某商超小程序加密算法解析

于 2025-02-04 18:11:18 发布
阅读量827 收藏 11
点赞数 7
分类专栏: 技术实战 文章标签: 小程序
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/2403_87731058/article/details/145442913
版权

初入道途

抓包分析

工具

charles -网络抓包

image-20210706151936444

下载地址:https://www.charlesproxy.com/

(前提:手机和电脑均安装好charles证书)

证书安装及支持抓包https设置指引请参考: 

postman -接口调试工具

image-20210712171621034

下载地址:https://www.postman.com/

支持导入cURL,便捷高效,导入操作如下图

image-20210712171745333

RE文件管理器 -android文件导出工具(需要root权限)

image-20210712174731685

下载地址:https://m-k73-com.sm-tc.cn/c/m.k73.com/mipw/574951.html

运行环境

华为p9 android 6.0

(android7.0以上版本抓包工具默认抓不到https请求,因为7.0以上只信任系统级别证书,而charles证书是安装到用户级目录的。

解决方式:可将charles证书升级为系统证书,即安装证书到系统证书目录下。

具体操作可参考连接: )

抓包接口分析

抓取通过经纬度获取门店的接口

手机上操作该小程序,找到可以进行重新定位的地方点击来触发请求以获取附近的门店,随后charles捕捉到相关接口请求

image-20210712223517703

选中相关请求右键复制其cURL格式数据 ,导入到postman进行调试分析

image-20210712173322417

cURL数据分析:

观察发现是个post请求, 请求体是URL编码后的,不易阅读,我们进行url解码

(注意这里获取的cURL接口数据和图例所示的不是同一个请求,图例所示的抓包接口被笔者不小心清除了,于是重新抓了一次请求~)

1

curl -'Host: yx.feiniu.com' -'content-type: application/x-www-form-urlencoded' -'User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 13_6 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 MicroMessenger/8.0.7(0x18000731) NetType/WIFI Language/zh_CN' -'Referer: https://servicewechat.com/wx08cc6bd15fabfa53/83/page-frame.html' --data-binary "data=%7B%22apiVersion%22%3A%22t141%22%2C%22appVersion%22%3A%221.5.1%22%2C%22areaCode%22%3A%22CS000016%22%2C%22channel%22%3A%22online%22%2C%22clientid%22%3A%22a7ea53059fc868e2e3e2dd7c04027035%22%2C%22device_id%22%3A%22tv179yrhs3kv9RXjJv6uJNmdkN6kTbmaUHQE%22%2C%22time%22%3A1626080760465%2C%22reRule%22%3A%224%22%2C%22token%22%3A%227ae362df162da5ffbfc408ed8e3d4ff3%22%2C%22viewSize%22%3A%22720x1184%22%2C%22networkType%22%3A%22wifi%22%2C%22isSimulator%22%3Afalse%2C%22osType%22%3A%224%22%2C%22scopeType%22%3A1%2C%22businessType%22%3A2%2C%22businessId%22%3A%2217210001%22%2C%22deliveryCircleType%22%3A%221%22%2C%22body%22%3A%7B%22longitude%22%3A%22MTIwLjE1NDc3NQ%3D%3D%22%2C%22latitude%22%3A%22MzAuMzA1ODIy%22%7D%7D&h5=yx_touch&paramsMD5=iOWz8O%2BxL9r9GX4k5Te%2F2U5HGTRk1GQ6YqLnMErWrAI%3D" --compressed '

如下为url解码后的cURL接口数据,这下好看多了~

1

curl -'Host: yx.feiniu.com' -'content-type: application/x-www-form-urlencoded' -'User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 13_6 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Mobile/15E148 MicroMessenger/8.0.7(0x18000731) NetType/WIFI Language/zh_CN' -'Referer: https://servicewechat.com/wx08cc6bd15fabfa53/83/page-frame.html' --data-binary "data={"apiVersion":"t141","appVersion":"1.5.1","areaCode":"CS000016","channel":"online","clientid":"a7ea53059fc868e2e3e2dd7c04027035","device_id":"tv179yrhs3kv9RXjJv6uJNmdkN6kTbmaUHQE","time":1626080760465,"reRule":"4","token":"7ae362df162da5ffbfc408ed8e3d4ff3","viewSize":"720x1184","networkType":"wifi","isSimulator":false,"osType":"4","scopeType":1,"businessType":2,"businessId":"17210001","deliveryCircleType":"1","body":{"longitude":"MTIwLjE1NDc3NQ==","latitude":"MzAuMzA1ODIy"}}&h5=yx_touch&paramsMD5=iOWz8O+xL9r9GX4k5Te/2U5HGTRk1GQ6YqLnMErWrAI=" --compressed '

