JS逆向之PDD(HK)---captcha_collect参数

最新推荐文章于 2025-03-06 15:40:35 发布
最新推荐文章于 2025-03-06 15:40:35 发布
阅读量1.8k 收藏 6
点赞数 1
文章标签: javascript 开发语言 ecmascript
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_15326513/article/details/131825253
版权
本文详细探讨了一种网站的验证机制,涉及RSA加密的password和riskSign,AES加密的captcha_collect参数以及gzip加密的轨迹信息处理。文章指出,验证重点在于缺口位置的换算,而非轨迹校验,且opencv的模板匹配方法不适用,需要特定的换算方法。此外,还介绍了verify_code的神秘性,它与轨迹位置的换算有关。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

文章仅供参考,禁止用于非法活动

前言

目标网站:aHR0cHM6Ly9tbXMucGluZHVvZHVvLmNvbS9sb2dpbi8=

一、触发HK

标题

 

二、参数分析

 

1.验证图形验证码接口

头部加密参数;Anti-Content,其实就是一个webpack,so easy.本文章主要讲解HK验证。

 

先看看请求载荷:password和riskSign都是RSA加密

 

 riskSign: 'username=账号&password=密码&ts=时间戳'

然后请求下这个接口,拿到了verifyAuthToken

 

2.获取验证码图片接口,新出现了captcha_collect参数。含鼠标移动轨迹,可以写空。

 captcha_collect参数加密位置,,是AES加密,y,w分别是KEY,IV

U方法中传入参数e,e是有api/phantom/vc_pre_ck_b 接口返回的 salt: "b201376fe"值

//kye iv生成位置
U = function(e) {
        var t = {
            aes_key: W,
            aes_iv: I
        };

 

返回图片的信息,然而返回的并不是图片的base64编码,是经过加密的

图片解密在这个位置,接出来后就是base64编码的信息

 #背景图片保存
        image_bytes = base64.b64decode(bg)
        bg_img = Image.open(io.BytesIO(image_bytes))
        bg_img.save("bg.png" )

 三、提交验证接口,captcha_collect是需要的轨迹加密信息

verify_code这个东西很神秘,是换算后的缺口位置

 

 captcha_collect加密位置l(d(JSON.stringify(t)), y, w), d函数是gzip加密算法可以使用python实现,入口参数t是这么些东西,包含轨迹信息,浏览器指纹等

 

verify_code :这个东西很神秘,是换算后的缺口位置

参数都搞定后,最后发送请求看看,基本上成功率还是挺高的

 总结

最后总结下,这个轨迹是不校验的,主要是缺口位置,直接opencv模板匹配出来的是不对的,需要经过一定换算,然后这个verify_code,跟轨迹里的最终位置也是不同的,也需要一点的换算。

