某查查 sign和token研究

最新推荐文章于 2024-04-05 03:33:27 发布
最新推荐文章于 2024-04-05 03:33:27 发布
阅读量4.3k 收藏 6
点赞数
分类专栏: 爬虫 日长记录 Python 文章标签: 企查查 企查查app 企查查sign 企查查token 企查查爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34067821/article/details/94548424
版权
日长记录 同时被 3 个专栏收录
45 篇文章 1 订阅
订阅专栏
爬虫
38 篇文章 6 订阅
订阅专栏
Python
29 篇文章 0 订阅
订阅专栏

某查查app sign研究
从上次抓取某查查app数据之后,一直有一个问题
昨天一个偶然机会,得到某查查的sign算法,并未进行脱壳和逆向,是使用js的方式找到相关算法,虽然是js找得到的
关于token的破解:其实某查查的token是在服务端进行计算的,但是经过分析,发现它有一个getAccessTokenrefreshToken接口,这两个很容易理解的。

  • getAccessToken:是获取Token用的,但是这里要带上sign和时间戳
  • refreshToken:token过期之后要用的接口,用来刷新token
    在这里再说一个某查查的机制,其实sign和时间戳在很多接口中保持一致,不需要更改,token过期直接刷新就行。删除一段url
    这张图可以清楚看到,这里还用到了设备id,这个设备id的算法我也找到了,这里就不详细说,毕竟自己抓包就可以找到,这个设备id是经过加密的,一直保持一直就可以了。
    appid的话也是保持不变的,自己抓包就ok了。
    下面的可以重点,这里必须要拿小本本记下来:

经过我昨天的分析,sign的算法和设备id、时间戳和一个key值有关:

hex_md5(n.deviceId + o + t)

