港乐购/ANkOOdqEeo71kah #小程序://遵航出山/ZkR7DQy1raoPxKD #小程序://乐旅商城/Ip5cgpJ7TLmRrWF #小程序://乐旅商城/Ip5cgpJ7TLmRrWF #小程序://黔寻积分/SSPh4Dre5uTnOhr*
js脚本自动化之葫芦娃
程序工厂
08-18 5454
用脚本实现每天自动帮你预约茅台坐等中签#小程序://航旅黔购/1nkYlNRVzm0Gg9x #小程序://贵旅优品/7zz6mtnSVgDfyqa #小程序://新联惠购/ibFdsuhWqIbczEd #小程序://贵盐黔品/u2TgExCUdkavrFe #小程序://空港乐购/ANkOOdqEeo71kah #小程序://遵航出山/ZkR7DQy1raoPxKD #小程序://乐旅商城/Ip5cgpJ7TLmRrWF #小程序://驿路黔寻/z
apisix~hmac-auth插件的使用
最新发布
weixin_55010563的博客
03-29 295
当 validate_request_body 设置为 true 时,插件将计算请求 body 的 hmac-sha 值,并与请求 headers 中的 X-HMAC-DIGEST 的值进行校验。access_key Consumer 的 access_key 必须是唯一的,客户端请求时在请求头添加X-HMAC-ACCESS-KEY=access_key值。如果没有请求 body,你可以将 X-HMAC-DIGEST 的值设置为空字符串的 HMAC-SHA。
i茅台/葫芦娃预约解析
2301_80446338的博客
10-21 2250
第一次使用先清空./myConfig/credentials中的信息,或者直接删除credentials文件也可以。3、按提示输入 预约位置、手机号、验证码 等,生成的token等。先Fork本项目,再去自己的项目中配置PUSHPLUS_KEY和和PRIVATE_AES_KEY。2、修改config.py,按照你的需求修改相关配置,这里很重要,建议每个配置项都详细阅读。5、配置 Github actions,每日自动预约,省去自己买服务器的成本。航旅黔购 HLQG_COOKIE 这里填写Token。
i茅台,葫芦娃预约脚本
02-06
标题“i茅台,葫芦娃预约脚本”揭示了这个话题主要涉及的是一个针对“i茅台”应用的自动预约脚本,而“葫芦娃”可能是该脚本的昵称或者开发团队的代号。在当前的互联网环境中,一些热门商品如茅台酒的预约往往竞争...
自动抢茅台脚本.zip
01-25
本文将详细解析"自动抢茅台脚本.zip"这一资源,包括其核心知识点、应用背景以及实现原理。 标题中的"自动抢茅台脚本.zip"暗示了这是一个用于自动购买茅台酒的程序集合,通过自动化流程来提高抢购成功率。脚本通常是...
实现简便时间选择下拉框功能的DateOptionTool
- 也适用于设置时间参数,如预约系统中用户需要选择预约时间。 - **易用性考虑** - 用户应能够方便地选择最近的日期或者常用的时间段。 - 下拉框设计应当考虑到日期和时间的连续性,避免用户需要进行过多的操作...
小程序抓包
tianzhende_kun的博客
09-22 423
小程序抓包
java hmac digest_BASE64,MD5,SHA,HMAC加密與解密算法(java)
weixin_42477505的博客
02-13 893
packagecom.ice.webos.util.security;importjava.io.UnsupportedEncodingException;importjava.math.BigInteger;importjava.security.Key;importjava.security.MessageDigest;importjava.security.SecureRandom;impo...
微信小程序抓包
01-03
我们知道,微信小程序的请求接口都是HTTPS,因此单纯的使用Burpsuite无法抓取数据包,原因是APP启用了SSL Pinning(又叫做“SSL证书绑定”)。 至于原理就不过多的进行介绍。 首先,分享一下我整理的所需要的安装包:https://pan.baidu.com/s/1rQGXnBn-ysMwKBkDIxRIfg 提取码:ue7m 环境准备 夜神模拟器 (安卓版本为Android 5.1.1) Xposed JustTrustMe weixin_v6.6.5.apk (7.0以下都可以) HttpCanary 以上安装包,不认识的自行百度了解,这里不做讲述 安装 1
i茅台,葫芦娃预约脚本.zip
03-02
i茅台,葫芦娃预约脚本.zip
HMAC顶级加密方法
qq_40047871的博客
05-09 1357
//    HMAC加密    //使用一个秘钥加密数据做两次散列    //秘钥来自服务器    //1、发一个账号,服务器生成一个key(秘钥),服务器保存帐号,账号对应的key,key给客户端进行明文加密(HMAC密码),发给服务器保存,注册成功。    //2、使用已经存在的key(秘钥)对帐号加密,带着key、HMAC密码、帐号区服务器验证。    //3、 办:(1)、发帐号给服务器,...
实现接口访问的HMAC-SHA1签名算法
Json的知识梦工厂
10-13 3584
PHP交流群:294088839,Python交流群:652376983 public function index(){ $url = ''; $method = "POST"; $arr=C('yjs'); //第三方Id $arr['X-User-Id']='1'; //访问url路径后缀 $arr['path']=''; $url=$url.$arr['path'];
Linux 使用openssl命令行计算文件hash值,hmac,cmac的digest
weixin_37207685的博客
07-30 934
Linux 使用openssl命令行计算hash值,hmac,cmac
js自动化预约贵州茅台葫芦娃
weixin_39926966的博客
04-17 968
sendMessage.push(`----第${index + 1}个号----`);sendMessage.push(`----第${index + 1}个号----`);sendMessage.push(`----第${index + 1}个号----`);sendMessage.push(`----第${index + 1}个号----`);sendMessage.push(`----第${index + 1}个号----`);
搭建宜搭三方微服务
weixin_40601267的博客
05-31 3595
摘要 本文着重介绍我方与宜搭平台交互的微服务架构设计,与接入过程中的核心知识点分享。 关键词: 宜搭、后端、python 作者:OA 李亚楠 背景 公司合同管理、对公付款业务使用阿里宜搭进行搭建,需要将宜搭平台的数据拉回到我方进行精加工,同时也要将我方系统的数据与宜搭服务进行联动,丰富我们的业务系统的功能;考虑到我们还有不少系统以后会接入宜搭平台,为后期的快速接入和功能升级,特将本次宜搭三方微服务的搭建遇到的问题以及解决方案分享出来,与诸君共勉。 服务框架介绍 上图简要分析了我方系统框架各个模块的逻辑关系,
贵州葫芦娃算法解析
m0_74360179的博客
02-02 1336
葫芦娃6娃解析
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值