JS逆向之PDD(HK)---captcha_collect参数

最新推荐文章于 2024-06-11 21:48:00 发布
最新推荐文章于 2024-06-11 21:48:00 发布
阅读量1.4k 收藏 5
点赞数 1
文章标签: javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15326513/article/details/131825253
版权
本文详细探讨了一种网站的验证机制,涉及RSA加密的password和riskSign,AES加密的captcha_collect参数以及gzip加密的轨迹信息处理。文章指出,验证重点在于缺口位置的换算,而非轨迹校验,且opencv的模板匹配方法不适用,需要特定的换算方法。此外,还介绍了verify_code的神秘性,它与轨迹位置的换算有关。
摘要由CSDN通过智能技术生成

文章仅供参考,禁止用于非法活动

前言

目标网站:aHR0cHM6Ly9tbXMucGluZHVvZHVvLmNvbS9sb2dpbi8=

一、触发HK

标题

 

二、参数分析

 

1.验证图形验证码接口

头部加密参数;Anti-Content,其实就是一个webpack,so easy.本文章主要讲解HK验证。

 

先看看请求载荷:password和riskSign都是RSA加密

 

 riskSign: 'username=账号&password=密码&ts=时间戳'

然后请求下这个接口,拿到了verifyAuthToken

 

2.获取验证码图片接口,新出现了captcha_collect参数。含鼠标移动轨迹,可以写空。

 captcha_collect参数加密位置,,是AES加密,y,w分别是KEY,IV

U方法中传入参数e,e是有api/phantom/vc_pre_ck_b 接口返回的 salt: "b201376fe"值

//kye iv生成位置
U = function(e) {
        var t = {
            aes_key: W,
            aes_iv: I
        };

 

返回图片的信息,然而返回的并不是图片的base64编码,是经过加密的

图片解密在这个位置,接出来后就是base64编码的信息

 #背景图片保存
        image_bytes = base64.b64decode(bg)
        bg_img = Image.open(io.BytesIO(image_bytes))
        bg_img.save("bg.png" )

 三、提交验证接口,captcha_collect是需要的轨迹加密信息

verify_code这个东西很神秘,是换算后的缺口位置

 

 captcha_collect加密位置l(d(JSON.stringify(t)), y, w), d函数是gzip加密算法可以使用python实现,入口参数t是这么些东西,包含轨迹信息,浏览器指纹等

 

verify_code :这个东西很神秘,是换算后的缺口位置

参数都搞定后,最后发送请求看看,基本上成功率还是挺高的

 总结

最后总结下,这个轨迹是不校验的,主要是缺口位置,直接opencv模板匹配出来的是不对的,需要经过一定换算,然后这个verify_code,跟轨迹里的最终位置也是不同的,也需要一点的换算。

