某APP之---协议登录---获取登录之后的校验参数

已于 2023-07-18 16:16:00 修改
阅读量220 收藏
点赞数
分类专栏: python web逆向 android 文章标签: python web安全 android
于 2023-07-18 16:11:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45171937/article/details/131789348
版权
python 同时被 3 个专栏收录
27 篇文章 0 订阅
订阅专栏
web逆向
8 篇文章 0 订阅
订阅专栏
android
4 篇文章 0 订阅
订阅专栏

抓包

POST /******/auth/login-v3 HTTP/1.1
Host: ******.com
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Ahs-App-Id: 10002
Ahs-Once-Token: MTAwNTcwYzYyODhkM******MzJiOGUyNDIuMTY4MTIwOTU0Mzg2MTIxOTMyOA==
Ahs-Sign2: 8b6203f******39609a11dc86
Ahs-Timestamp: 1689666562143
Ahs-Token: 
Cache-Control: no-cache
Connection: keep-alive
Content-Type: application/json;charset=UTF-8
Origin: https://m.******.com
Pragma: no-cache
Referer: https://m.******.com/
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1 Edg/114.0.0.0
X-Requested-With: axios

{"apor":"******","password":"******","sensors":{"cityId":"31","sourcePlatform":"web_m","sourceAppName":"official","originalPlatform":"web_m","utmAhs":"","distinctId":"******","abtest":"sousu***lei:a;***:a;***:a"}}

从上述抓包情况我们可以看到,加密参数Ahs-Once-TokenAhs-Sign2aporpassword

参数 aporpassword

很明显就是我们需要的账号和密码的加密,这里我直接从APP端拿的,就不多讲了;接下来我们直接说Ahs-Once-TokenAhs-Sign2

Ahs-Sign2参数加密

在这里插入图片描述

在这里插入图片描述
很明显看到这个Ahs-Sign2参数的加密,至于那个c()函数,有兴趣的可以点进去看看,本人根据结果推测出来的,就一个MD5,当然那个函数也是个标准的md5。

Ahs-Once-Token参数加密

在这里插入图片描述
在这里插入图片描述
这联系上下文一看,不是协议获取的么,Soga,原来如此,有兴趣的可以抓包尝试一下能不能抓到,讲解就到这里了,顺手把里边一个小的加密参数都给标出来的

