某东h5st 3.x-4.x 本篇web端4.7的生成方式和逆向分享

最新推荐文章于 2024-07-14 22:37:14 发布
最新推荐文章于 2024-07-14 22:37:14 发布
阅读量1k 收藏 9
点赞数 7
文章标签: python 前端 爬虫 js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44256919/article/details/138803874
版权

前言

本文中所有的内容仅供学习交流,禁止非法用途和商业行为。产生的一切后果与本作者无关。如有雷同纯属巧合
4.7较前面的版本改动稍大,通过异步的方式生成了h5st。这个了解过的应该都可以看出来




分析

一、抓包确定逆向参数:


 


20240511183735521;n9nymytm9nzgi560;f06cc;tk03wd2fa1c6e18ngdwCQhaaNYwJTPKkU4ytIQpUkZQZmhiKoaCePnFs1NB6tAF4at3qOQPZqTg4t1mTdGjhN0BkL3BF;25c6def942eacddd361cfba03857d45f9ef8fdc3d3dc949f6cca164a5c1ae355;4.7;1715423855521;VObetImT8iQA5bTxHuBCom07Ee38InaCuPcMQFyqOwmNAQO2FR5gzpaB6xIVRV1TOGxTjsHfTK5jv8gCmsIO3iBM9wmFbL0m1vMQXs8GM_68GpEXh7Ma7x7yU4655SI1-k8nxVTKIjvSedr2xLbQDZU_tmkGEx42q7MNndF7XGkROVqFwUeyU7bo_8UspxJNq94kKBrF0GVG3h38xy-6DAmK2ZuYBrGzck41jA_ipK_cFOLbDC1xhg_XI1ZO_0R0GrGAxbg2OLDS8F6LF79QFsMNYuxZGrLHWOOAhqYmVGrQMIlUCuJSQ40_fnu65VzDJaKH2h0LGXjzyHsldLOCxhLNXhuSd2JXq9xuSiB-X8QiggE7nDk8PeheJO0dl8zjLad9Prk3hGJ0DQIeqffFGvzEemLTD52YgeDqWQHLXbk3

加密参数h5st 一共分为8个部分,以此是时间、指纹、appid(固定)、tk、加密参数、version、时间戳、浏览器+账号+指纹加密


不好意思插句话!!!!
 


此图中js为生成x-api-eid-token的地方,比较简单...


接下来接着分析8个参数
1、tk的生成方法
 


注意tk和algo一一对应的关系。
2、时间和时间戳是对应的,时间戳转换成时间格式yyyyMMddhhmmssSSS
3、指纹文中有生成的js代码,我没有随机,每个版本生成的指纹方式不同,但是网上看到说是随机可以,大家可以自己尝试
 


4、version是固定参数
5、加密参数是重头戏来了,在这个方法中生成了加密参数
代码大量使用了vmp,可以在call的地方进行调试,就可以找到生成地方
 

1)各个版本都一样 body是通过下图加密
 


2)上面algo进行字符串拼接加密,我研究了一个hmac的加密,其中对tk进行了处理,之前版本是直接使用的tk。又看了一个SHA256的字符串拼接加密,是在之前的本版上做了+salt的操作,具体细节没有做细细的研究,可以一起讨论!
3)拼接字符串:appid+body+client+clientVersion+functionId+t。当然这个地方相比较之前版本也做了+salt处理,最终生成加密参数

好了分享到这儿也基本上差不多了!感兴趣的朋友可以+Q 七五七五二四八二九!

