pdd滑块分析逆向

最新推荐文章于 2025-09-29 07:25:26 发布
原创 最新推荐文章于 2025-09-29 07:25:26 发布 · 3.7k 阅读 · 48 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#python #网络爬虫 #大数据 #js

本文详细解析了拼多多滑块验证码的JS加密过程,涉及crawlerInfo、password、riskSign的处理,包括RSA加密的C函数和AES加密的L函数,以及U函数用于生成key和iv。作者提供了如何获取图片、验证滑块和轨迹的步骤,最终目标是帮助读者理解和实现滑块验证码的破解技术。 
前提 此次分析我已经做出b站视频大家可以搜索 带带弟弟学爬虫 链接拼多多滑块JS逆向分析(完结)_哔哩哔哩_bilibili 可以找到此次文章的详细内容。

链接:aHR0cHM6Ly9tbXMucGluZHVvZHVvLmNvbS9sb2dpbi8/cmVkaXJlY3RVcmw9aHR0cHMlM0ElMkYlMkZtbXMucGluZHVvZHVvLmNvbSUyRg==

这些是请求图片的数据包,我们从上向下进行分析。

auth接口

1.crawlerInfo

crawlerInfo也是请求头中的Anti-Content的参数所以搞出一个就行了。

加密的位置在messagePack这里。

2.password和riskSign

直接搜索大法即可找到加密位置其实就是一个rsa加密:

a.c函数是:

 I = function(e, t) {
            if (t.passwordEncrypt)
                try {
                    var n = new i.a;
                    return n.setPublicKey(t.publicKey),
                    n.encrypt(e)
                } catch (r) {
                    Object(d.c)(r)
                }
            return e
        }

这个我们直接导入js的加密库即可

const JSEncrypt = require('node-jsencrypt');
​
// 加密函数
function encryptWithRSA(publicKey, data) {
    // 创建 JSEncrypt 实例
    const encryptor = new JSEncrypt();
​
    // 设置公钥
    encryptor.setPublicKey(publicKey);
​
    // 使用公钥加密数据
    const encryptedData = encryptor.encrypt(data);
​
    return encryptedData;
}

obtain_captcha接口

这个接口用来是用来获取图片的

`

//请求时
data = {
        "anti_content": "", //可以置空
        "verify_auth_token": token,
        "captcha_collect": ""//可以置空
    }

`

得到的图片 是base64格式 可以进一步处理成图片

user_verify接口

验证滑块和轨迹校验的接口 参数如下图:

我们之前解决了 anti_content , 而verify_auth_token是auth一步骤返回的

所以我们只需要解决 captcha_collect 和 verify_code

1.verify_code

如图所示:

c = (e.deltaRef + s / 2).toFixed(2)

分析得知:e.deltaRef 是图片滑块识别的距离(注意缩放 * 0.85 由于图片大小和实际浏览器显示比例不同) s是定值 48.75

verify_code 即可解决

2.captcha_collect

G.concat([W, N, D, H, L])

是 加密 的数组 包含轨迹等信息:

好我们接着分析 $函数:

定位到这里:

d函数:

手动解混淆

 function d(e) {
                    return c['gzip'](e, {
                        to: 'string'
                    })
                }

这里我们可以套库 也可以直接扣代码 因为他是webpack形式的 具体细节放b站了。

l函数是aes

l(e, t, n) {
                    return t && n ? o.a['encrypt'](e, a.a['parse'](t), {
                        iv: a.a['parse'](n)
                    })['toString']() : e
                }

