校友邦微信小程序签到加密逻辑分析

于 2024-08-27 21:27:55 发布
阅读量711 收藏 6
点赞数 9
文章标签: 微信小程序 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39442993/article/details/141612916
版权

前言介绍

最近发现,校友邦的签到接口发生了变更,导致之前用于自动签到签退的PHP脚本无法正常工作。为了解决这个问题,我们进行了微信小程序的反编译分析,今天主要分析下校友邦微信小程序签到加密逻辑,并用PHP重写了加密,以便重新实现签到功能。

为了方便大家使用,我已经将校友邦的签到功能上线到微信小程序工具箱中。具体的使用方法会在下一篇中详细说明。为了避免接口被滥用,我对每个用户的签到次数做了限制。由于缺乏相关账号进行详尽的测试,希望大家珍惜并使用签到和重签功能。

解包分析

getTokenData: function(e, a) {
    // 定义一个包含62个数字和字母的数组t和一个包含0~61的数字的数组n
    for (var t = ["5", "b", "f", "A", "J", "Q", "g", "a", "l", "p", "s", "q", "H", "4", "L", "Q", "g", "1", "6", "Q", "Z", "v", "w", "b", "c", "e", "2", "2", "m", "l", "E", "g", "G", "H", "I", "r", "o", "s", "d", "5", "7", "x", "t", "J", "S", "T", "F", "v", "w", "4", "8", "9", "0", "K", "E", "3", "4", "0", "m", "r", "i", "n"], n = [], o = 0; o < 62; o++) n.push(o + "");
    // 获取当前时间戳
    var i = Math.round((new Date).getTime() / 1e3),
        // 对数组n进行乱序操作,截取前20个字符作为iArrStr属性的值
        r = function(e, a) {
            for (var t, n, o = e.slice(0), i = e.length, r = i - a; i-- > r;) t = o[n = Math.floor((i + 1) * Math.random())], o[n] = o[i], o[i] = t;
            return o.slice(r)
        }(n, 20),
        // 定义一个空字符串s,用于存储拼接后的属性值
        s = "";
    // 遍历数组r,将对应位置的字符从数组t中取出,拼接到字符串s中
    r.forEach((function(e, a) {
        s += t[e]
    }));
    // 定义一个空字符串d,用于存储拼接后的属性值
    var g, p = function(e) {
        for (var a = Object.keys(e).sort(), t = {}, n = 0; n < a.length; n++) t[a[n]] = e[a[n]];
        return t
    }(e),
    d = "";
    for (g in p) {
        if (-1 != ["content", "deviceName", "keyWord", "blogBody", "blogTitle", "getType", "responsibilities", "street", "text", "reason", "searchvalue", "key", "answers", "leaveReason", "personRemark", "selfAppraisal", "imgUrl", "wxname", "deviceId", "avatarTempPath", "file", "file", "model", "brand", "system", "deviceId", "platform", "code", "openId", "unionid"].indexOf(g) || l.test(p[g])) {
            continue;
        }
        d += p[g];
    }
    d += i,
    d = (d = (d = (d = (d = (d = (d = (d = (d += s).replace(/\s+/g, "")).replace(/\n+/g, "")).replace(/\r+/g, "")).replace(/</g, "")).replace(/>/g, "")).replace(/&/g, "")).replace(/-/g, "")).replace(/\uD83C[\uDF00-\uDFFF]|\uD83D[\uDC00-\uDE4F]/g, ""),
    d = encodeURIComponent(d);
    return {
        md5: d = c.a.hexMD5(d),
        tstr: i,
        iArrStr: r && 0 < r.length ? r.join("_") : ""
    }
}
  1. 数据定义和准备,定义了两个数组 t 和 n,分别包含了字符和数字,用于后续的字符串生成和乱序操作。
  2. 获取时间戳,使用 Math.round((new Date).getTime() / 1e3) 获取当前时间戳,并将其存储在变量 i 中。
  3. 乱序操作,使用 r 函数对数组 n 进行乱序,取前20个元素作为 iArrStr 属性的值。
  4. 属性值处理,将输入对象 e 的属性按名称排序后,将其值拼接成一个字符串 d。在拼接过程中,排除了一些特定的属性名或者满足特定条件的属性值。
  5. 字符串处理,对字符串 d 进行多次替换操作,移除空格、换行符、回车符、小于号、大于号、与号、连字符和特定表情符号。
  6. 编码处理,使用 encodeURIComponent 对处理后的字符串 d 进行编码,确保其可以安全地用作 URL 的一部分。
  7. 返回结果,返回一个对象,包含以下属性:
    md5:经过未明确定义的 c.a.hexMD5(d) 函数处理后的字符串 d 的 MD5 哈希值。
    tstr:当前时间戳 i。
    iArrStr:乱序后的数组 r 的字符串形式,用下划线连接。
    例如最终得输出结果为:
{
  md5: 'ec008344def5a714212dc44e627bdec5',
  tstr: 1679473312,
  iArrStr: '29_7_13_2_34_36_60_8_55_44_3_19_53_59_48_58_40_45_27_1'
}

