易盾轨迹加密

1. 找到加密位置

   之前我们找到cb,与fp加密处那里就有关于data的加密

   

   可以看到这个data的里面的字符串已经被加密好了，我们要追到源头找到加密函数。

2. 深入跟进栈

   

   跟到这个位置的时候，在控制台e.data,看看这个的参数能不能有什么线索找找，因为后面的两个栈都是异步栈了，找不到明确的加密位置，只能通过参数进行进一步分析

   

   直接在这个文件先试着去搜索m:

   

   一搜只有11个选项，找到这个地方，我们就确定了，这是加密无误了。开始研究一下。d、m、p、ext这四个参数怎么来的

   参数分析

   滑动一下，断点打过来,d = p(n.join(“:”)),那我们先研究n

   

   var n = a.sample(this.traceData, u)这个位置是通过this.traceData这个数组，如果这个数组长度>50则挑选50个值，控制n的长度不会过长

   搜索一下traceData

   

   进来断点打，这个函数叫 onMouseMove,凭着我多次考四级的经验，这个的意思是当鼠标移动，嗯。。。，我猜测是当点击滑块并移动它就会调用这个函数，我们分析分析

   

   this.traceData.push的时候f已经被加密好了，那我们看看f是怎么加密的

   

   通过图片加密那里的token值与一长串取整操作得来的数，传进y（）就得到了f,到这来我们大胆一点！！！！

   [Math.round(i.dragX < 0 ? 0 : i.dragX), Math.round(i.clientY - i.startY), a.now() - i.beginTime]

   这一串就是我们滑动滑块时候产生的轨迹数组！！！

   我们把这一个js拿到本地进行调试。

   

   我们把我们的猜想通过控制台输出出来看看是否成立。

   我们通过本地文件替换线上文件的方式，这个可以通过reres或者fiddler来实现，reres的实现可以看看我之前写的博文。

   我们把文件的链接取下来去掉后面的参数https://cstaticdun.126.net/2.13.6/core.v2.13.6.min.js

   通过fiddler的这个来实现映射

   

   

   这样就实现了映射，我们刷新一下，然后再滑动

   

   没有错！！！！我们的猜想是对的。

   为了方便我们改写这个轨迹加密，我们需要一个数组来把这个轨迹单独拿出来。

   

   然后再把轨迹push进去

   

   我们现在要做的就是要整理出一个函数，方便我们后续直接加密出data，所以我们知道轨迹加密的地方之后，然后就回过来，看看我们需要什么参数给这个我们要创建的函数

   

   首先我们需要轨迹数组，还需要token，这个刚才我们有提到，还需要图上的滑块距离，这个可以通过QQ或者微信的那个截图功能，从图片的初始位置到滑块的位置，可以得到跟图上圈出来的那个变量的值相仿可以得出，我们也需要这个，因为r这个参数需要。其他的像

   this.mouseDownCounts和this.traceData.length，一个是鼠标点击次数，一个是轨迹加密数组的长度，鼠标点击次数你想，你滑动，你需要点击滑块？当然是一次啊！！这个写死就好。还有一个y是啥东西，这个我们在页面打断点调试看看。

   

   y是这个n方法，但是这个n是在一个大函数内部，我们要用个全局变量把它导出来

   

   接下来我们来看看p是啥，打断点之后，我们来到了这个函数

   

   哦豁，这个函数是之前的cb加密处，我们也在后面加上一个全局变量获取这个B吧

   

   然后我们可以整理出一个用来加密data的函数

   

   这些就是大致的分析过程，有什么不懂的可以在评论当中留言，我看到会回复的。

   

手机某宝参数分析实战

上一篇文章我讲了如何对某宝的抓包，通过HOOK某一个函数达到走HTTP的目的，这一篇我们来看看如何破解某宝详情页和列表页的参数，首先是通过多次抓包链接来分析，具体的界面就不演示了，在手机备用机截图再传到电脑有点麻烦，总之就是进入某宝首页之后选择几个大类进行分析，这里我选择鞋类。

