美团账号登录password参数加密逻辑

最新推荐文章于 2024-04-21 09:43:19 发布
最新推荐文章于 2024-04-21 09:43:19 发布
阅读量3.4k 收藏 1
点赞数
文章标签: 安全 爬虫 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43459158/article/details/122258045
版权

网站链接

aHR0cHM6Ly9wYXNzcG9ydC5tZWl0dWFuLmNvbS9hY2NvdW50L3VuaXRpdmVsb2dpbg==

(base64解密后可见)

网站分析

发现登录接口有5个密文参数,其中uuid、token_id、csrf在页面源码中都是存在的,直接xpath或者正则获取到就好了。h5Fingerprint这个参数和之前一篇文章的_token加密逻辑一致。

所以最后就只剩下了密码加密参数password,先全局搜索下,发现是可以搜索到的,而且发现了一个很熟悉的关键词encrypt

其实,基本可以断定就是这里了,我们在这里下上断点,重新提交,发现和我想的一致

但其实还会发现,这个加密的结果是动态的

这里不想去细扣了,因为loginRequest()这个函数就直接是发包了,所以这里的加密位置的定位是没有问题的

如果喜欢,欢迎大佬们关注我的公众号,一起进步
在这里插入图片描述

js分析

把js扣下来,在本地运行,会发现有很多问题,首先环境需要补很多,甚至还有jq的$,即使全部补完了,也会发现调用函数后会出现死循环,其实还是挺烦的,其实可以换个思路,搜下JSEncrypt,发现这个是一个加密库,用npm install jsencrypt直接安装就好了,然后直接上代码

const JSEncrypt = require("jsencrypt");
var encryptor = new JSEncrypt()  // 创建加密对象实例
  //之前ssl生成的公钥,复制的时候要小心不要有空格
var pubKey = '-----BEGIN PUBLIC KEY-----\n' +
    'MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCRD8YahHualjGxPMzeIWnAqVGMIrWrrkr5L7gw+5XT55iIuYXZYLaUFMTOD9iSyfKlL9mvD3ReUX6Lieph3ajJAPPGEuSHwoj5PN1UiQXK3wzAPKcpwrrA2V4Agu1/RZsyIuzboXgcPexyUYxYUTJH48DeYBGJe2GrYtsmzuIu6QIDAQAB' +
    '\n-----END PUBLIC KEY-----'
encryptor.setPublicKey(pubKey)//设置公钥
var rsaPassWord = encryptor.encrypt('123456')  // 对内容进行加密
console.log(rsaPassWord)

至于这个pubKey,在这里,是固定的

至于上面的-----BEGIN PUBLIC KEY-----的写法在这里

另外还有py还原版的代码,一起放出来吧

import base64
from Crypto.Cipher import PKCS1_v1_5
from Crypto.PublicKey import RSA


def rsa_password(pwd):
    """RSA加密"""
    publickey = 'MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCRD8YahHualjGxPMzeIWnAqVGMIrWrrkr5L7gw+5XT55iIuYXZYLaUFMTOD9iSyfKlL9mvD3ReUX6Lieph3ajJAPPGEuSHwoj5PN1UiQXK3wzAPKcpwrrA2V4Agu1/RZsyIuzboXgcPexyUYxYUTJH48DeYBGJe2GrYtsmzuIu6QIDAQAB'
    rsa_publickey = '-----BEGIN RSA PRIVATE KEY-----\n' + publickey + '\n-----END RSA PRIVATE KEY-----'
    key = RSA.importKey(rsa_publickey)
    cipher = PKCS1_v1_5.new(key)
    encode_base64 = base64.b64encode(cipher.encrypt(pwd.encode()))
    cipher_pwd_str = encode_base64.decode()
    print(cipher_pwd_str)
    return cipher_pwd_str


if __name__ == '__main__':
    rsa_password('123456')

