京喜拼拼微信小程序-signStr参数加密

最新推荐文章于 2022-08-17 19:05:21 发布
最新推荐文章于 2022-08-17 19:05:21 发布
阅读量1.7k 收藏 3
点赞数 3
分类专栏: 微信小程序逆向 文章标签: 微信小程序 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45171937/article/details/122976756
版权

调试api:

https://api.m.jd.com/api?functionId=jxpp.category.catePageRpc.cateSkuFetch&appid=jxpp_miniprogram&t=1644911845668&loginType=undefined&loginWQBiz=&body=%7B%22fcId%22%3A2007398%2C%22pageIndex%22%3A1%2C%22pageSize%22%3A30%2C%22pvId%22%3A%22%22%2C%22page%22%3A1%2C%22buid%22%3A325%2C%22time%22%3A1644911845670%2C%22signStr%22%3A%22577f68c10d74faafa9a244c066c7f852%22%7D&channel=wxappjxpp&cv=9.2.140&clientVersion=9.2.140&client=wxappjxpp&uuid=d7277ece-e75e-b7ba-2792-6438b74dc1c427fa

程序:微信小程序

下载地址:京喜拼拼微信小程序解包-其它文档类资源-CSDN下载

一、首先分析URL

  1. functionId大概是函数名字,调用的函数类什么的
  2. appid 看参数顾名思义,就是给JXPP小程序调用的
  3. loginType 与登录有关
  4. time 调用时间-时间戳
  5. body [time]时间,加密参数-signStr
  6. 加密参数-uuid

二、反编译小程序(主要看signStr参数)

 追进去我们可以看到

{
            key: "dealParams",
            value: function(e) {
                var t = {
                    signKey: "kjylzdcg",
                    data: {
                        channel: d["a"].getClient(),
                        cv: d["a"].getVersion(),
                        clientVersion: d["a"].getVersion(),
                        client: d["a"].getClient(),
                        uuid: Object(B["d"])().uuid
                    }
                };
                e.body = e.body || {}, "undefined" == typeof e.body["buid"] && (e.body["buid"] = d["a"].getBusinessId()), 
                e && Object.assign(t, e), Object.assign(t.body, {
                    time: new Date().getTime()
                });
                var a = t.body || "";
                "string" != typeof a && (a = JSON.stringify(a));
                var n, i = this.getSignString(a);
                return e.body.signStr = i, n = Object.assign({}, t.data, e), n;
            }
        }, {
            key: "getSignString",
            value: function(e) {
                e = JSON.parse(e);
                var t = this.orderByAscII(e), a = this.getParamsValue(t);
                a = a.toString();
                var n = A.md5(a, "xtl_sqg_mall-^&*-damai_(789)_@#$");
                return n;
            }
        }

从上边代码中我们可以看到e.body.signStr = i,而i = this.getSignString(a),所以加密函数就在getSignString里边

这里我们直接扣代码,补缺失参数

function getSignString(e) {
    e = JSON.parse(e);
    var t = orderByAscII(e), a = getParamsValue(t);
    console.log('a>>>>',a)
    console.log('t>>>>',t)
    a = a.toString();
    var n = A.md5(a, "xtl_sqg_mall-^&*-damai_(789)_@#$");
    return n;
};


function orderByAscII(e) {
    var t = [], a = 0;
    for (var n in e) t[a] = n, a++;
    var i = t.sort(), r = {};
    for (var o in i) r[i[o]] = e[i[o]];
    return r;
};

function getParamsValue(e) {
    var t = "";
    for (var a in e) {
        var n = e[a];
        n instanceof Object && (n = JSON.stringify(n)), void 0 != n && null != n && ("number" === typeof n || "boolean" === typeof n || "" != n ? t += "&" + n : console.log("---key---,----value----", a, n));
    }
    return t = t.substring(1, t.length), t;
};


var A = {
    md5: w,
    genGuid: P
};

function w(e, t, a) {
    return t ? a ? N(t, e) : I(t, e) : a ? C(e) : S(e);
};

function T() {
    return (65536 * (1 + Math.random()) | 0).toString(16).substring(1);
};

function P() {
    return [T() + T(), T(), T(), T(), T() + T() + T() + T()].join("-");
};

function C(e) {
    return x(k(e));
};

function S(e) {
    return j(C(e));
};

function N(e, t) {
    return _(k(e), k(t));
};

function I(e, t) {
    return j(N(e, t));
};