1. 抓包。经过几次抓包之后，我得到了这么几条header和url

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111

   /gw/mtop.taobao.wireless.home.awesome.category/1.0/?data={"containerParams":"{\"category_home_main\":{\"passInfo\":{\"categoryId\":\"1\",\"scm\":\"1.1.1.1\",\"spm\":\"2.2.2.2\"},\"count\":\"300\",\"pNum\":1,\"pSize\":\"20\",\"floorDataKey\":\"offline_auto_st_fenlei_gul_5\",\"categoryId\":\"5\"}}"} /gw/mtop.taobao.wireless.home.awesome.category/1.0/?data={"containerParams":"{\"category_home_main\":{\"passInfo\":{\"categoryId\":\"1\",\"scm\":\"1.1.1.1\",\"spm\":\"2.2.2.2\"},\"count\":\"300\",\"pNum\":2,\"pSize\":\"20\",\"floorDataKey\":\"offline_auto_st_fenlei_gul_5\",\"categoryId\":\"5\"}}"} /gw/mtop.taobao.wireless.home.awesome.category/1.0/?data={"containerParams":"{\"category_home_main\":{\"passInfo\":{\"categoryId\":\"1\",\"scm\":\"1.1.1.1\",\"spm\":\"2.2.2.2\"},\"count\":\"300\",\"pNum\":3,\"pSize\":\"20\",\"floorDataKey\":\"offline_auto_st_fenlei_gul_5\",\"categoryId\":\"5\"}}"} url方面只有一个pNum发生改变，通过解读categoryId和offline_auto_st_fenlei_gul_5是和分类有关 GET /gw/mtop.taobao.wireless.home.awesome.category/1.0/?data=%7B%22containerParams%22%3A%22%7B%5C%22category_home_main%5C%22%3A%7B%5C%22passInfo%5C%22%3A%7B%5C%22categoryId%5C%22%3A%5C%221%5C%22%2C%5C%22scm%5C%22%3A%5C%221.1.1.1%5C%22%2C%5C%22spm%5C%22%3A%5C%222.2.2.2%5C%22%7D%2C%5C%22count%5C%22%3A%5C%22300%5C%22%2C%5C%22pNum%5C%22%3A4%2C%5C%22pSize%5C%22%3A%5C%2220%5C%22%2C%5C%22floorDataKey%5C%22%3A%5C%22offline_auto_st_fenlei_gul_5%5C%22%2C%5C%22categoryId%5C%22%3A%5C%225%5C%22%7D%7D%22%7D HTTP/1.1 x-features: 1051 x-sgext: 923 c-launch-info: 3,0,1589855378513,1589854249610,3 x-page-name: com.taobao.tao.TBMainActivity x-location: 113.898527%2C22.559562 user-agent: MTOPSDK%2F3.1.1.7+%28Android%3B6.0%3BLGE%3BNexus+5%29 x-ttid: 255200%40taobao_android_9.1.0 a-orange-q: appKey=21646297&appVersion=9.1.0&clientAppIndexVersion=1120200519105300733&clientVersionIndexVersion=0 x-region-channel: CN x-appkey: 21646297 x-nq: WIFI x-mini-wua: HHnB_f2neBlTdTjk8ZSjXITZAbprj%2FnSZrsNyMXTDiIMvSkOUKcVjRyX9wmoNeQx19JjHYYee2INf2aMZEOUjLwhAX8bSytyXJh0IkWBu%2BwJqTisV%2F33dOzxk9bKCNVsP9zuG x-c-traceid: XsH0CT60aOsDAN7vIwnu1EBX1589855378513003318953 A-SLIDER-Q: appKey%3D21646297%26ver%3D1589855467000 x-app-conf-v: 19 content-type: application/x-www-form-urlencoded;charset=UTF-8 x-bx-version: 6.4.11 x-pv: 6.3 x-t: 1589860213 x-app-ver: 9.1.0 f-refer: mtop x-ua: Nexus+5%28Android%2F6.0%29+AliApp%28TB%2F9.1.0%29+Weex%2F0.26.4.15+1080x1776 Cookie: enc=NNfvnNXF49PxOEAWPJf5erpWX2peeDJ4aTsC4itKCa%2F%2F%2FzdbkxnnoAOUXf%2FlK6IHMAgZbDsO2VJiwdEh9i140pFVp8EmtszG3FmsZlNUvWrb%2BbEafGzOVEHanFG3ZHD%2F; t=3ca7a7048fdc1951641416b9c7d9d009; cna=vU9JFywljSMCAXd7QgofYyOp; isg=BP7-BHRzLGvKi3hPlpm5oereRBZAP8K54KECqKgHasE8S54lEM8SySQqx1Eh87rR x-nettype: WIFI x-utdid: XsH0CT60aOsDAN7vIwnu1EBX x-umt: 3chLUQlLOrtJizVyJbt5eh5X6ybjkU4A x-devid: AlIIGjBB8hu-MhwFwsKiqoIbFxRU_UbqZczBpTHCpjgx x-sign: azYBCM002xAAEiNmZZ4YFioQJOLxUiNiLOiPR8T87Et%2BvqfXM%2FaQyZf6kDUBOZT1godd0E1bN4IgKOduc1NnJfFV8nMDMiNiIzIjYi x-page-url: https%3A%2F%2Fg.alicdn.com%2Ftbsearchwireless-pages%2Fnew-categories%2F0.0.34%2Fpages%2Findex%2Findex.weex.js Host: guide-acs.m.taobao.com Accept-Encoding: gzip Connection: Keep-Alive GET /gw/mtop.taobao.wireless.home.awesome.category/1.0/?data=%7B%22containerParams%22%3A%22%7B%5C%22category_home_main%5C%22%3A%7B%5C%22passInfo%5C%22%3A%7B%5C%22categoryId%5C%22%3A%5C%221%5C%22%2C%5C%22scm%5C%22%3A%5C%221.1.1.1%5C%22%2C%5C%22spm%5C%22%3A%5C%222.2.2.2%5C%22%7D%2C%5C%22count%5C%22%3A%5C%22300%5C%22%2C%5C%22pNum%5C%22%3A2%2C%5C%22pSize%5C%22%3A%5C%2220%5C%22%2C%5C%22floorDataKey%5C%22%3A%5C%22offline_auto_st_fenlei_gul_5%5C%22%2C%5C%22categoryId%5C%22%3A%5C%225%5C%22%7D%7D%22%7D