这就是主要的算法,就这么一个,是不是很简单,下面详细说下怎么破解。

n.deviceId :这个是经过处理的设备id,自己抓包就可以了

o :这是时间戳,怎么获取那我就说了

 t:这是哪个key值,

它们全部是经过hex_md5的,加密之后再传输到服务器,获取key值。
放出来加密算法
删除部分无用参数

哈里哈气
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
查查app sign算法破解(二)
weixin_30538029的博客
07-12 946
查查app sign算法破解 企查查app sign算法破解初步探索 上次把sign加密其中的一个参数找到了时间戳,这次继续找其他参数。就找这个cOI。 继续同样的套路ctrl+shif+f搜索cOI 我靠-------这也太多了吧,筛选一下 搜索cOI = 点击第二个,我们继续看,这个是设置设备id,好像在哪见过,不管了,这个我们可以伪造一个,只要sign和设备ID相同就行。 这次我们又...
查查app sign算法初步探索
成小新的博客
11-24 1462
查查app sign算法破解初步探索 之前有说过企查查sign的解密,但这次是企查查app的sign算法破解,目前是初步进程。 目前我们需要做查壳,具体方法可以百度搜索,企查查用的360加固,很简单,我去脱壳一下。 脱完壳,我们需要逆向dex,如何逆向呢???我们可以借助jeb工具,具体用法百度一下,我这里用的是手机端反逆向。 逆向之后我们现在需要把class文件反编译为java文件,用到工...
python美团外卖爬虫Python函数(二,可能是全网最细的Python-资源加载机制剖析
最新发布
weixin_57485542的博客
04-05 542
变量 = lambda 参数1,参数2,…:表达式。
天眼查 Authorized和企查查 sign破解
成小新的博客
10-18 5290
目前天眼查、企查查APP均使用了ndk 天眼查 很早之前研究的。。。 1.使用爱加密进行加固 2.使用爱加密so,sm4进行加密 3.Authorized使用imei、设备id等作为验证 4.Authorized大概5分钟过期 5.抓包可以使用手机端抓包工具和justtruestme 参考以下(转载 ggl1438): 1.app登陆后拿到的值,可以放在cookie里面,这样可以进行web抓取,就...
调用企查查第三方Api:企业工商模糊搜索
m0_61164913的博客
09-27 2622
/** * 获取精确到秒的时间戳 * * @return */ public static int getSecondTimestamp(Date date) { if (null == date) { return 0; } String timestamp = String.valueOf(date.getTime()); int length = timestamp
JS逆向-企查查header加密参数
yinyunan1210的专栏
12-06 1079
分析过程比较繁琐,尝试了多种方案,比如hook header、搜索headers关键字、url断点等,都不太理想,没能定位到加密函数。仔细观察,发现headers还有一个X-Pid参数,抱着试试的态度搜了下,发现此处很可疑,如下图。接下来只要跟下代码就行了,或者省事点,直接上RPC调用。通过对比,发现是使用的HMAC-SHA512算法,接下来就是扣代码了。继续往下跟,最终会得到底层的加密函数,发现是HMAC算法,如下图。只要搞定该参数,加上随机ip,基本就能拿到数据了
天眼查、企查查APP的Authorized值和sign值破解思路记载
ggl1438的博客
03-28 3499
@TOC天眼查、企查查APP的Authorized值和sign值破解思路记载 天眼查APP已知条件 1.爱加密壳子,sm4加密 2.检测了模拟器 3.脱壳拖出来的代码只有类名 4.把so拿出来也不能用,大概so里面进行过什么判断 5.抓不到包了 骚操作: 1.app登陆后拿到的值,可以放在cookie里面,这样可以进行web抓取,就没有字体反爬的困扰了。 2.authorized这个值有效时长在5...
查查、天眼查、启信宝API怎么批量操作调用,API接口应用场景。
Enterprisbigdata的博客
06-15 3597
大数据时代,企业信息处于透明状态。虽然一些必要的注册信息是公开的,但并不容易找到。一般来说,工商登记信息可以在工商部门查询,但流程繁琐,需要工作人员亲自到工商局办理。在互联网时代,使用集成的业务数据信息API应用进行在线查询,帮助人们节省了大量时间。 随着市场需求的不断增加,企业工商信息查询界面受到了企业的一致青睐。数据覆盖全国。无论您在哪个行业、哪个企业,只要是工商局注册的正规企业,都可以通过企业工商信息查询界面进行验证。
API接口设计之token、timestamp、sign
06-24
API接口设计之token、timestamp、sign的具体使用demo示例。
java token验证和注解方式放行
08-28
token工具,集成了token校验和注解方式token放行策略,解压后直接将java文件放到项目中,引入一下maven就可以用了,亲测可用,如果有问题欢迎留言评论或者私信,可以帮忙解决问题
基于acess_token和refresh_token实现token续签
03-19
基于acess_token和refresh_token实现token续签
Redis+接口+token+Sign+时间戳 Demo
03-24
Redis+接口+token+Sign+时间戳 Demo
最新企查查动态请求头逆向分析(附代码)
pyzzd的博客
07-22 3219
目标:aHR0cHM6Ly93d3cucWNjLmNvbS9jcnVuL2ZlOTFiZGY4Mzc1ZmMzMzQwOGZhOTYwYzU4NGZlMWY2Lmh0bWw=
wbpack逆向实战-某查查登录密码加密
zyz528zyz的博客
08-03 1094
webpack逆向 算法自吐
看我骚操作‘破解’某查查app的sign以及某眼查的Authorization!
成小新的博客
11-09 3541
看我如何骚操作“破解”sign和Authorization!!! 这里要用到的工具/开发语言: 1.Python(2或者3) 2.App爬虫神器mitmproxy 3.按键精灵 4.还有之前的强制抓包工具postern 之前经过逆向以及抓包等分析,发现这两个app的sign以及author等最为重要,而且还绑定了时间戳,这就导致我们如果不分析其加密算法就比较抓数据,但是最后通过测试发现如下: 企...
python处理滑块验证码(企查查)实例
sgw101的博客
11-09 1578
python处理滑块验证码,获取需要滑动的坐标位置实例
查查app sign算法破解初步探索
weixin_30363981的博客
07-12 869
查查app sign算法破解初步探索 之前有说过企查查sign的解密,但这次是企查查app的sign算法破解,目前是初步进程。 目前我们需要做查壳,具体方法可以百度搜索,企查查用的360加固,很简单,我去脱壳一下。 脱完壳,我们需要逆向dex,如何逆向呢???我们可以借助jeb工具,具体用法百度一下,我这里用的是手机端反逆向。 逆向之后我们现在需要把class文件反编译为java文件,用到工...
signtoken区别
07-28
"sign"和"token"是两个不同的概念,它们在不同的上下文中具有不同的含义和用途。下面是它们的一些区别: 1. 概念: "sign"通常指的是签名,用于验证数据的完整性和真实性。"token"通常指的是令牌,用于表示某种身份或权限。 2. 用途:签名用于确保数据在传输过程中没有被篡改,并验证发送方的身份。令牌用于标识用户或客户端的身份,以便进行身份验证和授权。 3. 数据处理:签名通常是对数据进行加密或哈希操作,以生成一个唯一的标识。令牌通常是一个包含有关用户或客户端身份信息的字符串。 4. 安全性:签名主要用于保护数据的完整性和真实性,以及验证发送方的身份。令牌主要用于管理用户或客户端的身份和访问权限。 5. 使用场景:签名常用于数据传输和通信领域,例如在API请求中使用签名验证数据的完整性。令牌常用于身份验证和授权领域,例如在Web应用程序中使用令牌进行用户登录和访问控制。 需要注意的是,这些概念和术语在不同的上下文中可能具有不同的定义和用途。具体使用时,需要根据具体的应用场景和需求来理解和使用"sign"和"token"这两个概念。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值