低头抬头都不见
关注
  • 7
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
最新h5st4.7.4参数逆向分析与纯算法还原(含JS算法源码)
吴秋霖的博客
06-02 2691
最新h5st4.7.4小版本)参数分析与纯算法更新还原
iBiliPlayer-apinkRelease-7.45.0-b13011048-xqxz_h5.apk
09-19
iBiliPlayer-apinkRelease-7.45.0-b13011048-xqxz_h5.apk
京东支付PC&H5;接口文档(修改版)
08-12
京东支付PC&H5;接口文档(修改版),就修改了下路径,其它什么东西都没有修改,京东里边的文件藏得太深了.
某东逆向分析
m0_72605044的博客
11-25 1390
入口为:com.jingdong.common.utils.BitmapkitUtils.getSignFromJni。这里需要分析sign是怎么来的分别由那几个参数构成的,这里需要结合数据包的参数进行分析。打的反编译工具,我们发现这里有很多类,我们这边很难看出他走的是那个。
h5st 4.7.3 纯算分析
wangenjie1992的博客
06-17 986
某东视频发布h5st 4.7.3
某东web h5st 升级 4.7.2--> 4.7.3 参数算法还原 最新 20240616
weixin_44256919的博客
06-16 388
前言:本文中所有的内容仅供学习交流,禁止非法用途和商业行为。产生的一切后果与本作者无关。在4.7.2的基础上稍有变化,感兴趣的朋友可以加我交流!
本篇分享京东 h5st4.7.4的生成方式以及逆向的经验
kevinsir2003的博客
07-24 8135
h5st4.1算法生成逻辑
某东h5st 4.7 分析
m0_74085668的博客
06-08 1085
h5st 4.7 分析(学习参考)
某东h5st4.7 加密参数(二)
weixin_44256919的博客
05-20 850
采用的是aes+base64加密 和上面的expandParams采用的是一套逻辑。当然aes和base64都不是标准的格式。今天有时间看看上一篇没有说完的其他加密参数。在获取expandParams中的原始数据中有两个参数canvas和 webglFp生成位置。1、fp的生成,搜索关键词 fingerprint ,即可查看到生成位置。2、请求获取tk algo中参数expandParams,如下图。从此可以轻易的看出为aes加密,但是不是标准的aes加密。调试可以获取到参数expandParams。
某东最新h5st vmp协议纯算更新 h5st4.7.2版本
m0_58618019的博客
05-29 437
分享逆向经验 当然Cute老师 该文章主要讲解某东最新版h5s4.7.2版本 纯算 Vmp化纯算还原协议算法 逆向破解思路 算法剖析 手把手讲解,由浅入深 需要进一步学习可以 私 聊 辅导 定制爬虫软件,跟着Cute老师一步一步学会爬虫 辅导爬虫数据采集 协议分析!!!本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!!!
某东最新协议算法 -h5st 4.7.1 更新思路
m0_58618019的博客
05-03 1023
分享逆向经验 该文章主要讲解某东最新版h5s纯算 Vmp化纯算还原协议算法 逆向破解思路 算法剖析 手把手讲解,由浅入深 需要进一步学习可以 私 聊 辅导 定制爬虫软件,跟着Cute老师一步一步学会爬虫!!!本视频中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!!!多多支持,大佬们 一键三连多多投币!!!
web,及移动H5前端人脸识别所必须的tracking-min.js与face-min.js文件
09-27
web,及移动H5前端人脸识别所必须的tracking-min.js与face-min.js文件,在vue项目中新建assets文件夹,tracking-min.js与face-min.js文件解压到新建文件内,最后再.vue文件中引用。
taro3.x react redux await-async promise api 能运行的工程 h5/小程序_await与wait的区别
11-19
taro3.x react redux await-async promise api 能运行的工程h5/小程序
go-x:本库不再维护。移步https:github.comfananchonggo-xserver
02-05
go-x本库不再维护,请移步: : 编译Linux ./build.sh 视窗build.bat (build.bat中GOPATH是特殊路径,需要根据自己本地实际路径做修改)服务器运行Linux安装Kubernetes执行./build.sh 视窗本地安装redis hosts文件...
java-1.8.0-openjdk-1.8.0.242.b08-1.h5.ky10.aarch64.rpm
12-02
jsk1.8
京东h5st4.7逆向分析
K哥爬虫
05-13 2131
最近某东也是在不断的维护升级 h5st 参数, 原因就是逐渐VMP 化,现在已经到了4.7版本了,也相对稳定下来了,那我们就来分析分析。
某东登录接口(包含滑块 与 扣代码获取h5st 4.7.4)
最新发布
pppdo的博客
07-14 810
某东登录接口(包含滑块 与 扣代码获取h5st 4.7.4)
京东h5st和x-api-eid-token逆向分析
m0_72605044的博客
11-16 3356
e是之前的对象做了处理,body已经知道是sha256后结果,中间一串固定,最后是一个当前时间戳。接下来就是模拟生成算法了,这里我采用了纯算法,完全没必要扣js,毕竟一扣就是好几万行代码。经过测试发现对其检测并不是很严格,重点还是这个h5st这个参数,废话不多说直接来分析吧。这里我们找他的加密方法,发现他是由这个r方法进行加密这个h5st这个参数的。此时发现h5st已经生成了,向上跟栈查看哪里调用了该函数。首先先抓个包,分析他的参数,发现有一个h5st这样的参数。r是由这几个参数生成的。
cocos 3.x跑酷游戏源码 h5
11-25
Cocos 3.x跑酷游戏源码是一套基于Cocos引擎的跑酷游戏的源代码。Cocos引擎是一款非常流行的游戏开发引擎,它提供了强大的功能和易用性,使开发者能够快速创建高质量的游戏。 跑酷游戏是一种常见的游戏类型,玩家需要控制角色在一个无尽的场景中奔跑,并躲避各种障碍物和敌人。这种游戏通常具有简单的操作和快节奏的游戏体验,非常适合移动设备和H5平台。 Cocos 3.x跑酷游戏源码在H5平台中运行,意味着玩家可以在网页浏览器中直接访问和玩游戏,而不需要下载和安装任何额外的软件。这为游戏的传播和推广提供了更加便捷的方式。 这份源码包含了游戏的各个组件和功能,如角色控制、场景生成、敌人AI等。开发者可以根据自己的需求进行修改和定制,添加自己的创意和特色。 Cocos引擎提供了一套完整的开发工具和文档,使开发者能够轻松使用和理解源码。开发者可以根据自己的技术水平和时间安排,来开发自己的跑酷游戏,并进行测试和发布。 总之,Cocos 3.x跑酷游戏源码是一款基于Cocos引擎的跑酷游戏的源代码,适用于H5平台。它提供了丰富的功能和易用性,使开发者能够快速创建和定制自己的游戏。无论是业余爱好者还是专业开发者,都可以利用这份源码来开发自己的H5跑酷游戏。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值