HTTP/1.1 x-features: 1051 x-sgext: 923 c-launch-info: 3,0,1589854643723,1589854249610,3 x-page-name: com.taobao.tao.TBMainActivity x-location: 113.898527%2C22.559562 user-agent: MTOPSDK%2F3.1.1.7+%28Android%3B6.0%3BLGE%3BNexus+5%29 x-ttid: 255200%40taobao_android_9.1.0 a-orange-q: appKey=21646297&appVersion=9.1.0&clientAppIndexVersion=1120200519105300733&clientVersionIndexVersion=0 x-region-channel: CN x-appkey: 21646297 x-nq: WIFI x-mini-wua: HHnB_PuSkO%2BJTZaf1B5DNFxPEL8DBDzA7drX2AZj0B87KENBYaAWkgjVU6KOKgkIOk%2FQRU8yCLTMP%2B%2FihpCqAmSlbOLRmNBQDWr0v76b271lTfTmGeG2XMlFRyvdEm2d5wLvf x-c-traceid: XsH0CT60aOsDAN7vIwnu1EBX1589854643723002418953 A-SLIDER-Q: appKey%3D21646297%26ver%3D1589855467000 x-app-conf-v: 19 content-type: application/x-www-form-urlencoded;charset=UTF-8 x-bx-version: 6.4.11 x-pv: 6.3 x-t: 1589859478 x-app-ver: 9.1.0 f-refer: mtop x-ua: Nexus+5%28Android%2F6.0%29+AliApp%28TB%2F9.1.0%29+Weex%2F0.26.4.15+1080x1776 Cookie: enc=NNfvnNXF49PxOEAWPJf5erpWX2peeDJ4aTsC4itKCa%2F%2F%2FzdbkxnnoAOUXf%2FlK6IHMAgZbDsO2VJiwdEh9i140pFVp8EmtszG3FmsZlNUvWrb%2BbEafGzOVEHanFG3ZHD%2F; t=3ca7a7048fdc1951641416b9c7d9d009; cna=vU9JFywljSMCAXd7QgofYyOp; isg=BP7-BHRzLGvKi3hPlpm5oereRBZAP8K54KECqKgHasE8S54lEM8SySQqx1Eh87rR x-nettype: WIFI x-utdid: XsH0CT60aOsDAN7vIwnu1EBX x-umt: 3chLUQlLOrtJizVyJbt5eh5X6ybjkU4A x-devid: AlIIGjBB8hu-MhwFwsKiqoIbFxRU_UbqZczBpTHCpjgx x-sign: azYBCM002xAAFZo1zRZU9Iycds5blZo1lb82EH2rVRzH6R6AiqEpni6tKWK4bi2iO9Dkh%2FQMjtWZf145ygTeckgCSyX6BZo1mgWaNZ x-page-url: https%3A%2F%2Fg.alicdn.com%2Ftbsearchwireless-pages%2Fnew-categories%2F0.0.34%2Fpages%2Findex%2Findex.weex.js Host: guide-acs.m.taobao.com Accept-Encoding: gzip Connection: Keep-Alive x-features: 1051 x-sgext: 923 c-launch-info: 3,0,1589854592815,1589854249610,3 x-page-name: com.taobao.tao.TBMainActivity x-location: 113.898527%2C22.559562 user-agent: MTOPSDK%2F3.1.1.7+%28Android%3B6.0%3BLGE%3BNexus+5%29 x-ttid: 255200%40taobao_android_9.1.0 a-orange-q: appKey=21646297&appVersion=9.1.0&clientAppIndexVersion=1120200519105300733&clientVersionIndexVersion=0 x-region-channel: CN x-appkey: 21646297 x-nq: WIFI x-mini-wua: HHnB_ZRyYSGvlmA2yQvhYgV0dmFWNQEgu7B4R5xkQT%2BG5Xl%2BEcZHmJLBEwXx2jecnlZ0ncvEjrgKQ8rbS4gmwSY2wYGPYP1fw1c9UExI2M2xUK1pTwJERgcMqeO%2FvOcjaf9eU x-c-traceid: XsH0CT60aOsDAN7vIwnu1EBX1589854592816002318953 A-SLIDER-Q: appKey%3D21646297%26ver%3D1589855467000 x-app-conf-v: 19 content-type: application/x-www-form-urlencoded;charset=UTF-8 x-bx-version: 6.4.11 x-pv: 6.3 x-t: 1589859427 x-app-ver: 9.1.0 f-refer: mtop x-ua: Nexus+5%28Android%2F6.0%29+AliApp%28TB%2F9.1.0%29+Weex%2F0.26.4.15+1080x1776 Cookie: enc=NNfvnNXF49PxOEAWPJf5erpWX2peeDJ4aTsC4itKCa%2F%2F%2FzdbkxnnoAOUXf%2FlK6IHMAgZbDsO2VJiwdEh9i140pFVp8EmtszG3FmsZlNUvWrb%2BbEafGzOVEHanFG3ZHD%2F; t=3ca7a7048fdc1951641416b9c7d9d009; cna=vU9JFywljSMCAXd7QgofYyOp; isg=BP7-BHRzLGvKi3hPlpm5oereRBZAP8K54KECqKgHasE8S54lEM8SySQqx1Eh87rR x-nettype: WIFI x-utdid: XsH0CT60aOsDAN7vIwnu1EBX x-umt: 3chLUQlLOrtJizVyJbt5eh5X6ybjkU4A x-devid: AlIIGjBB8hu-MhwFwsKiqoIbFxRU_UbqZczBpTHCpjgx x-sign: azYBCM002xAAFZ0GcAq7BWIAGknclZ0Fko8xIHqbUizA2RmwjZEurimdLlK%2FXiqSPODjt%2FM8ieWeT1kJzTTZQk8yTBXNJZ0FnSWdBZ x-page-url: https%3A%2F%2Fg.alicdn.com%2Ftbsearchwireless-pages%2Fnew-categories%2F0.0.34%2Fpages%2Findex%2Findex.weex.js Host: guide-acs.m.taobao.com Accept-Encoding: gzip Connection: Keep-Alive