function _(e, t) {
    var a, n = E(e), i = [], r = [];
    for (i[15] = r[15] = void 0, n.length > 16 && (n = O(n, 8 * e.length)), a = 0; a < 16; a += 1) i[a] = 909522486 ^ n[a],
        r[a] = 1549556828 ^ n[a];
    var o = O(i.concat(E(t)), 512 + 8 * t.length);
    return y(O(r.concat(o), 640));
};

function j(e) {
    var t, a, n = "0123456789abcdef", i = "";
    for (a = 0; a < e.length; a += 1) t = e.charCodeAt(a), i += n.charAt(t >>> 4 & 15) + n.charAt(15 & t);
    return i;
};


function k(e) {
    return unescape(encodeURIComponent(e));
};

function E(e) {
    var t, a = [];
    for (a[(e.length >> 2) - 1] = void 0, t = 0; t < a.length; t += 1) a[t] = 0;
    var n = 8 * e.length;
    for (t = 0; t < n; t += 8) a[t >> 5] |= (255 & e.charCodeAt(t / 8)) << t % 32;
    return a;
};

function O(e, t) {
    var a, n, i, r, o;
    e[t >> 5] |= 128 << t % 32, e[14 + (t + 64 >>> 9 << 4)] = t;
    var c = 1732584193, s = -271733879, u = -1732584194, l = 271733878;
    for (a = 0; a < e.length; a += 16) n = c, i = s, r = u, o = l, c = g(c, s, u, l, e[a], 7, -680876936),
        l = g(l, c, s, u, e[a + 1], 12, -389564586), u = g(u, l, c, s, e[a + 2], 17, 606105819),
        s = g(s, u, l, c, e[a + 3], 22, -1044525330), c = g(c, s, u, l, e[a + 4], 7, -176418897),
        l = g(l, c, s, u, e[a + 5], 12, 1200080426), u = g(u, l, c, s, e[a + 6], 17, -1473231341),
        s = g(s, u, l, c, e[a + 7], 22, -45705983), c = g(c, s, u, l, e[a + 8], 7, 1770035416),
        l = g(l, c, s, u, e[a + 9], 12, -1958414417), u = g(u, l, c, s, e[a + 10], 17, -42063),
        s = g(s, u, l, c, e[a + 11], 22, -1990404162), c = g(c, s, u, l, e[a + 12], 7, 1804603682),
        l = g(l, c, s, u, e[a + 13], 12, -40341101), u = g(u, l, c, s, e[a + 14], 17, -1502002290),
        s = g(s, u, l, c, e[a + 15], 22, 1236535329), c = h(c, s, u, l, e[a + 1], 5, -165796510),
        l = h(l, c, s, u, e[a + 6], 9, -1069501632), u = h(u, l, c, s, e[a + 11], 14, 643717713),
        s = h(s, u, l, c, e[a], 20, -373897302), c = h(c, s, u, l, e[a + 5], 5, -701558691),
        l = h(l, c, s, u, e[a + 10], 9, 38016083), u = h(u, l, c, s, e[a + 15], 14, -660478335),
        s = h(s, u, l, c, e[a + 4], 20, -405537848), c = h(c, s, u, l, e[a + 9], 5, 568446438),
        l = h(l, c, s, u, e[a + 14], 9, -1019803690), u = h(u, l, c, s, e[a + 3], 14, -187363961),
        s = h(s, u, l, c, e[a + 8], 20, 1163531501), c = h(c, s, u, l, e[a + 13], 5, -1444681467),
        l = h(l, c, s, u, e[a + 2], 9, -51403784), u = h(u, l, c, s, e[a + 7], 14, 1735328473),
        s = h(s, u, l, c, e[a + 12], 20, -1926607734), c = v(c, s, u, l, e[a + 5], 4, -378558),
        l = v(l, c, s, u, e[a + 8], 11, -2022574463), u = v(u, l, c, s, e[a + 11], 16, 1839030562),
        s = v(s, u, l, c, e[a + 14], 23, -35309556), c = v(c, s, u, l, e[a + 1], 4, -1530992060),
        l = v(l, c, s, u, e[a + 4], 11, 1272893353), u = v(u, l, c, s, e[a + 7], 16, -155497632),
        s = v(s, u, l, c, e[a + 10], 23, -1094730640), c = v(c, s, u, l, e[a + 13], 4, 681279174),
        l = v(l, c, s, u, e[a], 11, -358537222), u = v(u, l, c, s, e[a + 3], 16, -722521979),
        s = v(s, u, l, c, e[a + 6], 23, 76029189), c = v(c, s, u, l, e[a + 9], 4, -640364487),
        l = v(l, c, s, u, e[a + 12], 11, -421815835), u = v(u, l, c, s, e[a + 15], 16, 530742520),
        s = v(s, u, l, c, e[a + 2], 23, -995338651), c = b(c, s, u, l, e[a], 6, -198630844),
        l = b(l, c, s, u, e[a + 7], 10, 1126891415), u = b(u, l, c, s, e[a + 14], 15, -1416354905),
        s = b(s, u, l, c, e[a + 5], 21, -57434055), c = b(c, s, u, l, e[a + 12], 6, 1700485571),
        l = b(l, c, s, u, e[a + 3], 10, -1894986606), u = b(u, l, c, s, e[a + 10], 15, -1051523),
        s = b(s, u, l, c, e[a + 1], 21, -2054922799), c = b(c, s, u, l, e[a + 8], 6, 1873313359),
        l = b(l, c, s, u, e[a + 15], 10, -30611744), u = b(u, l, c, s, e[a + 6], 15, -1560198380),
        s = b(s, u, l, c, e[a + 13], 21, 1309151649), c = b(c, s, u, l, e[a + 4], 6, -145523070),
        l = b(l, c, s, u, e[a + 11], 10, -1120210379), u = b(u, l, c, s, e[a + 2], 15, 718787259),
        s = b(s, u, l, c, e[a + 9], 21, -343485551), c = p(c, n), s = p(s, i), u = p(u, r),
        l = p(l, o);
    return [c, s, u, l];
};

