一、滑块验证参数 verifyAuthToken
通过触发pdd风控频率获取 我目前是在登录页面出现的 获取到verifyAuthToken再下一步
二、salt 参数用于后期加密captcha_collect
如图所示 salt这个参数是在这个接口获取的
https://apiv2.pinduoduo.net/api/phantom/vc_pre_ck_b 需要传的参数是anti_content pdd加密参数 这个在我的资源里可以下载 client_time 13位时间戳 sdk_type固定值3 跟verify_auth_token
通过 salt 去获取 aes_key 跟 aes_iv
三、captcha_collect 参数用于滑块验证
如下图
目前是这个接口 https://apiv2.pinduoduo.net/api/phantom/user_verify 需要用到captcha_collect参数 这个参数必须准确还能通过验证 不然就算 verify_code (缺口值)准确也不会验证通过
我们如何获取到captcha_collect呢 首先我们通过浏览器打断点 打到这个captcha_collect位置 captcha_collect是由u变量来的 u又是由l.sent获取的 目前通过分析是从a.getAntiToken() 这里生成的
我们通过getAntiToken方法追踪 来到了这的地方
getAntiToken: function() {
var e = $(G.concat([W, N, D, H, L]));
return U(),
e
}
继续跟浅 来到这个地方
在return l(d(JSON.stringify(t)), x, w) 这个地方就是生成captcha_collect参数地方的由来 x就是aes_key , w就是aes_iv 这两个参数是由salt加密而成的
t的加密参数 是由一些固定值加密而成的 也就是一些浏览器环境 图片宽高 这里我是直接写成固定值
事实证明固定值也是能过验证的 有js逆向知识的可以把代码扣下来整理一下
在这我就不写那么多 js逆向扣代码之类的 这种找几个视频学习就会了 我这里是没有补环境的 因为我用浏览器去获取加密参数的 需要补环境的可以安装一下jsdom扩展 直接补齐浏览器环境 上面从这个方法中get_captcha_collects就能获取到captcha_collect参数了 另外图片加密我再讲解一下
四、滑块图片加密破解
通过 https://apiv2.pinduoduo.net/api/phantom/obtain_captcha 接口获取到pictures参数 里面是两张加密过的base64图片 一张是大图小图 也就是滑块由pictures里面两张图片组成的
解密base64方法 如下图 上面我们扣下获取captcha_collect方法里面有个 decode方法这个方法就是解密图片的方法 具体怎么调用我在图片下的方法演示了
破解完base64 就可以把两张图合在一起进行滑动获取到verify_code 提交到接口
下面是我这里做的模拟破解验证码只要返回code 为0 就是成功通过
然后遇到什么问题 获取需要源码可以找我 直接私信
1684
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