2. 过滤出需要分析的参数。(对比多个，这里为了展示就展示两个)

   1 2 3 4 5 6 7 8 9 10 11 12

   c-launch-info:3,0,1589872373051,1589854249610,3 (坐标信息) x-mini-wua:HHnB_4dFrJ%2FT6Bhv%2B%2BPTXgrZ1nWRmMZAWMNI8pkgOEah7kl2wMyDt%2FZpDcUcAyVBjJVhCCMvcX%2BpqK4LUCRzJtDUPE4PJUE8ucM3sy435sYeqRBq03h2oezWeAU332DX45dda x-c-traceid:XsH0CT60aOsDAN7vIwnu1EBX1589872373051004618953 x-t:1589877208(13位时间戳) x-sign:azYBCM002xAAHuYi6PUG82%2FdlGulLuYu6aRKCwGwKQe78mKb9rpVhVK2VXnEdVG5R8uYnIgX8s7lZCIith%2BiaTQZNz9WfuYu5l7mLu c-launch-info:3,0,1589872347950,1589854249610,3 (坐标信息) x-mini-wua: HHnB_baQ24u4NguBRU150xZ50ldBt4hV5dK1f8574xrT2lMRpP%2B8u8K0s1tI3IjsERCkNqX3gi2%2FOewPqLfsgq9BubKXNHwTMG1djO2jdWSN%2Fnu5UqKiQnwVj9PAwzTJWDb03 x-c-traceid:XsH0CT60aOsDAN7vIwnu1EBX1589872347950004518953 x-t:1589877182(13位时间戳) x-sign:azYBCM002xAAF2kDUleakj9XAA2r92kHZo3FIo6Zpi402%2B2yeZParN2f2lBLXN6QyOIXtQc%2BfedqTa0LOTYtQLswuBW5Z2kHaWdpB2

3. 分析参数，可以一下子得出c-launch-info为坐标信息，x-t为13位时间戳，此时，列表页我们需要分析的参数就是这三个：x-mini-wua、x-c-traceid、x-sign