key和iv是经过前一个数据包vc_pre_ck_b 返回的salt 经过 U函数处理 而成的

U = function(e) {
    var  A = "bN3%cH2$H1@*jCo$", W = "gl3-w^dN)3#h6E1%";
        var t = {
            aes_key: A,
            aes_iv: W
        };
        if (!e || 9 !== e.length)
            return t;
        var n = e.slice(0, 1)
          , r = e.slice(1)
          , o = r.slice(0, 4)
          , i = r.slice(4)
          , a = i.split("")
          , s = (["a", "b"].includes(n) ? A : W).slice(0, 8)
          , c = ["a", "b"].includes(n) ? "aes_key" : "aes_iv"
          , u = "";
        switch (n) {
        case "a":
        case "c":
            t[c] = s + r;
            break;
        case "b":
        case "d":
            for (var l = 0; l < 4; l++)
                u += a[o[l]];
            t[c] = s + u + i
        }
        return t
    };
​
​
console.log(U("c660e87ed"));

整合再结合轨迹即可 实现 。

效果图

拼多多滑块验证
qq_44657571的博客
10-20 3万+
拼多多滑块验证
最新PDD批发Anti-Content参数逆向分析与算法还原(0ar开头)
吴秋霖的博客
04-13 4153
PDD批发商品Anti-Content参数0ar开头加密分析
易语言-拼多多滑块验证完整的登录例子
06-26
前面也发过两贴了,都是扣代码修改,不是那么完美的JS,如果你有点基础,你可以去看看,然后从中找些亮点可以去自己调试调试一些xx。。。 然后,它还有一个不规则的点选验证码,前两天还可以调试就随便搞了点加密前xx,然后今晚本来想去搞一下,不过不知道什么原因,一直不出点选验证码,所有也就搁在那边没弄了,然后你们有兴趣可以自己去研究搞一搞。。。hk验证基本上算完美。。。 还有JS脚本我已经进行了全面优化并且从新编辑还原了,这样你们比较容易看懂核心,不会跟之前扣的那么乱。。。 最后就是,pdd 系列也告一段落了,也没什么在发的了,核心算法都在里面。。。剩余的就交给你们自己去研究了。。。它网站JS脚本里面看到貌似还有4,5种验证码。
pdd登录滑块分析,PASS_ID值的获取
m0_64987760的博客
05-08 2711
如图为平台登录页面,这里我们选择使用手机号登录,同时打开抓包对网络请求进行拦截分析,这里账号密码随便输入就可以可以看到,登录只有一个请求名为auth,简单分析一下这个请求,首先负载携带了大量的参数,这里简单介绍几个关键的参数,就是pdd的系列参数,username是明文账号,是 加密的密码,采用的RSA加密,官方库就是还原,是账号密码时间戳的一个加密值,加密方式和password同理,字典中有一些关于时间戳的参数,基本围绕了输入账号密码的时间间隔,模拟一下就行。
5分钟搞定!SpringBoot 图片验证码集成实战指南
最新发布
良月柒
09-29 146
今天我要和大家分享一个非常实用的功能:Spring Boot图片验证码。我们实现的是一个带有加减法运算的图片验证码,用户需要正确计算结果才能通过验证。首先,我们需要创建一个Spring Boot项目。构建高质量的技术交流社群,欢迎从事编程开发、技术招聘HR进群,也欢迎大家分享自己公司的内推信息,相互帮助,一起进步!你已经成功实现了一个完整的Spring Boot图片验证码功能。这个验证码功能可以应用到实际的Web项目中,有效防止恶意攻击。我们需要两个服务类:一个基于Session,一个基于内存存储。
【2022-03-01】JS逆向PDD滑块
骑毛驴的猴的博客
03-01 6491
文章仅供参考,禁止用于非法活动 文章目录前言一、触发滑块二、参数分析三、总结 前言 目标网站:aHR0cHM6Ly9tbXMucGluZHVvZHVvLmNvbS9sb2dpbi8= 一、触发滑块 多次点击登入后,就会出现这个滑块了 二、参数分析 先来看看出验证码的这个接口 参数还是蛮多的,其中crawlerInfo这个就是pdd系列的,也就是请求头中的anti-content,这篇文章主讲滑块,这个参数就不聊了,主要是补环境,网上也有开源的 fingerprint就是浏览器指纹了,passw
