某宝x-sign/x-miniwua签名分析-主搜接口

最新推荐文章于 2024-05-21 15:27:17 发布
最新推荐文章于 2024-05-21 15:27:17 发布
阅读量3.1k 收藏 7
点赞数 2
分类专栏: App逆向分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tiandaochouqin_W/article/details/118299753
版权

接上篇。

仔细查看后,发现其实主搜接口和店铺全部商品接口除了参数不同以外是同一个api,抓包即可获取相应接口的参数,同样也是需要 9.x 版本的x-sign和x-miniwua。

关键词搜索接口测试:

# -*- coding: utf-8 -*-

import time
from typing import Dict
import requests

import json
from urllib.parse import quote, unquote


def dict_encode(param_dict):
    return json.dumps(param_dict, separators=(',', ':'))


class TBBaseClass():

    xsign_url = "xxxxxx"    # 测试链接,如需测试,请联系QQ获取,下方图片获取。
    serverg = "tb910"
    servera = "tbxsign"

    def random_lat_lng(self):
        return {"lng": "0", "lat": "0"}
    
    def random_device_info(self):
        device_info = {
            "user-agent": 'Dalvik/2.1.0 (Linux; U; Android 8.1.0; Xiaomi 8 Build/OPM1.171019.011)',
            "appKey": "21646297",
            "utdid": 'xxxxxxxxxxxx',    # search接口成功率貌似和这个有关
            "ttid": "1628000524142@taobao_android_9.1.0",
        }
        return device_info
    
    def random_user_cookie(self):
        cookies = ""
        cookies = {i.split("=")[0]: i.split("=")[1] for i in cookies.split("; ")}
        return cookies

    def get_xsign(self, params):
        params["group"] = self.serverg
        params["action"] = self.servera
        try:
            response = requests.post(
                self.xsign_url,
                json=params,
                verify=False,
                timeout=3
            )
            result = response.json()["data"]
            if "x-sign" not in result.keys():
                print({'error': f'调用x-sign接口失败., result: {result}'})
                return None
            return result
        except Exception as e:
            import traceback
            traceback.print_exc()
            print({'error': f'调用x-sign接口异常. {e}'})
            return None

    @staticmethod
    def get_header(params, x_sign_data):
        headers = {
            "x-features": params.get("x-features"),
            "x-pv": "6.3",
            "x-sgext": "923",
            "x-location": ",".join([params.get("lng"), params.get("lat")]),
            "user-agent": params.get("user-agent"),  # quote(params.get("user-agent"), safe="+"),
            "x-ttid": params.get("ttid"),
            "x-appkey": params.get("appKey"),
            "x-devid": params.get("deviceId"),
            "x-utdid": params.get("utdid"),
            "x-t": params.get("timestamp")[:10],
            "x-uid": params.get("uid"),
            "x-sid": params.get("sid"),
            "x-umt": quote(x_sign_data.get("x-umt"), safe=''),
            "x-mini-wua": quote(x_sign_data.get("x-mini-wua"), safe=''),
            "x-sign": quote(x_sign_data.get("x-sign"), safe=''),
            'x-bx-version': '6.4.11',
            # 'f-refer': 'mtop',
            # 'x-app-ver': '9.1.0',
            'user-agent': 'Dalvik/2.1.0 (Linux; U; Android 8.1.0; Xiaomi 8 Build/OPM1.171019.011)',
            'Host': 'guide-acs.m.taobao.com',
        }
        return headers

    def get_x_sign_data(self, params):
        sign_params = {
            "deviceId": params.get("deviceId"),
            "appKey": params.get("appKey"),
            "extdata": params.get("extdata"),
            "utdid": params.get("utdid"),
            "x-features": params.get("x-features"),
            "ttid": params.get("ttid"),
            "v": params.get("v"),
            "sid": params.get("sid"),
            "t": params.get("timestamp")[:10],
            "api": params.get("api"),
            "data": params.get("data"),
            "uid": params.get("uid"),
            "lng": params.get("lng"),
            "lat": params.get("lat"),
            "pageName": params.get("pageName"),
            "pageId": params.get("pageId"),
        }
        x_sign_data = self.get_xsign(sign_params)
        return x_sign_data

