上周研究了一下某团团的接口通过抓包发现和拼多多有点类似,都是要解决anti_content 但是不一样的是还多了一个sign,没办法拿起我82年的祖传手艺,逆向小程序然后扒代码
image.png
小程序逆向破解暂时按下不表,总之过程比较艰辛,最后在google的帮助下还是拿下来了,看着拿到的一坨不成形的代码顿时心里五味杂陈,完全找不到方向,快团团应该是做了反逆向操作,拿到的代码各种报错,全线飘红,如下图
image.png
只好祭出三板斧,第一斧,全局搜索关键字,结果不太喜人,全局只有三个地方出现,在经过一段时间的分析过后最后定位到这个地方有可能会是突破口,当然这只是马后炮,试过n多次才确定的
image.png
这样的代码看着太膈应人,稍微格式化一下会好看很多,不然只能看着它哭
image.png
由于不能调试,只能一遍遍的试,最后确定这里确实是产生anti_content 的地方,在确定关键点后,第二斧就是抠代码,将整个代码折叠后发现这就是一个webpack打包后的代码,抠代码的过程是繁琐无味的,一阵骚操作后终于将目标代码抠出
image.png
将目标代码放到小程序中执行,将结果和抓包结果对比正好是产生的anti_content
image.png
最后一斧就是补全环境,因为需要在python中执行,所以必须将代码补全环境使其独立执行,,接下来就是分析代码,产生anti_content 到底需要哪些参数,在对代码一番蹂躏后最终确定anti_content的生成涉及到下面几个函数
image.png
最后将环境补全后独立执行后可以拿到对应的anti_content ,然后上接口测试能够通过,至此打完收工
