某音乐参数逆向分析

已于 2023-04-29 19:56:03 修改
阅读量353 收藏
点赞数
分类专栏: 爬虫 python 逆向 文章标签: javascript 爬虫
于 2023-04-29 18:25:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pyzzd/article/details/130442190
版权
python 同时被 3 个专栏收录
8 篇文章 2 订阅
订阅专栏
爬虫
6 篇文章 1 订阅
订阅专栏
逆向
6 篇文章 0 订阅
订阅专栏

声明:本文仅限交流学习使用,请勿使用在任何非法商业活动,禁止用于非法用途。否则后果自负。如有侵权,请告知删除!

本次逆向目标为采集某易云音乐真实歌曲地址,难度简单,适合逆向初学者练手,仅供学习,源码在文章最下方。

目标网址:

aHR0cHM6Ly9tdXNpYy4xNjMuY29tLyM=

请求流程分析

1、随机点开一首歌曲,复制链接。
2、新建一个无痕窗口,打开F12,打开链接。
3、点击播放,可以找到存放歌曲的真实地址的接口。

在这里插入图片描述
分析该接口,可以看到主要提交了两个表单数据,格式如下:

params :xFV7hdq52mP4aeQhkR/lr99xZA+jznlqmn651M1B3/TDrlPBhC4FO5FuaBCv7uul1T3ZTL2pYN/WBTnkeKFSWJl8lbuhyzXIc4buJfbdtguA31eY8ZoTFmRhdOAYmwKK/C7oY3OGt3OlDKkDFowX7w==
encSecKey : 7afd112b56856ce059b5d3ebc95ea681aabf754189539a78ad05910543dfb03e8a2044d8d63bcd8842d356503d754c8a692e98d760690bd0bc6167b4d46e2d2165f49095f6b05dc1d5e17c6a6048da583bab32693cc055198db1f8034cb7caa73225ef8951bf686be52288cfc882d23e2e7cabfa8c6a74f3ddac303042bb4bca

加密参数分析

搜索加密参数名可以直接定位到加密点。
在这里插入图片描述
e3x.data 处打下断点,然后清空缓存刷新,网站会直接断下,根据右边作用域可以发现是在请求其它接口时也生成了这两个加密参数。
在这里插入图片描述
这里直接 F8 ,过掉所有断点,点击播放,直到右边作用域中的接口为我们想要采集的接口 enhance/player/url/v1

可以看到,params 和 encSecKey 都是由 bMs1x 得来。而 bMs1x 的生成在上一条语句。
var bMs1x = window.asrsea(JSON.stringify(i3x), bsi6c(["流泪", "强"]), bsi6c(Vx0x.md), bsi6c(["爱心", "女孩", "惊恐", "大笑"]))

其中关键点在于

方法 window.asrsea
i3x
方法 bsi6c
Vx0x.md

i3x 是一个对象,内容如下:
{ids: '[2034742057]', level: 'standard', encodeType: 'aac', csrf_token: ''}
我们通过分析可以知道除了 ids 其余的都是固定值,而 ids 正是歌曲 ID ,所以这个点我们就解决掉了,在采集不同歌曲时修改 ids 的值即可。
Vx0x.md 的值通过调试可以知道是固定的,写死就行。