    @staticmethod
    def prepare_params(features, v, api, page_name, page_id, data, device_info, lat_lng_info, user_cookie) -> Dict:
        timestamp = str(int(time.time() * 1000000))
        sid = user_cookie.get("cookie2", "")
        uid = user_cookie.get("unb", "")
        params = {
            "x-features": features,
            "v": v,
            "api": api,
            "pageName": page_name,
            "pageId": page_id,
            "deviceId": device_info.get("deviceId"),
            "appKey": device_info.get("appKey"),
            "extdata": device_info.get("extdata"),
            "utdid": device_info.get("utdid"),
            "ttid": device_info.get("ttid"),
            "lng": lat_lng_info.get("lng"),
            "lat": lat_lng_info.get("lat"),
            "sid": sid,
            "uid": uid,
            "data": data,
            "timestamp": timestamp,
        }
        return params

    def get_search_data(self, keword, page):
        data = dict_encode({
            'LBS': '{"SG_TMCS_1H_DS":"{\\"stores\\":[]}","SG_TMCS_FRESH_MARKET":"{\\"stores\\":[]}","TB":"{\\"stores\\":[{\\"code\\":\\"330408471\\",\\"bizType\\":\\"2\\",\\"type\\":\\"4\\"}]}","TMALL_MARKET_B2C":"{\\"stores\\":[]}","TMALL_MARKET_O2O":"{\\"stores\\":[{\\"code\\":\\"570945479\\",\\"bizType\\":\\"DELIVERY_TIME_ONE_HOUR\\",\\"type\\":\\"CHOOSE_ADDR\\"},{\\"code\\":\\"238594195\\",\\"bizType\\":\\"DELIVERY_TIME_HALF_DAY\\",\\"type\\":\\"CHOOSE_ADDR\\"},{\\"code\\":\\"430827236\\",\\"bizType\\":\\"DELIVERY_TIME_ONE_DAY\\",\\"type\\":\\"CHOOSE_ADDR\\"},{\\"code\\":\\"404522199\\",\\"bizType\\":\\"DELIVERY_TIME_ONE_DAY\\",\\"type\\":\\"CHOOSE_ADDR\\"}]}"}',
            'URL_REFERER_ORIGIN': 'https://s.m.taobao.com/h5entry?utparam={"ranger_buckets_native":"tsp2267_22312_normaluser01"}&spm=a2141.1.searchbar.searchbox&scm=1007.home_topbar.searchbox.d&_navigation_params={"needdismiss":"0","animated":"0","needpoptoroot":"0"}',
            '_navigation_params': '{"needdismiss":"0","animated":"0","needpoptoroot":"0"}',
            'ad_type': '1.0',
            'apptimestamp': f'1621847395',
            'areaCode': 'CN',
            'brand': 'XiaoMi',
            'countryNum': '156',
            'device': 'Xiaomi 8',
            'editionCode': 'CN',
            'filterEmpty': 'true',
            'filterUnused': 'true',
            'from': 'nt_history',
            'homePageVersion': 'v6',
            'imei': '',
            'imsi': '',
            'index': '0',
            'info': 'wifi',
            'itemfields': 'commentCount,newDsr',
            'jarvisDisable': 'true',
            'layeredSrp': 'true',
            'n': '10',
            'needTabs': 'true',
            'network': 'wifi',
            'new_shopstar': 'true',
            'page': f'{page}',
            'q': f'{keword}',
            'rainbow': '14070,13832,11837,13104,14957,13277,12702',
            'referrer': 'com.taobao.taobao',
            'schemaType': 'all',
            'scm': '1007.home_topbar.searchbox.d',
            'searchFramework': 'true',
            'search_action': 'initiative',
            'search_wap_mall': 'false',
            'setting_on': 'imgBanners,userdoc,tbcode,pricerange,localshop,smartTips,firstCat,dropbox,realsale,insertTexts,tabs',
            'showspu': 'true',
            'sort': '_coefp',
            'spm': 'a2141.1.searchbar.searchbox',
            'sputips': 'on',
            'style': 'list',
            'subtype': '',
            'sugg': '_0_1',
            'sversion': '8.0',
            'ttid': '1628000524142@taobao_android_9.1.0',
            'utd_id': 'xxxxxxxxx',      # search接口成功率貌似和这个有关
            'utparam': dict_encode({"ranger_buckets_native":"tsp2267_22312_normaluser01"}),
            'vm': 'nw'
        })
        # print(data1 == data)
        return data

