阿里227滑块分析

于 2024-08-16 11:02:59 发布
阅读量513 收藏 5
点赞数 7
分类专栏: JS逆向 爬虫项目 web验证码和盾 文章标签: 爬虫 网络爬虫 python node.js
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yinyunan1210/article/details/141253769
版权

最近做hkexpress出票时,遇到了阿里的验证码,界面看上去挺简单,逆向起来还挺麻烦,这里简单记录下步骤和注意点。

滑块类型/版本识别

一般情况下,通过界面看滑块的风格,基本能判断出是否为阿里滑块,如下图:

若外观无法分辨,可从F12里如果能看到fireyejs.js文件的话,基本就是阿里滑块了。

抓包分析

访问页面:滑动验证页面

关键请求:https://cf-app-waf.cfc.aliyuncs.com/nocaptcha/analyze.jsonp?

需要对n参数进行逆向,n主要包含了鼠标移动等事件数据。

逆向分析

首先,对mousedown事件打断点,如下图:

刷新页面后,对代码进行跟踪,尤其是mousemove结束后,可看到最终会到这里:

                var a = {
                    a: e.appkey,
                    t: e.token,
                    n: o.__fy.getFYToken(o.__fy_options),
                    p: c.obj2str(n),
                    scene: e.scene || "",
                    asyn: 0,
                    lang: e.language,
                    v: p.jsv
                };