qq_15326513
关注
最新商家端Anti-Content参数逆向分析(0as)
吴秋霖的博客
04-05 4154
最新通用版本Anti-Content加密参数分析,Webpack纯算法扣取与算法还原!
js逆向-腾讯滑块collect参数
十一姐的博客
04-06 1万+
第一次插桩输出 1、插桩打日志点:可以知道collect由3个超长的字符串拼接而成 j[j.length - 2] = j[j.length - 2] + j.pop() if(typeof j[j.length - 1] == "string"){ console.log("j栈的输出", j[j.length - 1]); } 2、第一组长串可知,超长串是由超长乱码串base64加密而得 3、超长的乱码串是由小的乱码串拼接而成,小的乱码串 第二次插桩输出 可以知道 Ç^ÿ °&gt
【验证码逆向专栏】某多多验证码逆向分析
K哥爬虫
11-29 883
某多多的验证码,类型有很多,滑块、点选、手势等等,其中点选的题目繁多,每刷一次都能给你整个新的出来。
PDD滑块验证
最新发布
lengyue520520的博客
03-06 652
o = u.OBTAIN_MESSAGE[a] || "系统繁忙,请稍后重试";_parseCaptchaAuthResponse 是解析 验证类型的。这个是请求获取 账号验证类型的。只要模拟出滑块轨迹 即可通过。1、PDD滑块验证 接口。
【2022-03-01】JS逆向PDD滑块
骑毛驴的猴的博客
03-01 6219
文章仅供参考,禁止用于非法活动 文章目录前言一、触发滑块二、参数分析三、总结 前言 目标网站:aHR0cHM6Ly9tbXMucGluZHVvZHVvLmNvbS9sb2dpbi8= 一、触发滑块 多次点击登入后,就会出现这个滑块了 二、参数分析 先来看看出验证码的这个接口 参数还是蛮多的,其中crawlerInfo这个就是pdd系列的,也就是请求头中的anti-content,这篇文章主讲滑块,这个参数就不聊了,主要是补环境,网上也有开源的 fingerprint就是浏览器指纹了,passw
PDD 逆向 JS 滑块图形验证码
qq_42576443的博客
04-08 2848
pdd 破解图形验证码 js逆向captcha_collect 参数
某讯滑块逆向记录
kevinwangshilin的博客
08-05 2905
简单说下collect参数某加密,密约大概一个月会变一次;至于tlg看看源码就知道;eks搜一下就知道;ans很明显包含滑块坐标。搞定这个当然就相当于搞完了、至于如何获取指纹、如何获取密钥?你可以补环境、当然从零到有补出来是非常困难的、因为他有很多dom的操作。腾讯滑块搞了快大半年了 这里简单记录下流程。相比目前的腾讯滑块,在更新前流程较为复杂些。最后能拿到ticket、randstr就算成功了。............
使用Ruby逆向解析极验四代滑块验证码
2401_85453501的博客
06-11 784
challenge: "e29f82f7-78db-42de-913f-fb1b01d3e30b", # 与上个请求中的challenge参数相同。captcha_id: "24f56dc13c40dc4a02fd0318567caef5", # 与上个请求中的captcha_id参数相同。该请求是极验验证请求,gcaptcha4.js收集滑动轨迹,与上个请求中的lot_number参数,加密生成w参数。极验第四代验证码测试主页,主要是获取下个请求中的URL(这个URL是动态变化的,所以这个步骤必须要)
PDD 商家后台 anti-content 加密参数
02-21
补过环境可 可用nodejs直接调用 get_anti_content() 最新版anti_content亲测可以用 浏览器环境调用 可自行去掉环境直接使用 php 也可以直接调用
pdd-mall-deposit-bill-detail(398047794)_2024-10-21-12-56-30.zip
10-21
从这些信息中可以推断,该压缩包文件可能包含有关拼多多(PDD)商城的某个具体店铺的保证金(deposit)相关的账单细节(bill detail)。时间戳“2024-10-21-12-56-30”可能指示了文件创建的时间或其中数据的更新时间...
开源bbs源码java-jeesite_pdd:jeesite_pdd
06-06
开源 bbs 源码 java JeeSite 企业信息化快速开发平台 平台简介 JeeSite是基于多个优秀的开源项目,高度整合封装而成的高效,高性能,强安全性的开源Java EE快速开发平台。 JeeSite是您快速完成项目的最佳基础平台...
open-pdd-net-sdk:拼多多开放平台DotNet SDK
02-05
open-pdd-net-sdk,拼多多开放平台DotNet SDK。 特别说明 遇到任何问题可通过底部联系方式反馈,作者会第一时间进行处理! 从2.2.0版本开始,将提供多商户支持,同时将目标框架统一调整到.net5.0。 更新说明 更新...
pdd滑块分析逆向
A_fanyifan的博客
03-22 3200
前提 此次分析我已经做出b站视频大家可以搜索 带带弟弟学爬虫 链接可以找到此次文章的详细内容。链接:aHR0cHM6Ly9tbXMucGluZHVvZHVvLmNvbS9sb2dpbi8/cmVkaXJlY3RVcmw9aHR0cHMlM0ElMkYlMkZtbXMucGluZHVvZHVvLmNvbSUyRg==这些是请求图片的数据包,我们从上向下进行分析。