拼多多商家版登录滑块
A_fanyifan的博客
03-18 995
拼多多商家版滑块 验证 ,这个里面没什么混淆,主要是异步的操作比较烦一些,别的还好 包括定位呀什么的,都很容易找到位置。后面会写一篇详细的文章。希望大家支持支持 哈哈哈哈。
最新PDD商家端Anti-Content参数逆向分析与纯算法还原_pdd anti_content(1)
2401_84281655的博客
04-29 4202
H5目前这个参数好像是已经不再做校验了?所以再去分析的话意义并不大了。而且它那个界面真的是巨难用!为此,我单独去注册了一个商家版的!只为还原最真实的场景。目前最新的是0aq开头的,相比较于早期的老版本不再需要参数去参与加密,纯算法扣出来还原之后可在本地Node环境下直接调用生成,并且算法通用于所有接口…
pdd(web)逆向分析
2301_79445611的博客
02-01 3747
歪日,真的复杂,不愧的pdd,诶,记下来踩点坑吧
PDD 逆向 JS 滑块图形验证码
qq_42576443的博客
04-08 3534
pdd 破解图形验证码 js逆向captcha_collect 参数
JS逆向 - pdd的anti_content参数分析
热门推荐
m0_51159233的博客
04-02 1万+
文章旨在学习和记录,若有侵权,请联系删除 文章目录前言一、抓包二、逆向1. 定位js2. 跟堆栈3. 扣代码4. 补环境总结 前言 目标网址:aHR0cHM6Ly9tb2JpbGUueWFuZ2tlZHVvLmNvbS8= 目标参数:anti_content 目标特点:promise异步回调、js混淆、webpack、环境检测 一、抓包 下拉商品列表页,抓包找接口,确定目标参数。 二、逆向 1. 定位js 通过initiator定位js文件,下断点。 2. 跟堆栈 往下跟,目标还是通过参数传进来的.
关于 pdd:anti_content参数分析逆向
Triste__chengxi的博客
06-23 1447
可知 需要找到外层大的webpack加载器调用fbeZ,调用之后,可以正常执行箭头所指 i ,i 正常执行之后,i 中第二层webpack加载器调用 function(e, n, r) ,最终可拿 ue函数所执行需要的结果参数 anti_content。虽然出来很多个值但通过网页刷新与断点调试结合可知箭头所指正确位置 进入 调用js文件 很容易分析出调度器标准逻辑。复制粘贴代码分析,需要调用的 ue函数在双层webpack模块自执行函数里面。这里只出来一个结果,很明显,点进去。重新打上断点刷新接口。
pdd滑块的一次分析记录
weixin_73648943的博客
04-04 819
对学习某滑块的一次分析
JS逆向-PDD商家后台-手机号
哇哈哈
02-22 1434
前言 该手机号加密方法主要为 webpack打包 一共有四种方法 根据返回参数解析 返回值为加密字段 在网页中经过处理后呈现正常值 解析 加密主函数 根据response中的返回值判断使用那个解密函数 将代码折叠可以看到 解密函数都在t.a上方 可以直接复制下来 四个方法中 CSO都很简单 function(e, t, n) { if ((t -= (e += "").length) <= 0) return e; n || 0 ===
知乎x-zse-96逆向分析
weixin_44697518的博客
04-29 1469
我开了个知识星球,本期成品已放到了里面,有需要的小伙伴可以自行去取,jd的参数,阿里bxet纯算、快手滑块Pdd—Anti,ikuai,b站login之-极验3文字,某音ab,瑞数456vmp补环境,知乎x-zse-96等等,主要是某些大佬加我问成品,很多人都打着白嫖的手段去加我好友为目的,问完基本就以后没有任何的交集,这样的交好友雀氏没有任何意义。不如我直接开个星球,里面直接放我逆向的成品以及逆向的思路,这样大家各取所需,我也有点收益,意义更明确点,免得浪费大家的时间。x-zse-96为真--->
JS滑块协议逆向
鬼手的博客
01-15 1622
当我们滑动滑块之后,发送了两个请求,一个是snapshot,提交的是滑块轨迹信息,一个是SendLoginCode,是发送短信的接口,其他的都是在检测你是否扫描了当前页面上的二维码。这几个函数就是轨迹的生成算法,通过鼠标的点击事件记录鼠标滑动的坐标信息,保存到一个数组里面。这个位置发送了一个ajax请求,里面对应了抓包的四个参数,其他三个参数都是固定的,我们主要关心的是里面的a。在snapshot请求里面,我们需要找到data参数生成的位置,才能模拟这个请求,并发送出去。接下来把AES加密算法扣下来。
Y赞滑块逆向
qq_41927995的博客
08-11 1286