function p(e, t) {
    var a = (65535 & e) + (65535 & t), n = (e >> 16) + (t >> 16) + (a >> 16);
    return n << 16 | 65535 & a;
};

function f(e, t) {
    return e << t | e >>> 32 - t;
};

function m(e, t, a, n, i, r) {
    return p(f(p(p(t, e), p(n, r)), i), a);
};

function g(e, t, a, n, i, r, o) {
    return m(t & a | ~t & n, e, t, i, r, o);
};

function h(e, t, a, n, i, r, o) {
    return m(t & n | a & ~n, e, t, i, r, o);
};

function v(e, t, a, n, i, r, o) {
    return m(t ^ a ^ n, e, t, i, r, o);
};

function b(e, t, a, n, i, r, o) {
    return m(a ^ (t | ~n), e, t, i, r, o);
};

function y(e) {
    var t, a = "", n = 32 * e.length;
    for (t = 0; t < n; t += 8) a += String.fromCharCode(e[t >> 5] >>> t % 32 & 255);
    return a;
};
mm = '{"fcId":2007398,"pageIndex":1,"pageSize":30,"pvId":"","page":1,"buid":325,"time":1644911845670}'

console.log(getSignString(mm))

输出结果:

 对比上边api里边signStr参数("signStr":"577f68c10d74faafa9a244c066c7f852"),完美输出

signStr参数解密就到这里,后续会更新翻译过来的Python代码。


 