拼多多商品详情api接口
thankyou0790的博客
11-21 1147
pdd的反爬虫机制十分严,而很多时候,没办法高效的拿到数据内容响应终端需求,而依赖爬虫就会造成动不动就出现滑块验证,让人很无解,正好,公司有这样的需求,让我负责解决这个问题,刚开始各种尝试,始终没有绕过pdd的滑块验证码,搞了好几天,都没有进展;然后各种网上资料查询,最终还是不负努力,找到更好的解决方案,让它不再出现任何滑块验证码,完全绕过,实现更好的用户体验。我已经把该方法封装成接口,只需要把要得到的数据URL,传给我就可以,然后及时的响应你的数据内容需求,可用于实现电商行业多种常见场景。
JS逆向 | 拼多多anti_content参数
浏览器开发教学
01-23 4155
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢! 以下内容都是小肩膀教育之后爬虫课程会讲解的,感兴趣在文章末尾扫码联系购买课程。 anti_content存在多种扣法,今天讲一种较为简单的方法。 anti_content加密JS分析 网页端是个AJAX,搜索我的书《反爬虫AST原理与还原混淆实战》,当然不要在这个网站买,盗版太多了,请支持正版。 直接下拉在XHR页就能找到请求包,主要是其中的anti_content。 全局搜索anti_content后,在
如何自动过滑块拿到拼多多商品详情数据,支持高并发?|拼多多商品详情数据接口,学生老师从业者都在使用。
weixin_19970108018的博客
12-04 1487
总的来说,自动通过滑块获取拼多多商品详情数据并支持高并发的作用主要体现在提高数据采集效率、提升数据分析质量、优化运营策略、支持价格策略制定、创新数据使用场景和市场研究等方面。今天给大家分享下关于通过商品链接或商品ID批量请求获取拼多多商品详情数据接口,支持高并发方法。pinduoduo.item_get_app-获取拼多多商品详情数据接口返回值说明。
拼多多系列加密crawlerInfo、screen_token、anti_content参数
热门推荐
qian123shuai的博客
05-02 1万+
只说下思路吧,毕竟把加密代码公开对别网站不好。如有权益问题可以发私信联系我删除,或q:1847858794 如图 ,我见过拼多多所有系列都是用的同一套加密方式,有个0a开头。加密是他自己写的一套加密方式,涉及到的加密参数有:鼠标点击位置、href、ua、cookie和时间戳。 加密位置在如图所示地方: 稍微混淆了下,找到加密位置就是去慢慢调试js了,这需要多掌握些js知识...
pdd(web)逆向分析
2301_79445611的博客
02-01 3239
歪日,真的复杂,不愧的pdd,诶,记下来踩点坑吧
rust axum如何生成验证码
12-18
Rust语言中,Axum是一个异步Web框架,它本身并不直接提供验证码生成的功能。不过你可以结合其他库来实现这一功能。通常,要在Axum应用中添加验证码,可以采取以下步骤: 1. **安装依赖**:首先,需要安装一些辅助库,比如`rand`用于随机数生成,`captcha`或`actix-web-captcha`等验证码库。 ```sh cargo add rand actix-web-captcha ``` 2. **生成随机字符串**:使用`rand`库生成随机字符,例如字母、数字和特殊字符。 ```rust extern crate rand; use rand::Rng; let captcha_text = (0..4).map(|_| chars::random_ascii()).collect::<String>(); ``` 3. **验证码展示**:可以创建一个视图函数,将验证码文本作为响应发送给前端,并可能包含图像。 ```rust async fn generate_captcha() -> Result<String, Error> { Ok(captcha_text) } // 使用Axum路由处理请求 route!("/captcha", method!(GET), generate_captcha) ``` 4. **验证用户输入**:当用户提交表单时,服务端再次生成验证码并检查用户的输入是否匹配。 ```rust async fn verify_captcha(mut request: HttpRequest<Body>, body: String) -> Result<bool, Error> { let stored_captcha = get_stored_captcha(); // 获取存储的验证码 if stored_captcha == body { // 验证通过 Ok(true) } else { // 验证失败 Err("Incorrect captcha".into()) } } ``` 5. **保存验证码**:通常会把验证码存储在会话中,以便后续验证。 注意,这只是一个基本示例,实际应用中可能还需要考虑验证码图片的生成、防止恶意刷新等问题。具体实现细节可能会因选用的库而有所不同。如果你想要详细了解Axum配合某个特定库(如`actix-web-captcha`)生成验证码的详细教程,可以在网上搜索相关的Axum+验证码库的文档或教程。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值