4. 然后同理分析详情页的参数，得到要分析的参数位：

   1 2	a-orange-q:appKey=21646297&appVersion=9.1.0&clientAppIndexVersion=1120200519164500786&clientVersionIndexVersion=0

5. 然后在JADX里面开始全局搜索x-sign这个参数

   

   然后通过X_SIGN来接着找

   

   凭着经验直接打开str3 = a3.get这个

   

   直接HOOK这个函数，看看他的输出是什么

   1

   {deviceId=AlIIGjBB8hu-MhwFwsKiqoIbFxRU_UbqZczBpTHCpjgx, appKey=21646297, pv=6.3, utdid=XsH0CT60aOsDAN7vIwnu1EBX, x-features=27, x-sgext=923, x-page-name=com.taobao.android.detail.wrapper.activity.DetailActivity, ttid=255200@taobao_android_9.1.0, user-agent=MTOPSDK/3.1.1.7 (Android;6.0;LGE;Nexus 5), v=6.0, sid=null, t=1589982926, umt=K2hLVxpLOpSWAzVyMhjfZ5nQV2DuuVe6, nq=WIFI, x-mini-wua=HHnB_jZX+huqaMrFczcM1GEiad7ER03Kq+D9s7fZR/me+8A4SQ0ildKYDnoBN6NLNvnVy3fhpvgtgkN8PugoZnD9Lx/stPsjtl0NL4Oe1Ykm+oqEUBILVP4yjfzPtQP7RtC5P, sign=azYBCM002xAAHVTezGer1lauXnYXDVTdVF94iLNDm/QCcdBnrYnndIm9R4p2AmXLbDHG8Wt8hjKXl5DRBOwQmobqhc0E/VTdVP1U3V, x-c-traceid=XsH0CT60aOsDAN7vIwnu1EBX1589978067917006811846, x-app-conf-v=19, api=mtop.taobao.detail.getdetail, data={"detail_v":"3.3.2","exParams":"{\"NAV_START_ACTIVITY_TIME\":\"1589978067673\",\"NAV_TO_URL_START_TIME\":\"1589978067640\",\"ad_type\":\"1.0\",\"appReqFrom\":\"detail\",\"clientCachedTemplateKeys\":\"[{\\\"id\\\":\\\"1538383035450\\\",\\\"version\\\":\\\"105\\\"}]\",\"container_type\":\"xdetail\",\"countryCode\":\"CN\",\"cpuCore\":\"4\",\"cpuMaxHz\":\"2265600\",\"dinamic_v3\":\"true\",\"id\":\"605411738976\",\"item_id\":\"605411738976\",\"latitude\":\"22.559565\",\"longitude\":\"113.898527\",\"osVersion\":\"23\",\"phoneType\":\"Nexus 5\",\"pvid\":\"e06d7a02-3a41-4fc8-890d-29dd32ed4b7d\",\"scm\":\"1007.12144.167868.4948118_0_3032\",\"soVersion\":\"2.0\",\"spm\":\"a2141.1.pinlei_tab3.d4-7\",\"spm-cnt\":\"a2141.7631564\",\"ultron2\":\"true\",\"utdid\":\"XsH0CT60aOsDAN7vIwnu1EBX\",\"wx_options\":\"{animated=true, url=//item.taobao.com/item.htm?id=605411738976&pvid=e06d7a02-3a41-4fc8-890d-29dd32ed4b7d&scm=1007.12144.167868.4948118_0_3032&spm=a2141.1.pinlei_tab3.d4-7&utparam=%7B%22x_hestia_source%22%3A%22st_fenlei_gul%22%2C%22x_object_type%22%3A%22item%22%2C%22x_mt%22%3A%228%22%2C%22x_src%22%3A%22st_fenlei_gul%22%2C%22x_pos%22%3A%228%22%2C%22x_pvid%22%3A%22e06d7a02-3a41-4fc8-890d-29dd32ed4b7d%22%2C%22scm%22%3A%221007.12144.167868.4948118_0_3032%22%2C%22x_object_id%22%3A%22605411738976%22%2C%22home_buckets%22%3A%22%22%2C%22home_industry_id%22%3A%221%22%2C%22item_type%22%3A%22normal%22%2C%22item_id%22%3A%22605411738976%22%7D}\"}","itemNumId":"605411738976"}, x-app-ver=9.1.0, f-refer=mtop, lng=113.898534, uid=null, netType=WIFI, x-page-url=http://item.taobao.com/item.htm, lat=22.559546}

   可以看到我们想要的参数都再这了。

   我们再Hook,看看

   