好久没写文章了,最近刚转正比较忙,今天有空把业务中写过的一个滑块来给大家讲讲吧。 话不多说直接上网站:aHR0cHMlM0EvL2FjY291bnQueW91emFuLmNvbS9sb2dpbg== 直接开搞: 第一步;抓包分析: 我们多刷新抓几次包分析可以得到下面这些结论: token:统一请求标识 bizType:固定 bizData: captchaType:固定 userBechaviorData:轨迹加密** 我们发现token是前面返回的那么整个接口加密就剩一个userBehaviorData
JS逆向某手滑块
w62181310的博客
07-19 6674
js逆向某手滑块学习,新版本滑块学习
某片滑块验证码逆向
WpfJya的博客
09-24 1132
某片滑块验证码逆向
python 拼多多回复
02-10
### 使用 Python 实现拼多多自动回复功能 为了实现拼多多平台上的自动回复功能,通常需要借助第三方库来模拟浏览器操作或直接通过官方API进行交互。考虑到拼多多可能并未提供公开的自动化接口文档[^2],下面介绍一种基于Selenium库的方法,该方法可以用于网页版拼多多的消息自动回复。 #### 安装依赖包 首先安装必要的Python库: ```bash pip install selenium webdriver_manager ``` #### 编写脚本 创建一个简单的Python脚本来登录并监控消息: ```python from selenium import webdriver from selenium.webdriver.common.by import By from selenium.webdriver.chrome.service import Service as ChromeService from webdriver_manager.chrome import ChromeDriverManager import time def login_pdd(driver, username, password): driver.get('https://mms.pinduoduo.com/official/index.html#/login') # 填入用户名密码(此处仅为示意) user_input = driver.find_element(By.NAME, "username") pass_input = driver.find_element(By.NAME, "password") user_input.send_keys(username) pass_input.send_keys(password) submit_button = driver.find_element(By.CLASS_NAME, 'submit-btn') submit_button.click() def auto_reply(driver, reply_message="感谢您的支持"): while True: try: messages = driver.find_elements(By.CSS_SELECTOR, '.message-item.unread') # 获取未读消息列表 for message in messages: message.click() text_area = driver.find_element(By.ID, 'input-message') send_btn = driver.find_element(By.XPATH, '//button[@type="submit"]') text_area.clear() text_area.send_keys(reply_message) send_btn.click() time.sleep(1) # 防止过快点击引起封禁风险 except Exception as e: print(f'Error occurred: {e}') finally: time.sleep(60) # 每隔一段时间检查新消息 if __name__ == '__main__': options = webdriver.ChromeOptions() service = ChromeService(executable_path=ChromeDriverManager().install()) driver = webdriver.Chrome(service=service, options=options) login_pdd(driver, '<your_username>', '<your_password>') time.sleep(5) # 登录后等待页面加载完成 auto_reply(driver) ``` 此代码片段展示了如何利用 Selenium 库控制浏览器访问拼多多商家后台,并尝试对收到的新消息执行自动回复的操作。需要注意的是,在实际应用中应当更加谨慎地处理账号安全性和合法性问题。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值