某农网x-client-sign逆向及服务器的校验方法

已于 2024-04-26 19:40:32 修改
阅读量1.1k 收藏 15
点赞数 13
文章标签: python javascript
于 2024-04-19 17:01:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuangjoo/article/details/137964829
版权

作者声明:文章仅供学习交流与参考!严禁用于任何商业与非法用途!否则由此产生的一切后果均与作者无关!如有侵权,请联系作者本人进行删除!

目录

前言

一、定位逆向位置

二、扣代码构建生成sign函数

三、python调用

目标网址:'aHR0cHM6Ly93d3cuY25obmIuY29tL3N1cHBseS9zZWFyY2gv'

前言

        通过发包请求不难发现该网站所需逆向的点在头部,有四个参数, 'x-b3-traceid'、  'x-client-nonce'、 'x-client-sign'、 'x-client-time'。第一个跟一下会发现是可以写死的,第二个也可以写死,但是,服务器是用第二个和第四个生成的第三个,也是用这三者的关系进行校验的。另外第四个时间服务器也是单独校验的。因此重点就是第三个'x-client-sign'的生成。

一、定位逆向位置

        直接全局搜索x-client-sign的发现是搜不到的,所以我们就直接用油猴hook头部参数来进行跟栈。

// ==UserScript==
// @name         hookheader
// @namespace    http://tampermonkey.net/
// @version      0.1
// @description  try to take over the world!
// @author       You
// @match        *
// @icon         https://www.google.com/s2/favicons?sz=64&domain=yuanrenxue.cn
// @grant        none
// @run-at       document-start
// ==/UserScript==
!(function (){
    var org=window.XMLHttpRequest.prototype.setRequestHeader;
    window.XMLHttpRequest.prototype.setRequestHeader=function (key,value){
        //关键字,在请求当中发现有键是hexin-v,断点
        if(key.toLowerCase()== 'x-client-sign'){
            debugger;
        }
        return org.apply(this,arguments);
    };
})()

        很轻松就能hook到位置,往上跟一步发现t又是上一步函数调用传入的参数,那就继续往上跟.

        遇到异步栈就是异步栈下方打上断点重新跟,最终来到这儿。发现没走w.default这个异步方法时是看不到sign值的,走完这个就看到了sign值,那说明肯定在这个异步方法内对sign进行了赋值。跟进w.default这个方法首尾断住重新跟。