   起初，直接HOOK这个函数没HOOK到，说明可能是被覆盖了，调到Ine果然这个是一个接口，我们直接找到他的实现类，结果还是没有，那就再往上找到lnf，Hook结果如下：

   1

   {x-sign=azYBCM002xAAE/gHCEHCERkVrbCdk/gD+IHUVh+dNyqur3y5AVdLqiVj61Ta3MkVwO9qL8eiKuw7STwPqDK8RCo0KRYIQ/gD+EP4A/, wua=, x-mini-wua=HHnB_5wVgWoexqqWo9HBDLVo3p1V8AhBgHwmsOVrLy36q+5Muxkm7J8FrxGdjK/7hUqfhf7CRQSlgTManK7RONyuWKBiVBZwua+eFE3hN0475aSwvp8ebYizF7m0FkETcVDkB, x-sgext=923, x-umt=K2hLVxpLOpSWAzVyMhjfZ5nQV2DuuVe6}

   传入HOOK函数的参数为：

   

   观察p1和p2

   p1:

   1

   {deviceId=AlIIGjBB8hu-MhwFwsKiqoIbFxRU_UbqZczBpTHCpjgx, appKey=21646297, utdid=XsH0CT60aOsDAN7vIwnu1EBX, x-features=27, ttid=255200@taobao_android_9.1.0, v=6.0, sid=null, t=1589988811, api=mtop.taobao.detail.getdetail, data={"detail_v":"3.3.2","exParams":"{\"NAV_START_ACTIVITY_TIME\":\"1589983952396\",\"NAV_TO_URL_START_TIME\":\"1589983952357\",\"ad_type\":\"1.0\",\"appReqFrom\":\"detail\",\"clientCachedTemplateKeys\":\"[{\\\"id\\\":\\\"1538383035450\\\",\\\"version\\\":\\\"105\\\"}]\",\"container_type\":\"xdetail\",\"countryCode\":\"CN\",\"cpuCore\":\"4\",\"cpuMaxHz\":\"2265600\",\"dinamic_v3\":\"true\",\"id\":\"563772551039\",\"item_id\":\"563772551039\",\"latitude\":\"22.559652\",\"longitude\":\"113.89851\",\"osVersion\":\"23\",\"phoneType\":\"Nexus 5\",\"pvid\":\"e06d7a02-3a41-4fc8-890d-29dd32ed4b7d\",\"scm\":\"1007.12144.167868.4948118_0_3032\",\"soVersion\":\"2.0\",\"spm\":\"a2141.1.pinlei_tab3.d4-11\",\"spm-cnt\":\"a2141.7631564\",\"ultron2\":\"true\",\"utdid\":\"XsH0CT60aOsDAN7vIwnu1EBX\",\"wx_options\":\"{animated=true, url=//item.taobao.com/item.htm?id=563772551039&pvid=e06d7a02-3a41-4fc8-890d-29dd32ed4b7d&scm=1007.12144.167868.4948118_0_3032&spm=a2141.1.pinlei_tab3.d4-11&utparam=%7B%22x_hestia_source%22%3A%22st_fenlei_gul%22%2C%22x_object_type%22%3A%22item%22%2C%22x_mt%22%3A%228%22%2C%22x_src%22%3A%22st_fenlei_gul%22%2C%22x_pos%22%3A%2210%22%2C%22x_pvid%22%3A%22e06d7a02-3a41-4fc8-890d-29dd32ed4b7d%22%2C%22scm%22%3A%221007.12144.167868.4948118_0_3032%22%2C%22x_object_id%22%3A%22563772551039%22%2C%22home_buckets%22%3A%22%22%2C%22home_industry_id%22%3A%221%22%2C%22item_type%22%3A%22normal%22%2C%22item_id%22%3A%22563772551039%22%7D}\"}","itemNumId":"563772551039"}, lng=113.898523, uid=null, lat=22.55956}

   p2:

   1	{pageName=com.taobao.android.detail.wrapper.activity.DetailActivity, pageId=http://item.taobao.com/item.htm}