然后就是喜闻乐见的扣代码环节,缺啥补啥。可以扣整体,也可以一个一个补,也不多。

bsi6c 大概补五六个函数和一个对象就可以了,主要是 window.asrsea。

在这里插入图片描述
b 是一个 AES 加密,可以通过调 node 的 crypto-js 库来实现,其余的慢慢扣就行。

源码

各平台参数逆向源码

BuerCC
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
全名k歌解析php,全民K歌详情解析API接口
weixin_29599033的博客
03-25 2918
简要描述:通过全民K歌的分享链接,获取歌曲详情请求URL:https://data.zhai78.com/openKg.php请求方式:GET参数参数名必选类型说明url是string全民K歌内作品的分享链接请求示例https://data.zhai78.com/openKg.php?url=https://kg.qq.com/node/play?s=d-GYCadMOClC7d_0&s...
易语言逆向分析助手3.0
08-04
《易语言逆向分析助手3.0:深入解析与应用》 易语言逆向分析助手3.0是一款专为易语言编程爱好者和安全研究人员设计的工具,它旨在帮助用户理解和剖析由易语言编写的程序,进一步提升逆向工程的效率。易语言是中国...
Android frida 实战: 分析全民K歌的判断逻辑
最新发布
future_M的博客
06-25 783
旨在学习全民k歌,研究此软件的判断逻辑。难点在于逆向过程,如何找到 hook 点,以及一层一层寻找调用堆栈。所以请保持敏锐并不断累积经验,这才是提升技术的要点。class:ah.e;method:o');return 8})顺便提醒:用户信息:com.tencent.karaoke.karaoke_db_base.cachedata.user.UserInfoCacheData。
音乐文件逆向破解
qq_62016430的博客
04-15 2040
在本地文件夹中找到下载文件,然后使用010Ediotor工具打开缓存UC文件,之后分析界面,发现A3是无意义的字符,紧接着通过工具分析,得知A3是加密后的无意义字符0,然后对二进制数据进行异或操作,得到解密后的结果,接着将解密后的文件保存,格式修改为MP3格式,最后音乐文件成功转化为本地文件。通过以上两个案例,我们可以看到音乐文件逆向破解的过程并不简单,需要一定的技术知识和工具的支持。同时,我们也要注意到,音乐文件的加密是为了保护版权,逆向破解音乐文件的行为是违法的,我们应该尊重知识产权,支持正版音乐
逆向案例十五——简单webpack,酷我音乐参数加密
m0_57265868的博客
04-08 515
第一个n是加载器所在的函数,也就是yangxin,但是现在加载器中是缺少模块的,是一个空列表,在这里加一个console.log(n),可以判断缺少多少模块的函数。因为现在断点的位置,在浏览器中,n就是自执行函数,可以直接在控制面板打出来函数,然后定位函数位置去复制函数,然后改写成字典格式的对象模块。加密参数为n,而n=c()(),进入c,发现是一个列表形式的webpack,下方列表中没有函数。再回到最开始js文件,分析代码,在断点的前面有定义c,打上断点,分析下面的代码。
分享我开发的视频解析网址
tda0a8的博客
02-10 3462
全平台视频解析 支持:抖音/皮皮虾/火山/微视/微博/绿洲/最右/轻视频/instagram/哔哩哔哩/快手/全民小视频/皮皮搞笑 全民k歌/巴塞电影/陌陌/Before避风/开眼/Vue Vlog 的视频解析;链接:https://cfitcorporation.github.io/videoanalysis/?url=解析方法:1 >·在网页输入框内键入平台分享链接;(注:B站的链接应为:https://www.bilibili.com/video/BVXXXXXXXXXX 或 https://w
Python爬取曾今的K歌
user_from_future的博客
10-24 644
前言 还记得我们童年唱过的歌吗,还记得曾今喜欢的人的声音吗,全民K歌作为曾今主流的唱歌软件,深受我的想念。每次联网去访问,万一哪天对方把歌删了,或变成私密了,那就可惜了。今天我在此制作一款全民K歌下载器,让你留住你与别人的曾今!【本程序融合了我国庆节,企查查我来啦~这篇文章里的get_cookies.py文件代码,可以自动获取cookie,不过实测自动获取的cookie会比正常访问的cookie少一个参数,在获取单曲数量上可能会缺失(自己实测某全民K歌下载143首只下载了140首),直接复制cookie则没
某易云音乐js逆向资源
07-31
在这个案例中,"某易云音乐js逆向资源" 提供了对网易云音乐平台的逆向分析资料,特别适用于实现歌曲下载、评论采集和歌词下载等功能。以下是对这些知识点的详细解释: 1. **JavaScript**:这是一种广泛应用于网页...
