阿里v1支付系列验证码逆向/百度成语点选vmp逆向
阿里v1支付系列验证码逆向/百度成语点选vmp逆向
声明
本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!
本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请联系作者立即删除!
在互联网时代,随着网络安全问题日益引起人们的关注,各种验证码技术被广泛应用于各种网站和应用程序中,这其中包括了滑块验证码,它的应用范围十分广泛,本期逆向v1的滑块,可以看到它的防御能力和用户体验都是4星,适用于追求用户体验的业务场景,因此算是最为常见的了.
本篇难度入门
本篇难度入门
本篇难度入门
接口分析
和现x82y类似,先hmtl请求返回配置项
接着是获取图片的请求,参数比较多但加密多集中。
主要参数我们简称为:Ext_cipher,payload_cipher,ua:ua_cipher,以及 s(签名),在图片接口 ua只有关键参数ua_cipher,将这几个搞定,图片接口便能走通
返回参数:
没啥看的,就payload 重要点,包含了图片相关信息。
逆向分析
cipher的话主要生成逻辑在这里 。
我们这里插一下
日志就可以看到变化,生成逻辑基本上就是初始化数组,然后不断进行数组的叠加密,最终生成参数。
校验接口的话,参数就比获取图片多了,获取图片的时候,ua 仅有 ua_cipher,在校验这里的话,多了事件了轨迹,参数也随之对应发生了变化,这里称actions参数
向上跟,发现是异步生成的,如下:
整体扣下即可,轨迹难度不大,不是猪就会:
最后把签名s 扣下就行,发现是异步生成的:
异步F11狂按就能找到了,用手指扣一下
结果:
滑块
点选
百度成语
多次频繁访问的话,会出不同类型验证码
大体就是动态码表,SHA1 AES base64,加密结果第一位为码表第一个,固定即可
结果:
上面都是题外话,正文就是后面会慢慢推出海外国内验证码识别(不定期)
有业务需求可以联系,