此处就是发送验证请求的地方,此时在控制台,执行 o.__fy.getFYToken(o.__fy_options) 就可以得到加密参数。

香橼数据
关注
专栏目录
阿里滑块验证码版本227破解(1)
htia的专栏
12-26 2733
阿里滑块 227版本 破解
阿里滑块验证码版本227破解(2)
htia的专栏
12-26 2883
手动破解227版本的验证码是可行的,但是如果阿里每三个月更新一个版本,手动破解劳心费力。所以应该考虑自动破解。在fireyejs.js 文件中,o是一个功能,例如o=25是初始化,会发布几个对外函数,下面是o=30,o=25,o=40时提取的代码,粗糙,有大神可以一起合作,实现每次阿里更新版本,程序2小时内生成最新的破解代码。根据当前的li就可以确定一个很小的代码块,再根据li的赋值结果,就可以确定当前li运行后的精确代码,
阿里滑块验证码版本227版本破解(3)
htia的专栏
12-26 3718
这是一个手动分析记录,考虑到这样的操作劳心费力,所以改成程序自动破解。故本文档不完整,分享给兄弟们作为参考,其中的破解代码已经验证过,可以直接拷贝粘贴用。
饿了么bxet 分析
ff2766958292的博客
08-04 655
bx_et、补环境、js逆向、饿了么
【ali滑块227逆向思路分享
weixin_44862184的博客
12-22 6266
最近某里滑块更新到了227版本,借此机会简单分享下逆向思路。(水文一篇)
阿里滑块
m0_66450544的博客
01-11 7326
通过观察我们可以发现他代码的主要逻辑全都在这个循环之内,并且最后执行的语句由 31 & Ct ,bt ,St 这三个值控制,并且这三个值都能由Ct 计算得出,所以我们保存下Ct就相当于保存了代码的执行流程。这里我是选择用ast解析出每一个Ct对应的语句保存下来然后再根据浏览器中保存的Ct来还原出代码的执行流程。然后我们再找到循环开始之前初始化的部分就可以还原出最外层的加密函数了。我们发现这里是个循环,看见循环,我们就大概率认为这里是加密算法。Qo是我们需要的字符串,然后观察我们还原出来的代码。
前程无忧 阿里227滑块 分析
最新发布
ff2766958292的博客
08-12 1045
前程无忧,227滑块,sign,227
阿里227滑块记录
weixin_44110940的博客
07-03 1082
最近在研究阿里滑块的逆向,当访问接口速度过快或者频繁的时候就会出现这时候需要需要把验证过了才能继续请求。在网上搜罗了一圈,大概的解决思路就是通过还原出算法,用协议去请求滑块的接口,拿到验证成功后的x5sec放到业务接口去请求才行但是这个方法需要的时间和成本比较高,有没有什么通用的解决思路呢?继续研究发现可以通过自动化框架来完成这一操作。
阿里227滑块js逆向记录
2201_75967105的博客
01-25 5708
最后n值的生成是最关键的,也是最难的部分。我们可以看到这个接口总共有5个参数slidedata、x5secdata、ppt、landscape、ts、v值组成,其中ts为当前时间戳,其他几个参数基本上可以固定,可以由其他接口返回,主要看的是slidedata这个参数。所以鼠标轨迹list要构建好,通过addEventListener将鼠标事件导出,for循环传入鼠标事件参数。只要你补环境到位了,生成的227长度也差不多,最后再构建请求返回成功得到x5sec值,就大功告成!p值我们可以固定,也可以手动生成。
易语言 阿里滑块验证 接口 dll接口 http接口
10-22
易语言 阿里滑块验证 接口 dll接口 http接口
易语言 阿里滑块验证 接口 dll接口 http接口.rar
07-11
易语言 阿里滑块验证 接口 dll接口 http接口
易语言过阿里X82YX5SEC滑块UA算法例子2022.6.3
06-03
开发者可能通过分析阿里滑块验证的网络请求和响应,理解其工作原理,并利用易语言实现相应的模拟过程。 "客户端-1.6.exe" 可能是一个辅助工具或者整个验证解决方案的执行程序,用于与目标网站交互,执行滑块验证的...
阿里滑块通杀X82YX5SECua算法方法python例子.zip
09-04
阿里滑块通杀X82YX5SECua算法是一种针对阿里云滑动验证的破解技术,主要应用于自动化测试和安全研究。这个Python实现的例子旨在帮助开发者理解和应对这种类型的滑动验证码,确保程序能够顺利通过验证。以下是相关...
python阿里X82YX5SEC滑块UA算法例子2022.6.3
06-03
这个压缩包中的内容似乎涉及了通过Python来绕过阿里巴巴(阿里)的一种特定滑块验证码——X82YX5SEC。 滑块验证码是一种防止机器人和自动化程序滥用服务的安全机制,通常要求用户手动拖动滑块完成拼图。这种验证码...
逆向实战30——阿里227逆向分析
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
02-22 4534
这里就搞出来了。具体补环境教程。已经放到星球里了(插一句题外话。下个月星球涨一波价格。要加的赶紧加。毕竟也搞了大半天。确实自己一个人研究有点费力。详细文章如下:这里轨迹的话。我自己也没研究个明白。研究明白再水一篇。只能说搞得这个贝塞尔曲线。普通的227还是随便过的。至于说淘宝的x5sec 成功率有点感人。公众号链接星球链接。
阿里227分析
moxiangyi233的博客
04-09 1214
【代码】阿里227分析
阿里227x82y纯算篇
weixin_44697518的博客
06-30 792
本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除!然后多层switch转一层,虚假节点去除,控制流还原,字符串引用替换,递归函数解密,函数分割等等一切操作之后。对了,每个数组的加密都与之前的数组有关系,最后魔改base64加密,拼接227在前即可完成!补环境: 早几个月就搞定了,缺啥补啥即可,补的太多了,随便拿出去别的站都可以过。发现很多三目表达式--->if-else结构。
matlab曲柄滑块运动分析
09-11
Matlab曲柄滑块运动分析是通过使用Solidworks分析法和Matlab编程来进行的。首先,使用Solidworks进行分析,可以得到滑块加速度的表达式。滑块加速度公式为aC = μapc,其中aC表示滑块的加速度,μa表示滑块的摩擦系数,pc表示滑块的压力力矩。 接下来,使用Matlab编程来绘制滑块的位移曲线和加速度分析。使用plot函数可以绘制滑块的位移曲线。plot函数的语法为plot(X,Y),其中X表示自变量,Y表示因变量。可以根据具体的问题和数据进行调整。 在代码相关部分,可以使用代码来进行曲柄滑块运动分析。根据具体的问题,可以定义相应的变量和方程。例如,可以定义矩阵A和向量B表示关于x的线性方程组,并使用‘\’求解x的值。然后可以通过计算得出滑块的角速度和线速度。 综上所述,Matlab曲柄滑块运动分析需要使用Solidworks分析法得到滑块加速度的表达式,并使用Matlab编程进行绘图和计算。根据具体的问题和数据,可以进行相应的调整和计算。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值