   p2应该是固定不变的，只要进到详情页，p1的话通过对比url发现data里的属性就是url里的参数，url需要转义才能看出来，比如说

   1

   /gw/mtop.taobao.detail.getdetail/6.0/?data=%7B%22detail_v%22%3A%223.3.2%22%2C%22exParams%22%3A%22%7B%5C%22NAV_START_ACTIVITY_TIME%5C%22%3A%5C%221589983571785%5C%22%2C%5C%22NAV_TO_URL_START_TIME%5C%22%3A%5C%221589983571766%5C%22%2C%5C%22ad_type%5C%22%3A%5C%221.0%5C%22%2C%5C%22appReqFrom%5C%22%3A%5C%22detail%5C%22%2C%5C%22clientCachedTemplateKeys%5C%22%3A%5C%22%5B%7B%5C%5C%5C%22id%5C%5C%5C%22%3A%5C%5C%5C%221538383035450%5C%5C%5C%22%2C%5C%5C%5C%22version%5C%5C%5C%22%3A%5C%5C%5C%22105%5C%5C%5C%22%7D%5D%5C%22%2C%5C%22container_type%5C%22%3A%5C%22xdetail%5C%22%2C%5C%22countryCode%5C%22%3A%5C%22CN%5C%22%2C%5C%22cpuCore%5C%22%3A%5C%224%5C%22%2C%5C%22cpuMaxHz%5C%22%3A%5C%222265600%5C%22%2C%5C%22dinamic_v3%5C%22%3A%5C%22true%5C%22%2C%5C%22id%5C%22%3A%5C%22603410116175%5C%22%2C%5C%22item_id%5C%22%3A%5C%22603410116175%5C%22%2C%5C%22latitude%5C%22%3A%5C%2222.559652%5C%22%2C%5C%22longitude%5C%22%3A%5C%22113.89851%5C%22%2C%5C%22osVersion%5C%22%3A%5C%2223%5C%22%2C%5C%22phoneType%5C%22%3A%5C%22Nexus+5%5C%22%2C%5C%22pvid%5C%22%3A%5C%22e06d7a02-3a41-4fc8-890d-29dd32ed4b7d%5C%22%2C%5C%22scm%5C%22%3A%5C%221007.12144.167868.4948118_0_3032%5C%22%2C%5C%22soVersion%5C%22%3A%5C%222.0%5C%22%2C%5C%22spm%5C%22%3A%5C%22a2141.1.pinlei_tab3.d4-9%5C%22%2C%5C%22spm-cnt%5C%22%3A%5C%22a2141.7631564%5C%22%2C%5C%22ultron2%5C%22%3A%5C%22true%5C%22%2C%5C%22utdid%5C%22%3A%5C%22XsH0CT60aOsDAN7vIwnu1EBX%5C%22%2C%5C%22wx_options%5C%22%3A%5C%22%7Banimated%3Dtrue%2C+url%3D%2F%2Fitem.taobao.com%2Fitem.htm%3Fid%3D603410116175%26pvid%3De06d7a02-3a41-4fc8-890d-29dd32ed4b7d%26scm%3D1007.12144.167868.4948118_0_3032%26spm%3Da2141.1.pinlei_tab3.d4-9%26utparam%3D%257B%2522x_hestia_source%2522%253A%2522st_fenlei_gul%2522%252C%2522x_object_type%2522%253A%2522item%2522%252C%2522x_mt%2522%253A%25228%2522%252C%2522x_src%2522%253A%2522st_fenlei_gul%2522%252C%2522x_pos%2522%253A%25229%2522%252C%2522x_pvid%2522%253A%2522e06d7a02-3a41-4fc8-890d-29dd32ed4b7d%2522%252C%2522scm%2522%253A%25221007.12144.167868.4948118_0_3032%2522%252C%2522x_object_id%2522%253A%2522603410116175%2522%252C%2522home_buckets%2522%253A%2522%2522%252C%2522home_industry_id%2522%253A%25221%2522%252C%2522item_type%2522%253A%2522normal%2522%252C%2522item_id%2522%253A%2522603410116175%2522%257D%7D%5C%22%7D%22%2C%22itemNumId%22%3A%22603410116175%22%7D