总结一下功能就是实现在62 个字符中随机取出 20 个,来进行加密。

php重写

function getHeaderToken($data){
        if (!is_array($data)) {
        return null;
    }
    $cookbook = ["5", "b", "f", "A", "J", "Q", "g", "a", "l", "p", "s", "q", "H", "4", "L", "Q", "g", "1", "6", "Q",
                 "Z", "v", "w", "b", "c", "e", "2", "2", "m", "l", "E", "g", "G", "H", "I", "r", "o", "s", "d", "5",
                 "7", "x", "t", "J", "S", "T", "F", "v", "w", "4", "8", "9", "0", "K", "E", "3", "4", "0", "m", "r",
                 "i", "n"];
    $except_key = ["content", "deviceName", "keyWord", "blogBody", "blogTitle", "getType", "responsibilities",
                   "street", "text", "reason", "searchvalue", "key", "answers", "leaveReason", "personRemark",
                   "selfAppraisal", "imgUrl", "wxname", "deviceId", "avatarTempPath", "file", "file", "model",
                   "brand", "system", "deviceId", "platform"];
    $indexes = range(0, count($cookbook) - 1);
    shuffle($indexes);
    $noce = array_slice($indexes, 0, 20);
    $now_time = time();
    $sign_str = "";
    ksort($data);
    foreach ($data as $k => $v) {
        $v = strval($v);
        if (!in_array($k, $except_key) && !preg_match('/[`~!@#$%^&*()+=|{}[\]:;",.<>\/?~!@#¥%……&*()——+|{}【】‘;:”“’。,、?]/', $v)) {
            $sign_str .= $v;
        }
    }
    $sign_str .= strval($now_time);
    foreach ($noce as $index) {
        $sign_str .= $cookbook[$index];
    }
    $sign_str = preg_replace('/\s+/', '', $sign_str);
    $sign_str = preg_replace('/\n+/', '', $sign_str);
    $sign_str = preg_replace('/\r+/', '', $sign_str);
    $sign_str = str_replace('<', '', $sign_str);
    $sign_str = str_replace('>', '', $sign_str);
    $sign_str = str_replace('&', '', $sign_str);
    $sign_str = preg_replace('/\xEF\xBF\xBD/', '', $sign_str);
    $sign_str = urlencode($sign_str);
    $m = md5($sign_str);
    return [
        'n' => implode(',', $except_key),
        't' => strval($now_time),
        's' => implode('_', $noce),
        'm' => $m,
        'v' => '1.6.36'
    ];
}

