精易论坛

标题: 蜜雪冰城 算法分析 刚学习逆向 想练练手 [打印本页]
作者: yuhannb    时间: 2024-7-28 21:52
标题: 蜜雪冰城 算法分析 刚学习逆向 想练练手
蜜雪冰城小程序的 逆向 有一个MD5的sign加密值在提交信息里   但是我扣代码只能停在sign上 看不到拼接的过程呀 请教一下各位大神 有偿求一个教程


作者: 一剑磨十年    时间: 2024-7-28 21:52
marketingId=1816854086004391938&s=2&stamp=1722210803691c274bac6493544b89d9c4f9d8d542b84
date=20240729&marketingId=1816854086004391938&round=11:00&s=2&stamp=1722210919345c274bac6493544b89d9c4f9d8d542b84
作者: 屿东    时间: 2024-7-28 22:08
找到关键位置断住就能看到了
作者: yuhannb    时间: 2024-7-28 22:38
屿东 发表于 2024-7-28 22:08
找到关键位置断住就能看到了

思路是啥呀 可以简要说一下嘛
作者: superice    时间: 2024-7-28 23:28
https://mxsa-h5.mxbc.net/#/flash-sale-words?needToken=2&marketingId=1816854086004391938
网页的应该会吧
作者: yuhannb    时间: 2024-7-29 01:56
superice 发表于 2024-7-28 23:28
https://mxsa-h5.mxbc.net/#/flash-sale-words?needToken=2&marketingId=1816854086004391938
网页的应该会 ...

能留个联系方式嘛
作者: xj666    时间: 2024-7-29 02:12
md5  网页代码不混淆的话  通杀
作者: xj666    时间: 2024-7-29 02:13
yuhannb 发表于 2024-7-29 01:56
能留个联系方式嘛

二玖三1零五玖玖八5
作者: hanhy0316    时间: 2024-7-29 12:26

你看一下吧, 用python写的, 就是简单的md5加密, 注释文心写的




# 设置请求的URL

url = 'https://mxsa.mxbc.net/api/v1/h5/marketing/secretword/confirm'

# 构建请求参数

param = f'marketingId={marketingId}&round={round}&s=2&secretword={secretword}c274bac6493544b89d9c4f9d8d542b84'

# 对参数进行MD5编码

m = md5Encode(param.encode("utf8"))

# 获取MD5编码的十六进制字符串

sign = m.hexdigest()

# 构建请求体

body = {

        # 口令

        "secretword": secretword,

        # 签名

        "sign": sign,

        # 营xiaoID

        "marketingId": marketingId,

        # 轮次

        "round": round,

        # 固定值

        "s": 2

}

# 发送POST请求并获取响应

res = requests.post(url, headers=headers, json=body)

# 打印响应结果

print(f'任务开始: {res.text}')

作者: qqwq123    时间: 2024-7-29 13:11
import requests import json import time import hashlib  # API 请求的 URL url = "https://mxsa.mxbc.net/api/v1/h5/marketing/secretword/confirm"  # 固定的请求头信息,包括有效的 Access-Token USER_AGENT = "Mozilla/5.0 (Linux; Android 10; Pixel 3 XL Build/QPP6.190730.005) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.89 Mobile Safari/537.36" REFERER = "https://mxsa-h5.mxbc.net/" ACCEPT_LANGUAGE = "zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7" ACCESS_TOKEN = ""  # Token  # 固定的值,用于生成签名 FIXED_VALUE = "c274bac6493544b89d9c4f9d8d542b84"  def get_current_timestamp():     """获取当前的时间戳(毫秒)"""     return int(time.time() * 1000)  def create_payload(marketingId, round_time, secretword, s):     """生成请求的负载数据"""     timestamp = get_current_timestamp()     hash_string = f"marketingId={marketingId}&round={round_time}&s={s}&secretword={secretword}&stamp={timestamp}{FIXED_VALUE}"     sign = hashlib.md5(hash_string.encode()).hexdigest()     return json.dumps({         "marketingId": marketingId,         "round": round_time,         "secretword": secretword,         "sign": sign,         "s": s,         "stamp": timestamp     })  def send_request(marketingId, round_time, secretword, s):     """发送 POST 请求并打印响应内容"""     payload = create_payload(marketingId, round_time, secretword, s)     headers = {         'User-Agent': USER_AGENT,         'Accept': "application/json, text/plain, */*",         'Content-Type': "application/json;charset=UTF-8",         'Referer': REFERER,         'Accept-Language': ACCEPT_LANGUAGE,         'Access-Token': ACCESS_TOKEN  # 确保 Access-Token 被正确设置     }     try:         response = requests.post(url, data=payload, headers=headers)         response.raise_for_status()  # 检查请求是否成功         print(response.json())  # 打印响应内容     except requests.RequestException as e:         print(f"请求失败: {e}")  def execute_requests(num_requests, delay_ms=780):     """执行指定次数的请求,每次请求之间有延迟"""     for i in range(num_requests):         print(f"执行请求 {i+1}/{num_requests}...")         send_request("1816854086004391938", "13:00", "好一朵美丽的茉莉花", 2)         time.sleep(delay_ms / 1000)  # 将毫秒转换为秒  if __name__ == "__main__":     print("脚本启动")     execute_requests(1000)     print("脚本结束")
作者: 南影    时间: 2024-7-29 13:34

[JavaScript] 纯文本查看 复制代码
//marketingId=活动ID&round=时间&s=2&secretword=口令&stamp=13位时间戳+固定值c274bac6493544b89d9c4f9d8d542b84

提交口令的sign:

marketingId=1816854086004391938&round=13:00&s=2&secretword=好一朵美丽的茉莉花&stamp=1722230701151c274bac6493544b89d9c4f9d8d542b84

作者: mufeng6666    时间: 2024-7-29 13:45
qqwq123 发表于 2024-7-29 13:11
import requests import json import time import hashlib  # API 请求的 URL url = "https://mxsa.mxbc.ne ...

有没有完整版的
作者: mufeng6666    时间: 2024-7-29 14:06
qqwq123 发表于 2024-7-29 13:11
import requests import json import time import hashlib  # API 请求的 URL url = "https://mxsa.mxbc.ne ...

有没有格式化的代码
作者: yuhannb    时间: 2024-7-29 14:19
屿东 发表于 2024-7-28 22:08
找到关键位置断住就能看到了

学习逆向需要有js和py基础吗
作者: 南影    时间: 2024-7-29 15:50
yuhannb 发表于 2024-7-29 14:19
学习逆向需要有js和py基础吗

JS基础肯定要的,你要逆向首先你得会正向,意思就是你找到了关机位置你总得知道这个关键位置代码是干什么用的,Python的话对JS逆向扣代码和生成加密值比较方便,直接调用配合node执行JavaScript代码。
作者: ggzz8888    时间: 2024-7-30 10:18
marketingId=1816854086004391938&s=2&stamp=1722305259098c274bac6493544b89d9c4f9d8d542b84
作者: yuhannb    时间: 2024-7-30 14:43
ggzz8888 发表于 2024-7-30 10:18
marketingId=1816854086004391938&s=2&stamp=1722305259098c274bac6493544b89d9c4f9d8d542b84

原文估计大家都知道。。



欢迎光临 精易论坛 (https://125.confly.eu.org/) Powered by Discuz! X3.4