整个小项目下来,涉及了app反编译,http协议,JavaScript,fiddler等等的基础小知识
在接到这个任务之后,我首先熟悉了一下流程.发现他是http协议的
马上就打开fiddler打开端口用模拟器监测一下
一波操作之后发现他的登录完全没有加密,直接输入账号密码 POST一下就可以登录进去返回账号临时ID
以为项目就此大功告成
在获取抢号数据的时候发现不是这样
每个请求都带着不规律的 noticeStr,sign在cookie中
timestamp一看就知道是时间戳
其他访问也没有返回这两个参数,是忽然有的
然后就想到会不会是APP内部有加密函数
这时候打开了androidkiller
找到了访问的接口链接,但是无论如何也搜不到noticeStr,sign这些关键字,我甚至换了个反编译工具,升级了版本,也无济于事
后来我看回来fiddler,发现在每次点击之前,都会打开一个html,里面有一段js
明明白白地写到了这两个参数生成的具体流程(参数拆分->随机生成关键字->排序->再来个他们自己写的MD5)..是我把他想得太复杂了
这时候就有两个方法,一个是直接用自己的语言里面选个js解析库解析,我用的是python,试过js2py之类的库,解析就要按秒算,这样不划算,那就要把js转换到py语言,这时候py有个库我要推荐一下,jiphy点进去有使用教程.
转换之后大概修改了一下.期间遇到的坑就不说了(js跟py位运算有一点不一样)
搞定之后就可以自己生成签名了,置入cookie,获取成功
扫一扫
4062
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
