- 博客(8)
- 收藏
- 关注
RSS订阅原创 kasada x-kpsdk-ct、x-kpsdk-cd 参数分析
本文分析了两个关键参数x-kpsdk-ct和x-kpsdk-cd的生成逻辑。x-kpsdk-ct通过ips.js发出,其body数据是通过对环境指纹进行TextEncoder.encode()处理得到的Uint8Array数组。x-kpsdk-cd则由p.js生成,通过循环sha256计算得到,入参包含随机数、ctslice数据和时间戳。通过日志断点分析,可以清晰追踪这两个参数的生成过程。文章指出,只要找准参数生成位置并理清逻辑,实现代码将变得简单。
2025-12-05 16:45:44
534
原创 计算滑块验证码需要滑动的缺口距离
该代码实现了一个滑块验证码识别功能,主要包含以下处理步骤:1. 将Base64格式的背景图和滑块图转换为OpenCV格式;2. 对图像进行灰度化和边缘检测预处理;3. 使用模板匹配算法计算滑块在背景图中的最匹配位置;4. 返回需要滑动的水平距离。代码支持多种图像输入格式(bytes、文件路径、numpy数组、PIL图像),并提供了图像格式转换工具方法。使用时只需传入base64编码的背景图和滑块图,即可获取需要滑动的距离。
2025-08-08 17:10:22
165
原创 记录 akamai sbsd,bm_sc参数破解,风控一般表现为响应码429
本文介绍了绕过网站加密验证参数(如sbsd和bm_sc)的方法。首先分析参数生成流程,通过过滤请求获取加密JS并收集浏览器指纹生成验证参数。接着提出利用Flask服务搭建中间层,自动获取目标网站的最新JS并处理加密验证,使浏览器仅负责JS加密操作,而服务器处理所有网站交互。最后通过多开浏览器页面自动刷新解决并发问题,实现稳定持续的参数生成。该方法规避了频繁更新的加密算法,通过中间层代理实现高效验证。
2025-08-05 14:33:48
1193
5
原创 akamai3.0 响应码428 人机验证 sec_cpt 参数
摘要:针对Akamai防护中出现的特殊428响应(30秒人机验证)进行分析。验证流程分为三个阶段:获取含~1~的sec_cpt参数、30秒内多次校验(需传递token)直至返回含~2~的值、最终verify请求获取验证通过的cookie。关键参数answers需通过逆向JS获取,实为Math.random().toString(16)生成。该方案已通过代码测试验证。(149字)
2025-02-10 17:11:32
427
原创 reese84 token 参数算法生成
2、直接抓包分析token值的获取由下面两个接口生成,第一个接口返回生成加密参数的js,分两段代码第一段是加密参数的封装,第二段是一段ob混淆主要用于还原混淆的字符串和计算hash。下面在分析动态的,拷贝出object中的key,在js中搜索可以直接定位value的生成位置,把每一个参数value的生成代码扣出来就可以了。在分析e8这个object就可以了,看上去参数很多还都加密了很吓人,这里只能慢慢一个个分析,多重试几次对比一下先把固定值的排除出去。3、分析一下第一个请求返回的js,生成加密参数,
2025-01-07 13:47:03
391
原创 海外 token 1001-common
3、测试一下,生成没问题,响应也ok。这里搜索接口的cookie里需要带上计算tooken时候的 UBT_VID参数,一个小问题导致测试前面测试一直失败。2、分析token,搜索定位到生成位置window.signature(e),跟进去是一个vmp算法,打日志看一下。日志里可以看到最终结果是由12个指纹拼接字符串加密得来的。对12个指纹整理一下。1、如图航班搜索header中 token 参数,不传或传错会返回假数据,
2024-12-24 16:36:18
316
原创 亚马逊 AWS4-HMAC-SHA256 authorization 参数
authorization 为加密js加密而来,如图根据请求的body和返回的 x-amz-security-token加当前时间x-amz-date 计算得来的。js代码直接扣一下拿来用就行了。x-amz-security-token 有接口返回不用破解,x-amz-date 为当前日期时间。4、技术交流 YX20281302。逼着自己进步,记录破解流程。2、分析参数,抓包搜索。
2024-12-18 16:07:16
1125
原创 perimeterx 参数 _px2 _px3
本文分析了某接口验证码破解的关键步骤。首先追踪到_px2参数来源于collector接口返回的ob解密数据,其中score值为0表示有效。随后研究了按压验证码的bundle校验接口,重点关注两个WASM参数的生成过程。通过调试captcha.js文件,提取出WASM代码的长字符串和交互所需的wbg对象,在本地成功复现运行环境。最后测试表明该方法可有效获取验证结果,并支持并发处理。整个破解过程涉及接口参数分析、加密数据解密、WASM代码提取和本地环境复现等关键技术点。
2024-11-14 20:31:20
548
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人