qq_15326513
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
最新PDD商家端Anti-Content参数逆向分析与纯算法还原
吴秋霖的博客
04-05 3032
最新通用版本Anti-Content加密参数分析,Webpack纯算法扣取与算法还原!
PDD 逆向 JS 滑块图形验证码
qq_42576443的博客
04-08 1578
pdd 破解图形验证码 js逆向captcha_collect 参数
【2022-03-01】JS逆向PDD滑块
骑毛驴的猴的博客
03-01 5769
文章仅供参考,禁止用于非法活动 文章目录前言一、触发滑块二、参数分析三、总结 前言 目标网站:aHR0cHM6Ly9tbXMucGluZHVvZHVvLmNvbS9sb2dpbi8= 一、触发滑块 多次点击登入后,就会出现这个滑块了 二、参数分析 先来看看出验证码的这个接口 参数还是蛮多的,其中crawlerInfo这个就是pdd系列的,也就是请求头中的anti-content,这篇文章主讲滑块,这个参数就不聊了,主要是补环境,网上也有开源的 fingerprint就是浏览器指纹了,passw
使用JavaScript逆向解析极验四代滑块验证码
最新发布
2401_85453501的博客
06-11 957
"challenge": "e29f82f7-78db-42de-913f-fb1b01d3e30b", // 与上个请求中的challenge参数相同。"challenge": "f8beca82-84a4-4b32-a01d-dae1697f1236", // 由JS代码生成,下面会详细讲解生成过程。"captcha_id": "24f56dc13c40dc4a02fd0318567caef5", // 与上个请求中的captcha_id参数相同。和极验三代验证码一样的分析流程,继续分析。
使用Ruby逆向解析极验四代滑块验证码
2401_85453501的博客
06-11 658
challenge: "e29f82f7-78db-42de-913f-fb1b01d3e30b", # 与上个请求中的challenge参数相同。captcha_id: "24f56dc13c40dc4a02fd0318567caef5", # 与上个请求中的captcha_id参数相同。该请求是极验验证请求,gcaptcha4.js收集滑动轨迹,与上个请求中的lot_number参数,加密生成w参数。极验第四代验证码测试主页,主要是获取下个请求中的URL(这个URL是动态变化的,所以这个步骤必须要)
pdd滑块分析逆向
A_fanyifan的博客
03-22 2245
前提 此次分析我已经做出b站视频大家可以搜索 带带弟弟学爬虫 链接可以找到此次文章的详细内容。链接:aHR0cHM6Ly9tbXMucGluZHVvZHVvLmNvbS9sb2dpbi8/cmVkaXJlY3RVcmw9aHR0cHMlM0ElMkYlMkZtbXMucGluZHVvZHVvLmNvbSUyRg==这些是请求图片的数据包,我们从上向下进行分析。
拼多多商品详情api接口
thankyou0790的博客
11-21 718
pdd的反爬虫机制十分严,而很多时候,没办法高效的拿到数据内容响应终端需求,而依赖爬虫就会造成动不动就出现滑块验证,让人很无解,正好,公司有这样的需求,让我负责解决这个问题,刚开始各种尝试,始终没有绕过pdd的滑块验证码,搞了好几天,都没有进展;然后各种网上资料查询,最终还是不负努力,找到更好的解决方案,让它不再出现任何滑块验证码,完全绕过,实现更好的用户体验。我已经把该方法封装成接口,只需要把要得到的数据URL,传给我就可以,然后及时的响应你的数据内容需求,可用于实现电商行业多种常见场景。
pdd商家后台API anti-content 加密参数
12-27
可用于pdd 商家后台 调取API接口的加密参数 补过环境 直接调用 get_anti_content()
PDD 商家后台 anti-content 加密参数
02-21
补过环境可 可用nodejs直接调用 get_anti_content() 最新版anti_content亲测可以用 浏览器环境调用 可自行去掉环境直接使用 php 也可以直接调用
open-pdd-net-sdk:拼多多开放平台DotNet SDK
02-05
open-pdd-net-sdk,拼多多开放平台DotNet SDK。 特别说明 遇到任何问题可通过底部联系方式反馈,作者会第一时间进行处理! 从2.2.0版本开始,将提供多商户支持,同时将目标框架统一调整到.net5.0。 更新说明 更新...
开源bbs源码java-jeesite_pdd:jeesite_pdd
06-06
开源 bbs 源码 java JeeSite 企业信息化快速开发平台 平台简介 JeeSite是基于多个优秀的开源项目,高度整合封装而成的高效,高性能,强安全性的开源Java EE快速开发平台。 JeeSite是您快速完成项目的最佳基础平台...
JS逆向 | 拼多多anti_content参数
LYY的学习和记录
01-23 3889
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢! 以下内容都是小肩膀教育之后爬虫课程会讲解的,感兴趣在文章末尾扫码联系购买课程。 anti_content存在多种扣法,今天讲一种较为简单的方法。 anti_content加密JS分析 网页端是个AJAX,搜索我的书《反爬虫AST原理与还原混淆实战》,当然不要在这个网站买,盗版太多了,请支持正版。 直接下拉在XHR页就能找到请求包,主要是其中的anti_content。 全局搜索anti_content后,在
如何自动过滑块拿到拼多多商品详情数据,支持高并发?|拼多多商品详情数据接口,学生老师从业者都在使用。
weixin_19970108018的博客
12-04 1275
总的来说,自动通过滑块获取拼多多商品详情数据并支持高并发的作用主要体现在提高数据采集效率、提升数据分析质量、优化运营策略、支持价格策略制定、创新数据使用场景和市场研究等方面。今天给大家分享下关于通过商品链接或商品ID批量请求获取拼多多商品详情数据接口,支持高并发方法。pinduoduo.item_get_app-获取拼多多商品详情数据接口返回值说明。
拼多多系列加密crawlerInfo、screen_token、anti_content参数
热门推荐
qian123shuai的博客
05-02 1万+
只说下思路吧,毕竟把加密代码公开对别网站不好。如有权益问题可以发私信联系我删除,或q:1847858794 如图 ,我见过拼多多所有系列都是用的同一套加密方式,有个0a开头。加密是他自己写的一套加密方式,涉及到的加密参数有:鼠标点击位置、href、ua、cookie和时间戳。 加密位置在如图所示地方: 稍微混淆了下,找到加密位置就是去慢慢调试js了,这需要多掌握些js知识...
pdd(web)逆向分析
2301_79445611的博客
02-01 2506
歪日,真的复杂,不愧的pdd,诶,记下来踩点坑吧
拼多多爬虫python_【网络爬虫教学】快速定位拼多多加密算法入口(四)
weixin_42524499的博客
02-12 2055
Hi,大家好,欢迎大家参阅由IT猫之家精心制作的JS实战系列教学课程,我是作者叮当猫,在本期教学中,我将引导大家快速寻找出加密函数的入口,本期教学仍然是以并爹爹(某多)旗下的某个商城作为目标,在此之前,我已经做过两期教学,如果您还未曾看过,欢迎前往:拼夕夕网络爬虫频道查阅,本期仅作为补充完善前两期的不足,如大家在此之后仍有不懂的欢迎留言,或加入我们的QQ技术交流群探讨:544185435由于该加...
腾讯滑块collect 参数笔记
qq_43704986的博客
06-08 1907
爬虫js逆向笔记
anji-plus / AJ-Captcha行为验证码前后端实现
知识搬运工,资料任你拿,包括书籍、电影、电视剧、网站、软件等,VX公人人人号:向前书局
05-17 3574
AJ-Captcha行为验证码,包含滑动拼图、文字点选两种方式,UI支持弹出和嵌入两种方式。后端提供Java实现,前端提供了php、angular、html、vue、uni-app、flutter、android、ios等代码示例。行为验证码采用嵌入式集成方式,接入方便,安全,高效。抛弃了传统字符型验证码展示-填写字符-比对答案的流程,采用验证码展示-采集用户行为-分析用户行为流程,用户只需要产生指定的行为轨迹,不需要键盘手动输入,极大优化了传统验证码用户体验不佳的问题;
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值