某体育网站登录令牌加密分析

aHR0cHMlM0EvL3d3dy55YWJvMjU5LmNvbS9sb2dpbg==

这个网站需要分析的是登录时候的? sign 令牌

抓包与加密定位

老规矩先用开发者工具抓包

这里一般定位就是 搜参数 和 xhr断点 会比较方便，但是使用这两种都有他不方便的地方

搜参数 这个方法直接搜加密的参数名会出现很多的结果，需要一个一个去分析，同样也有局限性，比如参数是混淆的就搜不到了。

xhr断点 这个方法需要这个请求是 xhr 请求才行，而且断上之后还需要一步步调试堆栈才能找到加密的位置，如果不小心漏了需要耐心重新分析。

这里重提下在前面的文章，我提过一个思路，就是不要直接搜索加密的参数，可以搜索同一个请求提交的其他参数，一般参数提交的地方都是在一块的

这里实操一下，搜索 nonce_str 就只有一个结果，直接跟进即可

在定位出来的文件位置中再次检索，直接就定位到加密的位置了

接下来打上断点验证看我们的分析是否准确

成功断上，说明确实定位到了

分析加密

可以看到这里的 sign 是由? d 赋值的，而? d = o.a.hmac(t,u)

这里需要知道的参数就是 o ?、 t 、 u 这三个

我们继续分析这三个参数是怎么出现的

s ?的值是一串字符串

 appKey=c97823e281c071c39e&domain=HdhCmsTestyabo259测试数据&name=xianyuplus&nonce_str=eovdlwvy4z&password=11111111111&timestamp=1596710251&uuid=web-Windows-45671c25c33d9e3ad2217c645cb1a48f&appSecurit=d77f7fcff637bc61bfb82fcbcd767bfa  

这里的参数都是请求提交上来的，之后做了一个 base64 的编码

后面的 t ?也是传入的 d77f7fcff637bc61bfb82fcbcd767bfa

这里就只剩一个 o 跟进去看就很明显是一个 hmacsha256

为了沿着我们可以网上找一个加密站测试下。

这是测试网站的加密结果

这是加密网站的加密结果

完全一样，说明我们分析是没有错的，接下来直接使用 Python 复写出来即可。

加密代码：

 import?hmac import?hashlib  API_SECRET?=?'d77f7fcff637bc61bfb82fcbcd767bfa' message?=?'YXBwS2V5PWM5NzgyM2UyODFjMDcxYzM5ZSZkb21haW49d3d3LnlhYm8yNTkuY29tJm5hbWU9eGlhbnl1cGx1cyZub25jZV9zdHI9aWpveHk0bjZ3OWMmcGFzc3dvcmQ9MTExMTExMTExMTEmdGltZXN0YW1wPTE1OTY3MTA5ODAmdXVpZD13ZWItV2luZG93cy00NTY3MWMyNWMzM2Q5ZTNhZDIyMTdjNjQ1Y2IxYTQ4ZiZhcHBTZWN1cml0PWQ3N2Y3ZmNmZjYzN2JjNjFiZmI4MmZjYmNkNzY3YmZh'  signature?=?hmac.new(bytes(API_SECRET,?'latin-1'),?msg=bytes(message,?'latin-1'),?digestmod=hashlib.sha256).hexdigest() print(signature) ----------------------------------- 结果：d9106f11a865d57e31ae4a2250fc2bdc34bd4aea814585e0705f645c32be2e56 

Love & Share?

[ 完 ]

查看更多关于Python 爬虫进阶必备 | 某体育网站登录令牌加密分析的详细内容...