最低0.47元/天 解锁文章
zhuangjoo
关注
  • 13
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
行业文档-设计装置-应用于农集抄平台的中压载波系统.zip
08-23
《应用于农集抄平台的中压载波系统》 在电力系统中,尤其是在农业电领域,自动抄表(Advanced Metering Infrastructure,AMI)系统已经成为提高效率、优化资源分配的关键技术。农集抄平台是AMI系统的重要组成...
逆向sign签名算法
分享博主日常学习和使用的一些技术
04-17 3984
逆向sign生产算法
某农网请求头参数逆向
最新发布
weixin_66580433的博客
05-10 906
最近学习js逆向案例,本文仅以初学者思路记录学习,内容比较繁多~
APP逆向案例之(三)sign 参数破解
zhaoxiaoba123的博客
11-26 2138
某新闻APP sign 参数 其中 sign 参数是需要变化的否则访问失败,其余都是固定的
【易车实例】x-sign逆向保姆级教程
Primice个人空间
08-15 2109
过程不算很难,但是很考验耐心和细节没有接受挑战,没有失败经验,怎进步向前?
淘特app x-sign参数签名分析
qq_44628911的博客
07-19 4020
之前看见大佬说t特app的风控比tb的要小很多,于是学习了下t特的签名分析。
逆向链接服务器(分布式服务器之前的协调通信,同步,消息的转发)
weixin_47299083的博客
07-20 951
先做个对比:卓越版本的分布式构架,相对于之前的版本旗舰、荣耀、大众、经典、6603等版本。在分布式上做了优化,更为可靠,高效,安全。 1. 采用websocket通信,更为安全可靠,同时可以和后台直接通信,后台修改数据,在线的手机端及时同步。 2. 兼顾web端、微信小游戏,可以和C++服务器直接二进制通信,客户端使用TypeScript(JavaScript的超集),一份代码可以发不到iOS,Android,web,wechatGame等平台,节省了更多的开发成本。 3. 前端和服务端使用长连接,相
闲鱼x-sign参数
bugtraq的博客
11-09 5911
据说淘宝的x-sign程序已经人手一份了,闲鱼的好像不太多。 最近研究了下闲鱼以x sign为代码的请求参数,包括x-sign, x-mini-wua, x-umt等等参数。 效果如下,可以看到基本的请求参数和请求包数据都已经在里面了。 上面的是post包,下面是请求头数据,基本参数都在了。 {'x-extdata': 'openappkey%3DDEFAULT_AUTH', 'x-features': '27', 'umid': 'lw4A2w1LPFeWngJ8bdOv1Cr6e.
App逆向 | 某漫画app签名加密逻辑分析
放纵的Coder
08-12 1281
第一篇有关app逆向的文章,可能篇幅较长,请耐心阅读。 首先来介绍一下需要用到的部分工具和安装方式,然后借助某漫画app,来详细讲解一下工具的使用,以及如何查找加密的流程。 文章中用到的安装包,下载速度超慢,不想下载或者下载不了的,可以直接联系我。 声明本文章只做技术交流,如有侵权请联系删除。 一、目标站: aHR0cHM6Ly93d3cud2FuZG91amlhLmNvbS9hcHBzLzY1MTM5ODA= 打开站下载对应版本的apk,本文使用的是最新3.0.1版本。 二、环境安装: jdk下载
安卓逆向Xposed HOOK TB直播APP的x-sign参数
someby的博客
10-01 9971
最近学习安卓逆向,接触一下TB系的APP,了解大厂APP是做数据安全的,这篇文章主要介绍某宝直播APP的签名参数x-sign的HOOK过程,当然,其他的参数也是可以HOOK的。本文只用于学习交流,请勿他用。 一、环境工具 环境:windows 10 设备:雷电模拟器,google pixel HOOK框架:Xposed 插装工具:Frida 编译器:android studio 反编译工具:jadx 抓包工具:Charles 分析APP:某淘直播apk(com.***.live_1.8.6
(完整word版)互联+农业-案例企业整理.doc
11-15
通过“三一通”(猪管、智农、农信、智农通)产品体系,大北农积极构建农业互联与金融生态圈,并计划设立服务中心,推广线上线下结合的服务模式。 6. **新希望**:新希望借助自身产业链数据优势,发展P2P...
行业文档-设计装置-户外分界真空断路器.zip
09-06
户外分界真空断路器广泛应用于城、农、变电站出线、馈线保护等场合。在选择和设计时,需要考虑以下因素: 1. 工作电压与电流等级:根据电的实际需求选择合适的电压和电流等级。 2. 系统短路容量:断路器应能...
电子政务-农线路剩余电流测试钳.zip
09-15
《电子政务-农线路剩余电流测试钳》 在当今信息化高速发展的时代,电子政务作为政府服务现代化的重要手段,正在逐步改变着传统的行政管理方式。本资料“电子政务-农线路剩余电流测试钳”主要关注的是在农业电...
监理规划—2016年农改造升级项目10kV-及以下工程.doc
10-10
监理规划—2016年农改造升级项目10kV-及以下工程.doc
最新某宝x-sign参数生成原理
热门推荐
qq_46381298的博客
05-08 1万+
淘宝x-sign算法解密分析 我在上一篇博客中给大家介绍了淘宝接口如何抓取,今天我来给大家介绍一下淘宝中校验参数x-sign的生成了,现在大家都知道只要有了x-sign基本上所有事情都可以干,包括但不仅限于商品信息,商品评价,秒杀活动等等 本文将演示如何获取淘宝商品评价信息,以iphone11为例 https://detail.tmall.com/item.htm?id=602659642364 抓包分析 通过charles手机抓包分析得出评价获取参数为如下几个: url:http://guide-acs.
逆向代理服务器(Reverse Proxy)原理及用途
Leslie的专栏
04-21 1万+
本文内容翻译自 wiki:Reserve server 有逆向代理服务器,肯定就有正向的代理服务器(Proxy Server),下面介绍他们的原理 Proxy Servr原理: 两台电脑 通过第三台电脑进行沟通的时候,第三台电脑就扮演着代理服务器(proxy)。以上图为例,Bob并不知道信息去想哪里,所以proxy可以用与隐藏隐私 Reverse Proxy
游戏逆向学习——游戏服务器搭建实战
DRLDER的博客
03-15 1237
这两天的内容都偏向于实战,今天的简单服务器搭建已成功啦!给一张成果图: 这里来说一下建立基础服务器的过程吧。 下面的内容我不用易语言称述,使用前面我们学习的C++,来进行学习。 ERPCServer类型和ERPCClient类型,作用在整个客户端和服务端。 对应的类型都有自己的方法,主要的是一个处理函数子程序指针,在服务器与客户端交互时使用的,当服务器或客户端收到来自对方的消息信号,进行处理...
javascript助农
05-21
不太明白您的问题是什么,不过我们可以简单介绍一下 JavaScript 和助农JavaScript 是一种广泛使用的编程语言,通常用于在页上添加交互性和动态效果。它可以在浏览器中运行,并且可以与 HTML 和 CSS 一起使用来创建现代的站和应用程序。 助农是一个致力于为农民提供信息和服务的站,它提供各种种类的农产品信息、农业技术、农业政策和市场分析等内容,以帮助农民更好地管理和发展他们的农业生产。 如果您想在助农上添加一些动态效果或交互性,您可以使用 JavaScript 来实现。例如,您可以使用 JavaScript页上创建动态表格、下拉菜单、弹出窗口等等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值