小结

经过百度,RSA用公钥加密出来的密文确实每次都会不一样。具体为什么不一样,我水平有限,看不明白,反正能用就行了。

AJackpot
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
数据库账号密码加密详解及实例
09-09
Spring Security的配置文件中,`<password-encoder>`元素用于指定用于密码加密的bean,即`passwordEncoder`。这样,当用户尝试登录时,`<authentication-manager>`中的`<authentication-provider>`会使用`...
12306登录password参数加密逻辑
weixin_43459158的博客
12-31 2916
网站链接 aHR0cHM6Ly9reWZ3LjEyMzA2LmNuL290bi9yZXNvdXJjZXMvbG9naW4uaHRtbA== (base64解密后可见) 网站分析 登录的表单可以看到,密码是加密的。 ps:至于上面的sessionId和sig都是阿里ffff滑块返回的,这里只分析password加密 首先全局搜索关键词password,在可疑的位置打上断点,最终定位在这里 这个encrypt_ecb()函数应该就是加密函数,传的两个参数如下,一个是密码的明文,一个是固定值 进到函数内,
【2021-01-11】JS逆向之美团模拟登入
骑毛驴的猴的博客
01-12 5538
声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢! 文章目录前言一、页面分析三、参数破解3.1 h5Fingerprint解密3.2 password解密总结 前言 又是好久没写文章了,上周在肝易盾的验证码,发现自己还是不太行,需要继续学习呀。 这篇给大家带来的是美团登入接口的加密破解,是一个RSA类型的加密。 网站:https://passport.meituan.com/account/unitivelogin 一、页面分析 进入网页后随便输入账号密码,找到登
探索美团爬虫项目:智能数据抓取的新篇章
最新发布
gitblog_00092的博客
04-21 1072
探索美团爬虫项目:智能数据抓取的新篇章 项目地址:https://gitcode.com/HANKAIluo/Meituan-spider 项目简介 在大数据时代,信息的获取速度和质量往往是竞争优势的关键。HANKAIluo/Meituan-spider 是一个开源的Python项目,旨在自动化地从美团网站抓取各类商品、服务信息,帮助研究人员、数据分析爱好者或营销人员获取实时的市场数据。 技术分析...
【2023-03-10】JS逆向之美团滑块
骑毛驴的猴的博客
03-10 6662
目标网站:aHR0cHM6Ly9wYXNzcG9ydC5tZWl0dWFuLmNvbS9hY2NvdW50L3VuaXRpdmVsb2dpbg==最后看下成果吧,基本是全过的。
美团滑块(1-18,js逆向)
weixin_44772112的博客
01-18 5361
某团滑块分析
如何快速学会在github 上创建一个项目
11-22 200
关注微信号:javalearns   随时随地学Java 或扫一扫 随时随地学Java step1:  github 创建一个账号 step2:  new repositories 用来放项目的 step3:  检查你电脑是否已经有 SSH key $ cd ~/.ssh $ ls step4:
美团iOS逆向工程分析
qq_43739446的博客
12-28 2605
Tech:美团iOS逆向工程分析 by ChenQi 《Tech:美团Android逆向工程分析》,九个月前曾经对美团Android App做过一次简单拆包分析,主要是了解美团MRN工程结构的实现,以及观察各业务线的模块设计划分和代码量占比情况。并未具体分析源码逻辑实现。 最近QIN同学对美团iOS App做了一次更加详细的逆向分析。 [转载] 原地址:https://chenqi.app/Meituan-iOS-Reverse-Engineering/ 原作者:ChenQi 静态分析 美团App i
spring mvc实现登录账号单浏览器登录
08-30
Spring MVC 实现登录账号单浏览器登录 Spring MVC 是一个基于 Java 语言的web 应用程序框架,它提供了一种灵活的方式来创建 Web 应用程序。今天,我们将详细介绍如何使用 Spring MVC 实现登录账号单浏览器登录。 ...
tp5框架使用cookie加密算法实现登录功能示例
10-15
在这个示例中,我们将探讨如何利用tp5框架和cookie加密算法实现登录功能,确保用户数据的安全。 首先,我们来理解为什么需要对cookie进行加密。Cookie是服务器发送到用户浏览器并存储的一小块数据,通常用来存储...
Android数据传输中的参数加密代码示例
08-28
本文将深入探讨如何在Android中实现数据传输的参数加密,以确保数据在传输过程中的安全性。 首先,我们要明白数据传输的方式通常有两种:GET和POST。GET请求常用于获取数据,而POST请求更适合提交数据。然而,无论...
PHP 加密 Password Hashing API基础知识点
10-15
在本篇文章里小编给大家分享的是一篇关于PHP 加密 Password Hashing API基础知识点,有兴趣的朋友们可以学习下。
数据库密码配置加密操作步骤.doc
07-15
其中,input 是需要加密的字符串,password 是需要对 input 字符串加密的密码,例如铁塔的统一使用 ahtt,algorithm 是算法,写死即可。 然后,将上一步 output 中的加密密码替换系统中数据库的明文密码。例如,在 ...
Android 登录密码信息进行RSA加密示例
01-05
首先 有服务端生产一对公钥和私钥 我们在进行加密之前,先从服务器获取公钥,获取到公钥串之后,在对密码进行加密。 代码如下: map.put(“password”, new String(Hex.encodeHex(RSAUtils.encryptByPublicKey...
Android制作登录页面并且记住账号密码功能的实现代码
08-19