༒࿈十三༙྇࿈༒
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 4
    评论
专栏目录
微信小程序开发中的数据加密和保护方法
m0_72166538的博客
04-19 459
在上面的代码中,我们使用了wx.setStorageSync方法将加密后的数据存储到本地,然后使用wx.getStorageSync方法获取存储的数据,并通过解密算法对数据进行解密。除了在数据传输过程中加密数据,我们还可以对数据进行加密后再进行存储,防止数据被非法访问和篡改。在微信小程序中进行数据传输时,为了保护数据的安全,我们可以采用HTTPS协议进行加密,确保数据在传输过程中不被截获和篡改。微信小程序开发中的数据加密和保护方法是非常重要的,它可以确保用户隐私的安全,并防止数据被恶意篡改和泄露。
autosign:自动签到微信小程序
05-13
autosign 自动签到微信小程序 抓取签到的请求后添加到CRON任务计划里让它自动执行,对我这种想要各种积分但是懒得或者忘记每天签到的人来说,确实方便了不少呢。 项目是自己做着玩的,顺便了解熟悉一下TP5框架和小程序的开发流程。 个人博客(不过几乎不更新):
某物小程序sign逆向-记录
weixin_41259961的博客
08-17 4186
这篇文章主要记录一下小程序的反编译过程和sign的逆向。
微信小程序签名(绝不黑屏)
qq_34631220的博客
08-12 593
微信小程序签名(绝不黑屏)
某WX小程序包签名生成
qq_40979337的博客
08-02 625
小程序反编译
京喜拼拼微信小程序解包
02-17
京喜拼拼微信小程序解包
小红书微信小程序X-Sign参数解密
02-24
小红书微信小程序X-Sign参数解密
微信小程序-微信小程序-豆瓣电影
08-06
微信小程序-豆瓣电影-测试案例 1、app.js 封装请求方式函数 fetchApi 2、app.json 配置文件(配置页面样式、多少页面、菜单按钮) 3、app.wxss 全局样式文件(定义页面的全局样式) 4、效果图 5、填入appid后保错...
微信小程序-毕设期末大作业】茶叶商城小程序(含后源码)
03-19
微信小程序-毕设期末大作业】茶叶商城小程序(含后源码).zip 【微信小程序-毕设期末大作业】茶叶商城小程序(含后源码).zip 【微信小程序-毕设期末大作业】茶叶商城小程序(含后源码).zip 【微信小程序-...
微信小程序-毕设期末大作业】微信小程序源码leantodu.zip
05-06
微信小程序-毕设期末大作业】微信小程序源码 【微信小程序-毕设期末大作业】微信小程序源码 【微信小程序-毕设期末大作业】微信小程序源码 【微信小程序-毕设期末大作业】微信小程序源码 【微信小程序-毕设期末大...
微信小程序-毕设期末大作业】云商城小程序(带php后源码).zip
03-19
微信小程序-毕设期末大作业】云商城小程序(带php后源码).zip 【微信小程序-毕设期末大作业】云商城小程序(带php后源码).zip 【微信小程序-毕设期末大作业】云商城小程序(带php后源码).zip 【微信小...
微信Sign签名生成代码
09-28
直接可以使用的工具类 生成微信公众号sign
贵高速小程序sign签名算法.e
03-31
贵高速URL中的sign签名算法,仅供学习参考,切勿用于非法用途。
微信小程序-毕设期末大作业】微信小程序源码小熊的日记.zip
05-06
微信小程序-毕设期末大作业】微信小程序源码 【微信小程序-毕设期末大作业】微信小程序源码 【微信小程序-毕设期末大作业】微信小程序源码 【微信小程序-毕设期末大作业】微信小程序源码 【微信小程序-毕设期末大...
某高速小程序获取sign
qianmang的博客
04-10 3838
1.准备工具 a) 已经root的Android手机 b) 电脑 c)抓包工具fiddler,自行百度下载 d)微信开发者工具,自行百度下载 e)node.js 我的是v14.16.1 f)WebStorm 最好下载一个配合微信开发者工具很好找代码 ,自行百度下载 2.分析 在小程序启动的时候抓包分析,发现有一个sign参数,在不登录帐号时,不同的时间,sign不变,就很可以猜想sign是本地生成的,因此只要反编译小程序就可以获知该算法。 3.反编译 查看小程序反编译. 4.定位关键代码 反
某路黔寻小程序sign
李玺
03-20 3595
某路黔寻小程序sign参数分析和生成。
小程序签名生成(二)
qq_40979337的博客
08-11 682
签名生成 纸老虎篇
惊喜拼拼小程序signStr算法
m0_59249728的博客
12-14 674
算法有点复杂直接扣的js,扣出来后一直不对,检查了半天原来是密钥和加密的内容搞反了,特此记录一下,以后不要犯同样的错误。
逆向某微信小程序参数签名算法
Zdelta
05-29 6370
获取微信小程序压缩包 某小程序请求中有sign参数,包含在url或header中..... 打开微信小程序时,微信会把小程序压缩包(后缀名.wxapkg)下载到本地; 从目录 /data/data/com.tencent.mm/MicroMsg/{数字串}/appbrand/pkg/ 找到目标小程序包(打开一下小程序,然后按时间排列方便查找) 反编译 反编译工具 反编译命令: node .\wuWxapkg.js 小程序包.wxapkg 执行完毕后同目录解压缩文件(小程序主包):
Taro开发微信小程序-用户授权手机号
最新发布
08-09
在Taro开发微信小程序中,如果你需要获取用户的手机号码,可以按照以下步骤进行操作: 1. 首先,确保在微信公众平台上已经设置了小程序获取用户手机号的权限。你可以在小程序管理后台的"开发-开发设置-接口设置"中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

༒࿈十三༙྇࿈༒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值