该文章主要提供交流学习使用。严禁用于商业用途,否则由此产生一切后果与作者无关,如有侵权请联系作者进行删除。
一. 流程解析
大致的流程跟xbogus大同小异,变化的无非就是加密方式和数组多了些数据的获取。
不懂xbogus翻历史文章。
1.url参数和body sm3加密
2.ua跟xbogus的流程类似转成不可读字符串在根据特定字符串转换成明文然后sm3加密
3.把上面获取的数组,提取拼成2组44位的数组,其中一组是算校验码。
4.根据页面大小操作系统拼成一组字符串用charCodeAt转成数组跟44位数组和校验码合并成新的。
5.最后生成的和xbogus一样的。
测试下数据回来正常。
代码自取:微信公众号Bug攻防