radare2 逆向分析软件
11-20
radare2不只是一个工具,而是一个框架,是众多逆向分析工具的组合。 radare2是主程序,可以用于通过一系列的命令对文件进行分析与调试,还支持多种语言如Python、Ruby的脚本调用。 rabin2二进制文件分析器,比如读取...
逆向分析技术查看数据123
01-17
有关逆向的文件
广东省公共资源交易平台逆向分析
01-10
广东省公共资源交易平台逆向分析
全民k歌视频在线解析下载,手把手教你如何批量下载
good20202020的博客
11-06 4136
了解,如何批量采集腾讯视频这个平台里面的短视频,批量下载MP4格式的视频到电脑里面,要用什么样的工具,什么样的方法来操作比较方便,一起看下面的操作方法好不好用把。 准备工作: 下载工具固乔视频助手 腾讯视频的视频链接 电脑一部 操作流程: 打开腾讯视频 打开工具,进入【自媒体视频下载】界面 一行一个视频链接复制粘贴进来,点【立即下载】 高清原视频这就批量保存到电脑上,点【打开文件夹】看看,无水印的哦 这个工具批量下载视频除了这个采集链接,...
pycharm通过node.js运行js文件方法以及坑
热门推荐
pyzzd的博客
02-08 1万+
下载完成后安装——安装过程全部下一步就行。点击 我的电脑-属性-高级系统设置-环境变量在系统变量中,将你安装好的node.js文件路径添加到path中打开cmd,输入node -v能打印出版本号就说明变量设置成功了。
17track单号查询逆向分析
pyzzd的博客
01-20 6592
17track单号查询逆向分析
新版steam登录逆向
pyzzd的博客
07-08 3964
steam在今年三四月份左右更新了登录协议,放弃了原有简单的RSA加密。目前登录数据传输上改为 Protobuf 协议了,难度也是加大了非常多,对 Protobuf 不够了解的话基本上是无法动手。实现了邮箱登录、批量关令牌、改绑邮箱、批量改密等功能,有需要可以联系我。
瑞数 6 代逆向纯算法大致流程分析
pyzzd的博客
08-25 2674
第一次请求响应 202,响应内容中有一段 JS 代码会请求一个 JS 文件,Cookie 生成的核心代码由这个文件中的代码生成,并通过。[0] = 20位数组 20位数组为拼接而成,其中包含一个重要的4位数组,需要根据 JS 文件的内容进行动态匹配。[11] = 8位数组 将时间戳进行一些逻辑运算,得到一个两位数组,再将数组进行一些逻辑操作得到8位数组。[12] = 4 位数组 ,由一个大数字转化而来,大数字通过一些逻辑操作生成。[6] = 8位数组,其中值的计算涉及到了 $_ts 的一些属性值。
Python实现CRC校验
pyzzd的博客
05-12 2292
python实现CRC校验
【JavaScript 逆向】AST 反混淆
pyzzd的博客
05-11 1543
本期目标网站为:市面上有许多好用的解混淆的工具,如v神的插件、蔡老板的一键还原等,效果都非常不错。本文是对易盾加密代码的简单解混淆,主要是对 AST 进行一个初步的学习与了解。AST 解混淆需要使用到 babel 库,关于babel库的使用可以看官方文档。这里不介绍库的用法,只对解混淆思路做一个简单分析。本案例代码在最下方。
某flutter-app逆向分析
09-16
某flutter-app逆向分析是指对于一个使用flutter框架开发的应用进行逆向工程分析逆向工程是通过分析应用的代码、二进制文件等来了解其内部实现细节。 首先,我们需要获取该应用的安装包文件(APK或IPA文件),然后进行解包操作,将其转换为可读取的文件目录结构。 接下来,我们可以使用一些工具来提取应用的资源文件、代码文件等。对于flutter-app来说,可以提取出dart文件,这是flutter的主要代码文件,其中包含了应用的逻辑实现。 通过阅读dart文件,我们可以了解应用的代码结构、数据模型、界面设计等。可以分析应用的逻辑实现方法,包括各种函数、类、方法的调用关系。 同时,还可以通过分析相关配置文件、资源文件等来了解应用的各种设置、资源加载方式等。 在逆向过程中,还可以使用一些调试工具来进一步了解应用的运行机制。例如,hook工具可以拦截应用的函数调用,并捕获输入输出数据,用于进一步分析逆向分析的目的可以有很多,比如了解应用的工作原理、发现潜在的漏洞或安全问题、提供参考用于自己的开发等。 需要注意的是,逆向分析需要遵守法律规定。未经授权的逆向分析可能侵犯他人的知识产权,涉及到隐私等方面的问题。因此,在进行逆向分析之前,应该了解并遵守当地相关法律法规,避免产生法律纠纷。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BuerCC

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值