    def get_search_params(self, keyword, page):
        features = "27"
        api = "mtop.taobao.wsearch.appsearch"
        v = "1.0"
        page_name = "com.taobao.search.sf.MainSearchResultActivity"
        page_id = "http%3A%2F%2Fs.m.taobao.com%2Fsearch.htm"     # "http://s.m.taobao.com/search.htm"
        api_url = f"http://trade-acs.m.taobao.com/gw/{api}/{v}/"
        lat_lng_info = self.random_lat_lng()
        device_info = self.random_device_info()
        user_cookie = {}

        data = self.get_search_data(keyword, page)
        params = self.prepare_params(features, v, api, page_name, page_id, data, device_info, lat_lng_info, user_cookie)
        x_sign_data = self.get_x_sign_data(params)
        params["user-agent"] = device_info["user-agent"]
        headers = self.get_header(params, x_sign_data)
        return api_url, data, headers, user_cookie

    def test_search_data(self, keyword, page):
        api_url, data, headers, cookie = self.get_search_params(keyword, page)
        params = {"data": data}
        try:
            response = requests.get(api_url, params=params, headers=headers, cookies=cookie, proxies=get_proxy(), timeout=3)
        except:
            return None
        return response


obj = TBBaseClass()
res = obj.test_search_data("李宁运动鞋", 1)
print(res.status_code, res.text)

搜索关键词 "李宁运动鞋",结果如下:

天道酬勤之W
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
关于xsign算法,最新带 x-mini-wua
erzia412的博客
01-03 4351
x-sgin的算法接口,终于实现了 xsign的协议算法,最新带 x-mini-wua ***更新时间:2020年1月3日 13:45:28,***大家都知道,有时候PC和WAP版的协议根本满足不了业务场景的需求,但是可以满足,但是最大的难度就是X-sign,可以说是万事俱备只欠X-sign,因为公司安排给我的任务就是解决这个,前前后后花了差不多一个月时间把X-sign签名算法搞...
tao系x-mini-wua、x-sign、x-sgext、x-umt
weixin_41259961的博客
07-26 3392
tao系App基本都离不开x-mini-wua、x-sign、x-sgext、x-umt这个四个参数。
2024-特x-sign, x-mini-wua参数脱机, unidbg生成加密参数
最新发布
weixin_44110940的博客
05-21 408
支持远程测试, 有需要的可以私信我, 简单调用, 有易语言的测试版本。说明: 此代码仅供用于学习交流, 切勿用于非法用途。
宝x-sign、x-mini-wua、 x-sgext、 x-umt、 wua加密算法
qq1396513066的博客
02-05 3664
2. 找到与x-sign相关的逻辑,发现位于mgd类,这下边的类可以每个jadx加载出来不一样,其中mgd接口和mge,mgc都是都关系的。4. 通过反射invoke调用,至于具体参数,可以hook此方法看到,下边也会提到。目标:实现http,参数可由自定义,此以为hongbao_id为例,请求结果返回。,通过hook我们关闭使用即可,走http,这样fd 小黄鸟抓包就能看到了。5. 注意,此a方法可能find 失败,可以再次查找,参数多一个,有6个。此次分享只是用于学习交流,请勿乱用。
宝长x-mini-wua分析与破解
2301_79448206的博客
08-18 1065
宝的x-mini-wua中带着硬件参数 如果是新设备 则可以不带账号获取一些宝商品的数据 如果能生成海量的wua那岂不是可以无限不带账号拿数据?好了开始分析 样本21年的某宝本文并不会贴出对应的算法 只会一带而过 重点是mini-wua生成的流程以下代码快内容都人工加了和谐二字。
最新某宝x-sign参数生成原理
热门推荐
qq_46381298的博客
05-08 1万+
宝x-sign算法解密分析 我在上一篇博客中给大家介绍了接口如何抓取,今天我来给大家介绍一下宝中校验参数x-sign的生成了,现在大家都知道只要有了x-sign基本上所有事情都可以干,包括但不仅限于商品信息,商品评价,秒杀活动等等 本文将演示如何获取宝商品评价信息,以iphone11为例 https://detail.tmall.com/item.htm?id=602659642364 抓包分析 通过charles机抓包分析得出评价获取参数为如下几个: url:http://guide-acs.
node-signpdf:在节点中对PDF进行简单签名
05-02
在节点中对PDF进行简单签名。 贡献 目的 尽管可以,但此软件包的目的并不是要作为依赖项使用。 要目的是演示在一段可读代码中实现签名的方式,因为要花很多时间才能弄清楚。 用法 使用npm i -S node-signpdf ...
且慢基金投资组合爬虫,自动更新x-sign
06-22
且慢基金投资组合爬虫。
易语言-宝+宝联盟x-sign接口免费开放附调用演示
06-26
x-sign接口宝联盟中用于身份验证的关键接口,通过计算特定的签名,确保请求的安全性。 在这一压缩包中,XsignDemo很可能是包含了一个易语言编写的演示程序,该程序展示了如何调用宝联盟的x-sign接口。这个...
ng-sign-here:AngularJS签名板组件
05-01
ng-sign-here 用于AngularJS包装器组件。 演示版 该使用on-signature-update来设置每个签名笔划后的div的背景图像。 安装 npm install ng-sign-here 依存关系 除AngularJS外,唯一的依赖项是 。 您可以链接它,也...
宝x-sign算法demo示例
m0_71316877的博客
06-16 957
用xposed hook这个方法就可以拿到对应的签名,需要可以留言
某宝x-sign签名分析-店铺全量商品接口
tiandaochouqin_W的博客
06-27 1706
宝app x-sign / x-miniwua 接口测试-店铺全部商品,欢迎互相学习交流。
某宝APP接口抓包与X-sign教程
qq_42009996的博客
09-10 9979
某宝APP接口抓包与X-sign教程 最近有在做宝相关的业务研究,避免不了需要抓包抓接口分析数据,对于这类APP抓包需要安卓机和抓包软件,我推荐使用: Packet Capture(无root抓包): https://wwa.lanzoui.com/ik6SLttn0ef(蓝奏云) 安卓机(root + Android5.1版本左右)本人使用:小米4 android5.1(二不到100) Packet Capture使用: 下载安装证书 选择APP,监听抓包 抓取到我们想要的API接口
优酷app参数分析
李玺
10-24 3452
优酷app的 x-sign,x-mini-wua, x-sgext,x-umt的 frida hook。 打印出的参数和返回的结果: v1: {deviceId=xxx, appKey=xxx, utdid=xxx, x-features=27, ttid=xx, v=1.0, sid=null, t=1634609271, api=“xx”, data={“ms_codes”:“2019061000”,“params”:“xx”,“system_info”:“xx”}, uid=null} v2: {
带 x-mini-wua,x-sign算法
az665487的博客
01-02 3755
版的x-sgin的算法接口,终于实现了 xsign的协议算法,最新带 x-mini-wua ***更新时间:2020-1-2 14:41:59,***大家都知道,有时候PC和WAP版的协议根本满足不了业务场景的需求,但是可以满足,但是最大的难度就是X-sign,可以说是万事俱备只欠X-sign,因为公司安排给我的任务就是解决这个,前前后后花了差不多一个月时间把X-sign签名算法...
某宝x-miniwua
weixin_49318439的博客
04-20 175
提供纯suan接口 + MjUxMDc0OTA3Mg== (base64)
安卓逆向小案例——阿里系某电影票务APP加密参数还原-Unidbg篇
weixin_44084602的博客
09-18 4410
使用unidbg调用sgmain.so,还原x-sign等加密参数
C 交错级数求和s=x-x3/3! x5/5!-x7/7!
03-28
该交错级数可以表示为: s = x - x^3/3! + x^5/5! - x^7/7! + ... 可以使用循环来计算该级数的前n项和: #include <stdio.h> #include <math.h> double alternating_series(double x, int n) { double sum = 0; int sign = 1; for (int i = 1; i <= n; i++) { double term = pow(x, 2*i-1) / tgamma(2*i); sum += sign * term; sign = -sign; } return sum; } int main() { double x = 1.0; int n = 10; double sum = alternating_series(x, n); printf("The sum of the first %d terms of the alternating series is %f\n", n, sum); return 0; } 在上面的代码中,tgamma函数用于计算阶乘的倒数。输出结果为: The sum of the first 10 terms of the alternating series is 0.540302

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值