dou dian滑块captchaBody


声明(lianxi a15018601872)
本文章中所有内容仅供学习交流使用,不用于其他任何目的,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!  
前言(lianxi a15018601872)
字节的滑块找到了入口但是是一个异步不能直接拿到值,为了防止补环境。学习一下纯算+补环境整合版。采用纯算思路调用js文件来完成captchaBody的生成。算法是真不太会,但是这个算法感觉还行,至少直到往哪插桩,JSON.str(v)的可以走完整个流程。卡在最后3个buffer单步跟了半天看日志也没看出来。最后应该了定长buffer+随机数buf,databuf,搞错顺序半天拿不到正确长度。还有就是那个t方法,调用t方法后,导入算法库不行,用js captcha里面找到加密地方调用又可以了。把我搞晕了。最后就是那个fp,我记得detail前面就有一个fp,get方法请求还有返回一个fp我看了半天没看出来。哎踩坑无数。简单说说流程。
逆向过程
首页调用预验证方法,拿到fp,detail。接着就可以开搞了研究算法了。直接在switch。右键日志然后JSON.stringify(v)或者直接v就行了。总体流程是sha512。然后调用了一个n方法返回值str1+str2。接着for循环随机数。32位。这个被ai阴了一手,让他生成一个方法结果是错的导致了验证时错了但是没报错就513格式不对。kimi这个不应该。。毕竟很多阴暗知识都懂,这里竟然错了。。然后调用sha512加密,接着拼接一个salt。接着调用t方法字符串乱码处理。接着又sha512。接下来就不说了我也是看日志说话的。

结果 

总结 
1.最近开始学习新技术了,滑块搞多了也没啥意思,接下来搞训练,和随便学习一下鸿蒙。昨天事情一出鸿蒙pc端也快了,就业风口就来了,就看国家让不让他直接移植项目,如果选择促进就业市场那么鸿蒙会是未来5-10年唯一口风。
2.出于安全考虑,本章未提供完整流程,调试环节省略较多,只提供大致思路,具体细节要你自己还原,相信你也能调试出来。lianxi a15018601872 

posted @ 2024-08-03 13:54  kuangqilin  阅读(38)  评论(1编辑  收藏  举报