成品使用

没有搭建环境的,可以使用搭建好的成品,微信直接搜索青云工具箱

什么羽
关注
XYB_Auto_Sign:校友实习自动签到
03-08
校友实习自动签到 更新日志: 【2021/03/07】完善文档说明,更换通知方式为更稳定的钉钉机器人 :pick:运行环境 Python3以及相应的库 :pick:运行方式 配置user.json信息 运行autoSign.py测试是否可以正常执行 设定定时任务 :pick:相关说明 :page_with_curl: user.json配置 { " token " :{ " openId " : "填写你的openId " , " unionId " : "填写你的unionId " }, " location " :{ " country " : "中国" , " province " : " XX省" , " city " : " XX市" , " adcode " : "城市编码" , " address " : " XX街道XX路XX号" }, "
auto_sign
03-20
auto_sign
签到
sinat_38119205的博客
04-02 359
今天在单位升级了pandas,安装了seaborn。是用anaconda弄的。家里安装的是python xy。似乎还是anaconda好用些。 也没啥进展。研究了一下analysis of variance,用这个可以评价categorical variables对continuous variable的影响。原来看过都不知道忘到哪里去了。原来是在实验设计里面看到的。 目前还没有查到panda
校友虚拟定位打卡百分百可用
qq_41329604的博客
08-07 1135
校友虚拟定位打卡百分百可用,校友异地打卡,手机电脑均可,保姆级教程1分钟学会。# 校友虚拟定位打卡百分百可用。
autosign:自动签到微信小程序
05-13
autosign 自动签到微信小程序 抓取签到的请求后添加到CRON任务计划里让它自动执行,对我这种想要各种积分但是懒得或者忘记每天签到的人来说,确实方便了不少呢。 项目是自己做着玩的,顺便了解熟悉一下TP5框架和小程序的开发流程。 个人博客(不过几乎不更新):
校友小程序签到加密逻辑解析
交个朋友
04-21 2202
下面简单描述一下加密逻辑。我们先反编译校友小程序,首先在 微信数据目录 里找到相应的小程序 id,数据目录在微信 设置 里可以看到,建议找到后先清空一下小程序目录,以免找不到对应的小程序 id。简单来说就是从这 62 个字符中随机取出 20 个,得到键和值(这里我只关注了签到和签退所需要的代码片段,其他代码片段用途暂未了解)其中请求头中 Cookie 我们可以通过接口获取,v 和 n 为固定值,而 t、s、m 三个参数是通过代码生成的。简单格式化了一下,具体代码如下,关键的部分就是我写注释的地方。
如何入门微信小程序开发,超详细学习指南大全
gyufan的博客
05-05 5383
原创微信小程序学习路线,包含全面的知识点、免费资源、开源源码、开发框架、学习建议、项目、小程序技术变现、流量主、副业赚钱、资讯。
【计算机毕设选题】微信小程序 毕业设计题目大全 (新颖选题)
Eastonzhang888的博客
08-08 451
联系方式见文末小卡片~39、基于Spring Boot的企业员工薪酬关系系统的设计与实现。41、基于Spring boot的名城小区物业管理系统的设计与实现。9、基于SpringBoot的车辆管理系统设计与实现的设计与实现。11、基于SpringBoot的汽车票网上预订系统的设计与实现。15、基于SpringBoot的学生宿舍信息的系统的设计与实现。29、基于spring boot的医院挂号就诊系统的设计与实现。31、基于springboot的毕业设计系统的开发的设计与实现。
小程序毕业设计选题推荐
yh1340327157的博客
12-12 556
基于Java+SpringBoot+Vue+uniapp实现校园疫情防控管理平台小程序。基于Java+SpringBoot+Vue+uniapp实现个人健康管理系统小程序。基于Java+SpringBoot+Vue+uniapp实现小区服务管理基于小程序。基于Java+SpringBoot+Vue+uniapp实现电器维修系统小程序。基于Java+SpringBoot+Vue+uniapp实现铁路订票平台小程序。基于Java+SpringBoot+Vue+uniapp实现公考学习平台小程序
TBsign:百度贴吧自动签到系统
03-11
TBsign:百度贴吧自动签到系统
校友微信小程序使用手册.zip
09-22
校友微信小程序使用手册》是一份详尽的文档,主要涵盖了在校生、毕业生、实习负责人、指导教师以及教务管理人员在使用校友微信小程序时的操作步骤和功能介绍。这份手册通过四个主要部分,即“实习负责人操作...
基于微信小程序校友管理系统设计与实现(校友管理小程序).zip
06-16
微信小程序校友会信息系统的研发,可以为学校建设校友校友校友与母校之间的互联网平台.本文提出了基于微信小程序建设的校友会信息系统,给出了基于微信建设的校友会信息系统架构,并结合系统的开发给出了其实现...
校友微信小程序-毕业设计,基于微信小程序+SSM+MySql开发,源码+数据库+毕业论文+视频演示
最新发布
08-27
通过分析校友微信小程序管理的不足,创建了一个计算机管理校友微信小程序的方案。文章介绍了校友微信小程序的系统分析部分,包括可行性分析等,系统设计部分主要介绍了系统功能设计和数据库设计。 本校友林...
交大成都校友微信小程序V3.1
12-15
自成立以来, 在八十多个海内外校友会、院系校友分会共同努力下,遵照本会的宗旨,继承和发扬母校优良传统与校风,加强同海内外校友之间的联系,进一步增进情谊及合作,促进校友协助母校开展教学、科研、学术交流与...
2025年最全的计算机毕业设计选题推荐
JAVA编码选手的博客
07-27 1662
基于Java+SpringBoot+Vue+uniapp实现大学生心理健康测评管理系统小程序。基于Java+SpringBoot+Vue+uniapp实现大学生心理健康测评管理系统小程序。基于Java+SpringBoot+Vue+uniapp微信小程序零食商城系统设计和实现。基于Java+SpringBoot+Vue+uniapp实现大学生校园兼职微信小程序。基于Java+SpringBoot+Vue+uniapp实现大学生校园兼职微信小程序
基于微信小程序校友微信小程序的实现+ssm框架.rar
04-06
校友微信小程序是基于SSM框架开发的校友交流平台的微信小程序端,旨在为校友们提供一个便捷的交流和信息分享平台。通过微信小程序校友们可以随时随地与校友们保持联系,了解校友动态,参与校友组织的各类活动。...
一个自动签到脚本的挣扎之路
yushu4772的博客
08-09 1637
新人培训听说有人做了自动签到脚本,我对其中最困惑的是定时任务的开启,不过既然有了想法就要做起来,先完成手动签到再说!初步打算用python调用url,然后用c做个定时任务。 配置环境及必要库 受单位限制,电脑都不能上网,只能选择集成包去安装,这样可以少下一些库。python官网下载64位即可,安装很顺利。python自己的库分为标准库和第三方库,一般使用第三方库需要安装,这里记录一下离线安装...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值