观察可知有data、h5、paramsMD5三个参数,整理如下:

1

2

3

data: { "apiVersion":"t141","appVersion":"1.5.1","areaCode":"CS000016","channel":"online","clientid":"a7ea53059fc868e2e3e2dd7c04027035","device_id":"tv179yrhs3kv9RXjJv6uJNmdkN6kTbmaUHQE","time":1626080760465,"reRule":"4","token":
最低0.47元/天 解锁文章
2023 华为 Datacom-HCIE 真题题库 11/12--含解析
mxl00z的博客
06-01 2912
2023 华为 Datacom-HCIE 真题题库 11--含解析
某生鲜电商sign签名算法分析
lixiaolevae的博客
07-16 601
磨刀霍霍 环境预备 测试手机 nexus x5 android 6.0 (android7.0以上版本抓包工具默认抓不到https请求,因为7.0以上只信任系统级别证书,而charles证书是安装到用户级目录的。 解决方式:可将charles证书升级为系统证书,即安装证书到系统证书目录下。 具体操作可参考连接:https://www.pianshen.com/article/97291182754/ ) PC macbookpro 13-inch 4-core 16G-RAM macOS 10.15.5
永辉生活APP,sign,签名算法
qq495688244的博客
07-29 558
495688244。
易语言-永辉生活sign算法
06-26
永辉生活sign算法源码
JD_Sign_Action:基于github actions的京东自动化签到
05-11
基于github action的京东自动化签到 介绍 使用NobyDa “京东多合一签到脚本”为基础,移植到github actions自动化执行。 触发方式 点亮Star 凌晨4点定时执行 自定义:.github/workflows/work.yaml 编辑 使用用法 点击右上角 Fork 项目; Settings -> Secrets 中添加京东cookie、Server酱SCKEY JD_COOKIE:京东cookie PUSH_KEY:Server酱SCKEY 点击Star,任务会自动执行,运行进度和结果可以在Actions页面查看; 当任务运行完成时,会将运行结果和错误信息打包到Artifacts,可自行下载查看; 获取京东cookie 使用项目中的Chrome插件:JDCookie Chrome中拓展程序开启开发者模式; 点击加载已解压的拓展程序,选择JDCookie目录; 登
JDSign
03-25
使用教程 1.创建新仓库 2.填入Repository name后单击最下面的Create repository点下面导入存储库。 3.然后在于您的旧存储库的克隆URL填入 4.按提示完成复制后再在Settings - Secrets里面添加JD_COOKIE ,多条cookie用&替换,支持无数条cookie 具体如何获取Cookie可参考> 5.最后点击一下右上角的star(fork左边那个),让工作流运行一次。 注意:该方法需要自行定期替换或更新脚本,不会自动同步,强烈建议再按以下教程进行自动同步仓库脚本。 自动同步脚本教程:在完成上面步骤后,再 特别声明: 本仓库发布的脚本项目中涉及的任何解锁和解密分析脚本,仅用于测试和学习研究,禁止用于商业用途,不能保证其合法性,准确,可以和有效,请根据情况自行判断。 本项目内所有资源文件,禁止任何公众号,自媒体进行任何形式的转载,发布。
【UniApp百度地图跨平台兼容性全解析】:确保一致用户体验的关键
![【UniApp百度地图跨平台兼容...UniApp 是一种使用 Vue.js 开发所有前端应用的框架,它允许开发者编写一次代码,然后发布到 iOS、Android、Web(包括各种小程序)等平台。其核心是构建多端统一的前端应用,借助于丰富
数据驱动的世界:数学建模在IT行业的应用解析
本文从数学建模的基础理论出发,概述了建模流程和常用方法论,深入探讨了算法的原理和优化策略。在实践应用方面,分析了数学建模在优化问题、复杂网络分析和大数据环境下的具体应用案例。此外,本文还介绍了数学建模...
JD-Sign-in
03-13
