阿里V2缺口图-滑块验证码逆向分析思路学习

一、声明！       
 

原创文章，请勿转载！

        本文内容仅限于安全研究，不公开具体源码。维护网络安全，人人有责。       

        文章中所有内容仅供学习交流使用，不用于其他任何目的，均已做脱敏处理，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关。

        本文章未经许可禁止转载，禁止任何修改后二次传播，擅自使用本文讲解的技术而导致的任何意外，作者均不负责，若有侵权，请联系作者立即删除，请各位自觉遵守相关法律法规。

二、如何访问验证码

        验证码来源：某公众号的车辆预约

        地址：
        aHR0cHM6Ly9hcHAuYXBweWt0LmNvbS8jL3BhZ2VzL3Zpc3Rvci92aXN0b3JDP3BhcmtJZD0xMDE2MjYwNiZ0b2tlbj15b3VfdG9rZW4=

        访问方法：需要在公众号中复制出自己的token，然后粘贴到地址中就可以。

       

三、开始

        1.首先通过插件  User-Agent Switcher and Manager  将浏览器的默认User-Agent 修改为vx的UA才能够正常的拿到验证码（配置插件：Chrome浏览器更改默认User-Agent），如果没有配置vx的UA，会出现以下情况：

        2.接口分析

                接口的请求流程，与普通的V2差不多，都是四个接口，这里再过一遍。

               1、获取验证码接口

                2、提交第一次设备信息接口

                

                3、提交第二次设备信息接口

        

                4.校验验证码接口（这个网站是自己做的校验接口，而不是通过阿里的，这个接口的参数都是通过AES的ECB模式进行加密的，并且返回的密文也是可以通过AES进行解密）

        密文参数：

        解密后（可以看到verifyParam的参数与普通V2大差不差）：

        

3.接口参数，这篇有介绍：南方航空阿里v2滑块验证码逆向分析思路学习-CSDN博客

4.不同于普通的V2滑块的可能只有轨迹了：

       1.看得出多了两个参数：slidePos、xPos，第一个参数是滑块移动距离，第二个参数是缺口移动距离。

        2.至于其他的轨迹值处理也跟普通的V2差不多：

四、结果展示

创作不易求个赞再走~~~

学习交流QQ：450297392