注:
如有侵权,请联系本人删除,纯属个人爱好,希望各位大佬多多指点…

༒࿈十三༙྇࿈༒
关注
专栏目录
手机蓝牙连接HC-08蓝牙模块源码.rar
12-27
同时,对于 HC-08 模块的使用,也加深了对其工作原理的理解,例如如何配置波特率、校验位等参数,以确保与手机的有效通信。 总的来说,这份源码提供了一个很好的学习样本,无论是对于手机蓝牙功能的开发,还是对HC-...
某运动APP登录协议分析
q2919761440的博客
08-10 375
最近在尝试逆向方向相关的探索,针对某款运动APP登录协议进行了分析,此文记录一下分析过程与结果,仅供学习研究,使用的工具较少,内容也比较简单,新手项,大佬请跳过。针对密码登录模块进行分析,随便输入一个手机号与密码,后续使用抓包工具分析,针对登录协议的几个字段从学习角度还是值得看下实现逻辑的。
SpringBoot实现登录校验验证码
最新发布
codexiaoke的博客
10-21 1397
在开发Web应用程序时,用户登录功能是一个常见的需求。为了增加安全性,我们可以引入验证码来进行登录校验。生成了一个算术类型的验证码图片,并将验证码结果存储在Redis中,设置过期时间为60秒。同时,生成一个UUID作为验证码的key,并将验证码图片和key封装到。如果验证码不存在或者验证失败,则返回相应的错误信息。最后,删除已经验证成功的验证码,并返回登录成功的消息。服务层,首先根据用户名获取用户信息,然后判断用户名和密码是否匹配。编写控制器,这里有两个方法,获取验证码,我们使用。对象中,返回给前端。
springboot登录验证
qq_67124455的博客
05-06 5046
springboot登录校验
SpringBoot---登录校验
m0_62486174的博客
08-05 1710
● 该浏览器在后续的请求中,每一次请求都会将该令牌携带到服务端,然后接下来在服务端,我们可以通过Filter或Interceptor对所有的请求进行拦截,然后进行校验获取到请求中携带过来的令牌,进行判断,如果令牌正确合法,则放行,如果令牌不合法,则直接返回错误信息给前端,前端跳转到登录页面。如果查询到的用户不存在,则说明用户输入的用户名和密码错误。中的信息,如果有登录成功的信息,就说明用户登录成功,放行请求,如果发现登录标记中没有登录成功的标记,则给前端返回错误信息,跳转至登录页面。
http抓包工具及协议登录技巧讲解
平凡者的专栏
05-19 9183
chrome DevTools F12快捷键 chrome开发者工具 五个重要的面板 Network面板 查看网络请求,比如post,get,请求头,资源等返回都可以在这里查看 method:一般都是GET或者POST, Initiator:查看这个方法是哪里执行过来的 Cookies:查看请求的cookies,和请求后cookies比较,大概能知道每个cookie...
电子-SD卡读写模拟时序.zip
09-05
2. 识别与设置:主机通过CMD55(APP_CMD)和ACMD41(SD_SEND_OP_COND)命令获取SD卡的版本信息及电压范围,然后设置卡的工作模式。 3. 寻址:在读写操作前,必须先通过CMD16(SET_BLOCKLEN)设定块长度,通常是512...
HY-10R204C低功耗蓝牙透传规格书
10-17
#### 四、蓝牙协议APP接口) ##### BLE模组UUID说明 详细解释了模组使用的UUID以及如何进行配置。 ##### APP指令操作说明 介绍了如何通过APP控制模块执行各种操作,如数据加密、透传数据发送等。 #### 五、工具...
易语言-爱回收APP加密发送验证码登录例子
06-26
在这个"易语言-爱回收APP加密发送验证码登录例子"中,我们将探讨如何使用易语言来实现类似爱回收APP的网络通信功能,特别是涉及到的加密和验证码验证的环节。 首先,我们要理解网络通信的基本原理。在APP登录过程中...
登录协议介绍以及解决方案
CutelittleBo的博客
11-17 1752
什么是OAuth 2.0 简答:OAuth 2.0是一个协议,类似于一种规则,一种解决方案,最常见的就是第三方授权登录应用了。 参考:阮一峰-理解OAuth 2.0 什么是SSO,什么是CAS 简答:SSO 仅仅是一种架构,一种设计,而CAS 则是实现SSO 的一种手段。 两者是抽象与具体的关系。 参考:SSO 与 CAS 知识 分布式单点登录解决方案 链接:单点登录解决方案 ...
单点登录常用协议原理和流程
小安安
09-12 1586
单点登录常用协议原理和流程
python-js逆向之模拟登陆fiveEight同City-RSA加密分析
qq_42748190的博客
04-30 401
目标网站:aHR0cHM6Ly9wYXNzcG9ydC41OC5jb20vbG9naW4= 话不多直接开干....................... 1.很明显password被加密了,finger2是浏览器指纹,经过多次调试发现大多是都是固定的,so全局搜索password,发现选项很多,放弃放弃,再选一个就搜isremember吧,不错,就一个,点击进入,再在文内搜索isrememb...
APP登陆协议的分析
csky的博客
07-03 5376
1、前言最近暴雨不断,只能宅在家里,闲来无事,写写文章2、整体分析通过抓包工具,简单看看登陆封包内容,如下: 其中密码为123456 登陆,封包如下: 居然是明文传输密码和账号,不止如此,传输居然采用http,看到这,这款企业级的app安全性,可以想象,根本毫无安全可言。另外,可以看到封包最后有个签名sign,如果我们把sign算法搞定,那岂不是,可以写自动注册机了。3、登陆签名算法分析搜索”
3.登录协议Tcp-IPHTTPS
只影的博客
05-18 999
登录和授权的区别 登录:身份认证,确认【你是你】的过程 授权:由身份或持有的令牌确认享有某些权限(例如获取用户信息)。登录实质上的目地也是为了确认权限 在实际的应用中,多数场景下“登录”和“授权”界限是模糊的 HTTP 中确认授权的两种方式 通过Cookie 通过Authorization Header Cookie 起源:“购物车”功能的需求,由Netscape 浏览器的开发团队打造 工作机制 服务器需要客户端保存的内容,放在Set-CookieHeader里返回,客户端会自动保存
SSH登录详解
weixin_30505485的博客
03-13 635
SSH(SecureShell),是建立在应用层基础上的安全协议,其SSH客户端适用于多种平台,可以有效防止远程管理过程中的信息泄露问题。 1.SSH发展历史 SSH1.x SSH是1995年由芬兰赫尔辛基大学研究员Tatu Ylönen提出用于替代Telnet等非安全协议的远程Shell协议。SSH1.x通过CRC-32避免数据被篡改,后来逐步演化为私有软件。 SSH...
四种常见的登录方案
Carol的小星球
07-08 9338
1.Cookie + Session 登录 HTTP 是一种无状态的协议,客户端每次发送请求时,首先要和服务器端建立一个连接,在请求完成后又会断开这个连接。这种方式可以节省传输时占用的连接资源,但同时也存在一个问题:每次请求都是独立的,服务器端无法判断本次请求和上一次请求是否来自同一个用户,进而也就无法判断用户的登录状态。 为了解决 HTTP 无状态的问题,Lou Montulli 在 1994 年的时候,推出了 Cookie。 Cookie 是服务器端发送给客户端的一段特殊信息,这些信息以文本的方式存放在
HTTP协议以及登录案例(学习笔记)
programmer_trip的博客
03-29 1826
HTTP: 概念:Hyper Text Transfer protocol 超文本传输协议 传输协议:定义了客户端和服务器端通信时,发送数据的格式 特点: ①基于TCP/IP的高级协议:是安全的,TCP三次握手和四次挥手 ②默认端口号:80 ③基于请求/相应模型的:一次请求对应一次相应 ④无状态的:每次请求之间相互独立,不能交互数据 历史版本: ①1.0:每发送一次请求都会建立新的连接 ② 1.1:复用连接,每次发送请求后会等一段时间,在这段时间内再次发送请求,就会复用刚才建立的连接,否则就会关闭连接
2022最新QQ协议登陆,QQ密码加密源代码
leeve000的专栏
01-01 5710
下载源码直接可用
Virtex-5 FPGA实现DDR2 SDRAM接口技术详解
"FPGA与DDR2接口设计应用指南(XAPP858 v1.0),由Xilinx公司在2006年发布,主要探讨如何利用Virtex™-5 FPGA的ISERDES和ODDR功能来实现高性能的DDR2 SDRAM接口。文档强调该设计是‘按原样’提供,不保证无侵权,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

༒࿈十三༙྇࿈༒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值