特别声明:同步sendNotify.js pushplus推送通知已更换成最新。请在更换新的令牌。 特别声明: 本仓库发布的MyActions项目中涉及的任何解锁和解密分析脚本,仅用于测试和学习研究,禁止用于商业用途,不能保证其合法性,准确,可行和有效,请根据情况自行判断。 本项目内所有资源文件,禁止任何公众号,自媒体进行任何形式的转载,发布。 wuzhi01对任何脚本问题概不负责,包括但不限于由任何脚本错误导致的任何损失或损害。 间接使用脚本的任何用户,包括但不限于建立VPS或在某些行为上违反国家/地区法律或相关法规的情况下进行传播,wuzhi01为可能引起的任何泄漏或其他后果概不负责。 请勿将MyActions项目的任何内容用于商业或非法目的,否则后果自负。 如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关脚
HB_JD_Sign
03-04
某东签到机器人
京东 APP 的 sign 算法以及请求库
最新发布
10-24
仅做逆向学习交流使用,请勿用于非法用途,任何单位或个人因除学习交流外使用而直接或间接产生的任何侵权、违法后果,作者不承担任何法律责任。
京东登陆加密算法
06-10
京东登陆加密算法供学习参考24小时内删除,请勿用于非法之事,否则后果自负与作者无关
JD_Sign
03-08
JD_Sign
JD-Sign
03-25
基于github action的京东自动化签到 介绍 使用NobyDa“京东多合一签到脚本”为基础,移植到github动作自动化执行。 触发方式 点亮Star 凌晨4点定时执行 自定义:.github / workflows / work.yaml编辑 注意问题 问题一: 1,建议修改README.md提交,以触发定时任务。 2,定时任务的时间是UTC时间,跟中国时间有8小时的时差。 问题二:京东Cookie的有效期 就我自己项目中的使用情况而言,一个月有效期。 使用用法 点击右上角Fork项目; Settings -> Secrets中添加京东Cookie,服务器酱SCKEY; JD_COOKIE :账号1Cookie JD_DUAL_COOKIE :账号2Cookie(选填) PUSH_KEY :服务器酱SCKEY 点击Star ,任务会自动执行,运行进度和结果可以在Acti
jdsign1111
02-18
京东薅羊毛工具(活动入口:京东app->我的->游戏与互动->查看更多) 京东水果( ) 东东萌宠( ) 宠汪汪( ) 种豆得豆( ) 天天加速( ) 摇钱树( ) 宠汪汪兑换奖品( ) 取关京东店铺和商品( ) 京小超( ) 京小超兑换奖品( ) 宠汪汪偷好友狗粮与积分( ) 进店领豆( ) 摇京豆( ) 全名开红包( ) 京东多合一签到( )【自用,Node.js专用,核心脚本是JD_DailyBonus.js,IOS软件用户请使用NobyDa的 】 脚本兼容: , , ,JSBox,Node.js TODO 方法一:本地安装Node.js,下载本库脚本(不推荐)-缺点:需要手动运行脚本,不能自动定时运行脚本 方法二:云服务器,腾讯云函数等等-需自行有云服务器,云函数等-腾云云函数使用 方法三:GitHub action(推荐,iOS /安卓用户都可用)
40 Flutter仿京东商城项目签名验证原理、签名验证算法
weixin_30522095的博客
09-21 369
加群452892873下载对应40课文件,运行方法,建好项目,直接替换lib目录 pubspec.yaml crypto: ^2.1.3 SignServices.dart import 'dart:convert'; import 'package:crypto/crypto.dart'; class SignServices{ stati...
京东 APP SIGN算法分析
热门推荐
神马都是浮云's blog
09-18 1万+
针对同一款商品进行两次访问,发现唯一的不同只有st、sv、sign三个数值, st是当前时间,sv代表选了哪一种算法,sign是计算后的最终签名。 反编译APK代码一步一步跟踪到具体的SIGN计算方法,发现最终的调用的是一个SO文件的Native方法,进一步反编译SO文件,没想到SO文件竟然还被加了壳。 对SO文件脱壳后,选择其中一个SV计算方式,对SIGN计算逻辑进行分析,用JAVA对该...
京东jdgs算法sign算法
kevinsir2003的博客
09-30 2928
生成B1-B7算法。
京东JD App签名/加密算法研究
weixin_48731086的博客
03-07 3570
1.签名算法 (1)http://pay.m.jd.com/index.action?functionId=genAppPayId&clientVersion=7.4.2&build=65312&client=android&d_brand=Xiaomi&d_model=MI5sPlus&osVersion=8.0.0&screen=1920*1080&partner=xiaomi001&androidId=[androidId]&am
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值