• 设为首页
  • 点击收藏
  • 手机版
    手机扫一扫访问
    迪恩网络手机版
  • 关注官方公众号
    微信扫一扫关注
    公众号

菜鸟逆向某口腔医院app 写抢号的小程序 记录一下具体流程

原作者: [db:作者] 来自: [db:来源] 收藏 邀请

整个小项目下来,涉及了app反编译,http协议,JavaScript,fiddler等等的基础小知识

在接到这个任务之后,我首先熟悉了一下流程.发现他是http协议的

马上就打开fiddler打开端口用模拟器监测一下

一波操作之后发现他的登录完全没有加密,直接输入账号密码 POST一下就可以登录进去返回账号临时ID

以为项目就此大功告成

在获取抢号数据的时候发现不是这样

每个请求都带着不规律的 noticeStr,sign在cookie中

timestamp一看就知道是时间戳

其他访问也没有返回这两个参数,是忽然有的

然后就想到会不会是APP内部有加密函数

这时候打开了androidkiller找到了访问的接口链接,但是无论如何也搜不到noticeStr,sign这些关键字,我甚至换了个反编译工具,升级了版本,也无济于事

后来我看回来fiddler,发现在每次点击之前,都会打开一个html,里面有一段js

明明白白地写到了这两个参数生成的具体流程(参数拆分->随机生成关键字->排序->再来个他们自己写的MD5)..是我把他想得太复杂了

这时候就有两个方法,一个是直接用自己的语言里面选个js解析库解析,我用的是python,试过js2py之类的库,解析就要按秒算,这样不划算,那就要把js转换到py语言,这时候py有个库我要推荐一下,jiphy点进去有使用教程.

转换之后大概修改了一下.期间遇到的坑就不说了(js跟py位运算有一点不一样)

搞定之后就可以自己生成签名了,置入cookie,获取成功


鲜花

握手

雷人

路过

鸡蛋
该文章已有0人参与评论

请发表评论

全部评论

专题导读
上一篇:
微信小程序——自定义组件发布时间:2022-07-18
下一篇:
小程序的简单跳转发布时间:2022-07-18
热门推荐
阅读排行榜

扫描微信二维码

查看手机版网站

随时了解更新最新资讯

139-2527-9053

在线客服(服务时间 9:00~18:00)

在线QQ客服
地址:深圳市南山区西丽大学城创智工业园
电邮:jeky_zhao#qq.com
移动电话:139-2527-9053

Powered by 互联科技 X3.4© 2001-2213 极客世界.|Sitemap