要实现自动填充账号密码功能,我们需要在登录页面中添加一个自动填充的逻辑。在这里,我们可以使用 SharedPreferences 来获取用户的账号和密码信息,然后将其填充到 EditText 中: ```java SharedPreferences ...
MD5实现注册登录加密
12-14
5. **MD5在Web开发中的应用**:除了用户密码加密,MD5还常用于文件校验、防止篡改,比如在下载文件时,服务器会提供文件的MD5值,用户下载完成后可以通过计算本地文件的MD5值来确认文件的完整性和未被篡改。...
h5调用指纹识别_FingerprintJS - 在浏览器端实现指纹识别
weixin_39880301的博客
12-22 2781
FingerprintJS 是一个快速的浏览器指纹库,纯JavaScript实现,没有依赖关系。默认情况下,使用 Murmur Hash 算法返回一个32位整数。Hash 函数可以很容易地更换。什么是指纹识别FingerPrint 即我们常说的指纹识别,使用手指和拇指前端的纹理按下的纹印来鉴定身份。指纹是鉴别身份的一种可靠的方法,因为每个人的每个指头上的纹理排列各不相同而且不因发育或年龄而改变。什...
BASE64加密解密问题
热门推荐
weixin_49869226的博客
10-25 2万+
BASE64加密解密问题 问题点:base64解密用base64加密的字符串,没有拿到正确的原字符串 1.原支付链接: https://yimafu.yeepay.com/ymf-pay/qrPay/index?qr=4AZZPEEO&id=YM111000182021071915551745105&ct=1626681317&sg=EE308A7ACD1C91656E768BD300F08ABA 2.使用base64加密支付链接,得到的最后结果是: aHR0cHM6Ly95aW1h
美团外卖手机网页版数据加密解析
huplion的专栏
08-01 5356
这个是美团手机网页端数据交互的一部分内容,可以看到data数据已经被加密了{ "code":0, "data":'}$jcuacevkxkv{$<hcnug.$rcigakpfgz$<2.$rcigauk|g$<42.$rqkajcuapgzvarcig$<vtwg.$rqkavqvcnapwo$<742.$rqknkuv$<]}$cetquuadqqmaoczafc{u$<3.$cetquua_
uniapp小程序登录账号密码逻辑代码
05-31
以下是一个简单的uniapp小程序登录逻辑代码示例: 前端页面代码: ``` <template> <div class="login-page"> <form class="login-form" @submit.prevent="login"> <input type="text" v-model="username" placeholder="请输入用户名"> <input type="password" v-model="password" placeholder="请输入密码"> <button type="submit">登录</button> </form> </div> </template> <script> export default { data() { return { username: '', password: '' } }, methods: { async login() { const res = await uni.request({ url: '/api/login', method: 'POST', data: { username: this.username, password: this.password } }) if (res.statusCode === 200 && res.data.code === 0) { uni.setStorageSync('token', res.data.token) uni.navigateTo({url: '/pages/home/home'}) } else { uni.showToast({title: '登录失败!', icon: 'none'}) } } } } </script> ``` 后端接口代码: ``` const express = require('express') const bodyParser = require('body-parser') const jwt = require('jsonwebtoken') const app = express() // 解析请求体 app.use(bodyParser.json()) // 模拟用户信息 const users = [ {username: 'admin', password: '123456'} ] // 登录接口 app.post('/api/login', (req, res) => { const {username, password} = req.body const user = users.find(u => u.username === username && u.password === password) if (user) { const token = jwt.sign({username}, 'secret', {expiresIn: '1h'}) res.json({ code: 0, msg: '登录成功', token }) } else { res.json({ code: -1, msg: '用户名或密码错误' }) } }) app.listen(3000, () => { console.log('Server is running at http://localhost:3000') }) ``` 上述代码中,前端页面代码中的login方法会将用户名和密码信息通过POST请求发送给后端的/api/login接口进行验证,如果验证通过,则后端会生成一个Token并返回给前端,前端保存Token到本地存储,并跳转到指定的页面。后续的请求会在请求头中携带Token进行验证。需要注意的是,Token的生成和验证需要借助第三方库,如jsonwebtoken。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

AJackpot

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值