- 博客(7)
- 收藏
- 关注
RSS订阅原创 pdd登录分析,PASS_ID值的获取
如图为平台登录页面,这里我们选择使用手机号登录,同时打开抓包对网络请求进行拦截分析,这里账号密码随便输入就可以可以看到,登录只有一个请求名为auth,简单分析一下这个请求,首先负载携带了大量的参数,这里简单介绍几个关键的参数,就是pdd的系列参数,username是明文账号,是 加密的密码,采用的RSA加密,官方库就是还原,是账号密码时间戳的一个加密值,加密方式和password同理,字典中有一些关于时间戳的参数,基本围绕了输入账号密码的时间间隔,模拟一下就行。
2025-05-08 18:46:43
2339
原创 记录分享dy接口a_bogus1.0.1.19版本研究思路(纯算版)第三部分
在上篇中,我们分析了魔改base64和256位数组打乱的分析,最后停留在了一个新的长乱码的出现,本文继续分析。
2025-04-10 13:47:44
930
原创 记录分享dy接口a_bogus1.0.1.19版本研究思路(纯算版)第二部分
上文已经成功打印出了a_bogus(后面统称ab)的生成日志,所以现在我们就需要开始分析日志来拆解它的生成逻辑在日志的末尾我们可以看到很明显的a_bogus完整参数,所以这里我们先倒着来,从下往上看,我们可以发现一个很明显的一个加操作,从下往上,依次是0,U,K,J。
2025-04-07 14:21:25
1899
原创 记录分享dy接口a_bogus1.0.1.19版本研究思路(纯算版)
因为dy部分接口对参数的校验不强(因为数据不重要),所以要选择一个校验性强的接口来分析,便于测试,这里选择了二级评论接口(即为评论区中展开更多回复)测试可以基于未登录状态进行抓包在这里打开开发者工具开始记录网络,随便点开一个二级评论,然后去全局搜索其中的信息,可以看到数据是来自一个reply的响应返回的打开负载即可看见本次研究的重点对象,mstoken,以及两个fp的值。
2025-04-03 18:11:23
787
原创 某宝的字体反爬
做过字体反爬的都知道,生成出汉字乱码后,还需要字体文件来做映射,依次来显示正确的内容,所以还需要导出他的字体文件,同样的方法导出woff字体文件(数据为n)OK,成功加载出来(查看了字体文件,发现有的只能对应一部分数字且数量巨大,对照关系不好做, 所以后续采用orc做数字识别)发现e是一个长度为14011的8位数组,也就是wasm文件的数据内容,在这里将文件导出来,模仿一下d方法中的文件处理方法。可以看出g就是原本的base64码,e是g的解码,h是乱码的开头部分,o和i是固定的,进入d函数。
2025-02-11 11:59:19
1876
5
原创 记录下ks滑块中的did问题
3.模拟轨迹信息(需要缩放),canvas指纹等信息(由一个加密的方法生成,这里可以传入任意参数生成指纹信息)生成verifyParam参数。4.携带verifyParam参数和did去生成captchaToken,激活did,过掉滑块(激活后不能马上用,需要等2s)2.携带did等信息去获取滑块验证码的信息(captchaSession在url里面, 400002的响应需要过两次滑块)5.携带captchaToken和did等信息再次发送搜索请求。1.发送搜索请求,cookie中返回did等信息。
2024-12-26 16:41:43
399
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人