   转义后：

   1

   /gw/mtop.taobao.detail.getdetail/6.0/?data={"detail_v":"3.3.2","exParams":"{\"NAV_START_ACTIVITY_TIME\":\"1589983571785\",\"NAV_TO_URL_START_TIME\":\"1589983571766\",\"ad_type\":\"1.0\",\"appReqFrom\":\"detail\",\"clientCachedTemplateKeys\":\"[{\\\"id\\\":\\\"1538383035450\\\",\\\"version\\\":\\\"105\\\"}]\",\"container_type\":\"xdetail\",\"countryCode\":\"CN\",\"cpuCore\":\"4\",\"cpuMaxHz\":\"2265600\",\"dinamic_v3\":\"true\",\"id\":\"603410116175\",\"item_id\":\"603410116175\",\"latitude\":\"22.559652\",\"longitude\":\"113.89851\",\"osVersion\":\"23\",\"phoneType\":\"Nexus 5\",\"pvid\":\"e06d7a02-3a41-4fc8-890d-29dd32ed4b7d\",\"scm\":\"1007.12144.167868.4948118_0_3032\",\"soVersion\":\"2.0\",\"spm\":\"a2141.1.pinlei_tab3.d4-9\",\"spm-cnt\":\"a2141.7631564\",\"ultron2\":\"true\",\"utdid\":\"XsH0CT60aOsDAN7vIwnu1EBX\",\"wx_options\":\"{animated=true, url=//item.taobao.com/item.htm?id=603410116175&pvid=e06d7a02-3a41-4fc8-890d-29dd32ed4b7d&scm=1007.12144.167868.4948118_0_3032&spm=a2141.1.pinlei_tab3.d4-9&utparam=%7B%22x_hestia_source%22%3A%22st_fenlei_gul%22%2C%22x_object_type%22%3A%22item%22%2C%22x_mt%22%3A%228%22%2C%22x_src%22%3A%22st_fenlei_gul%22%2C%22x_pos%22%3A%229%22%2C%22x_pvid%22%3A%22e06d7a02-3a41-4fc8-890d-29dd32ed4b7d%22%2C%22scm%22%3A%221007.12144.167868.4948118_0_3032%22%2C%22x_object_id%22%3A%22603410116175%22%2C%22home_buckets%22%3A%22%22%2C%22home_industry_id%22%3A%221%22%2C%22item_type%22%3A%22normal%22%2C%22item_id%22%3A%22603410116175%22%7D}\"}","itemNumId":"603410116175"}

   这样对比就可以分析出来了，多抓几个包，找找谁是变的谁是不变的。

6. 通过frida-rpc来导出一个函数，方便我们主动去调用获取相应的参数

加固

1. 加固apk的特征（各家.so文件名特征 使用软件检测）

   (腾讯乐加固 360加固 梆梆 爱加密 等等)

2. 第三方加固/自己加固（一般在哪家应用市场发布 就要用哪家的加固方案）

3. 为什么要加固（一定程度保护源代码）

4. 加固方式（.dex加固 .so加固）

如何确定是否加固，和用了什么加固

1. 反编译apk，或者解压缩apk
2. 看assets，有的assets会存在sick文件
3. 看lib，里面的so会有加固厂商的so文件,libshella、libshellx属于腾讯加固（乐固），libSecShell属于梆梆加固
4. 看classes.dex有没有加固（通过jadx打开这个dex，打开只看到比如，com.tencent，说明已经被加固了，除了能看到加固的代码外，别的源码都没有）

Android启动之后去找加载Application，然后找相应的加载界面即new Activity,而加固之后的apk先启动起来，通过自己的手段把之前加密的东西给解出来，因为本身apk必须要进入到自己的Application才能启动起来，但现在是进入到加固的壳的applicaiton然后onCreate()进行解密操作，然后反解除原application然后才能进入到原流程界面。

逆向/脱壳方法

1. 反编译/HOOK技术和动态调试
2. HOOK：先取得要HOOK函数/方法的控制权，不用破坏程序
3. 动态调试：反调试，汇编，计算内存地址

脱壳

脱壳原理

​ 在壳APK解密源APK后，源APK被加载前，拦截这个过程函数，把内存中Dump出dex。

手动脱壳

​ 通过动态调试，跟踪计算Dex源文件的内存偏移地址，从内存中dump出Dex文件，此种方法难度大，寄存器，汇编，反调试，反读写，IDA

工具脱壳

​ HOOK技术/内存特征寻找

​ 简单易操作

##### 基于xposed脱壳工具：

​ Fdex2: Hook ClassLoader loadClass方法 通用脱壳

​ dumpDex:

python调用JAVA

把加密函数找到之后，单独弄成一个类，然后编译，把java编译成class文件，即javac xx.java

然后把class做成jar，即jar cvf xx.jar *;(注意这个类要有main函数)

然后java -cp xx.jar xx (这个xx是jar包的名字)

然后通过jpype python第三方库 调用 jar 对windows不太兼容，所以碰到这种加密，我个人建议是通过python进行改写加密函数

Frida学习整理

    一个逆向框架，能HOOK安卓、IOS、windows、应用层、native层，注入JS或者Python代码，不需要重启设备，编译（设备一定要root，虽然有不root方法，但是可能会碰到各种坑）

    HOOK先决条件：

1. 要看懂需要Hook哪个方法

   2. 要有源代码

    Frida组成部分：

    - Frida-server: 运行在设备上
    - Frida: Python模块
    - Frida-tools: 提供cli工具命令，跟Frida-server交互

    Frida常用模块API：

- Java模块：HOOK JAVA层的类方法相关
- Process模块：处理当前线程相关
- Interceptor模块：操作指针相关，多用来HOOK Native相关
- Memory模块：内存操作相关
- Module模块：处理so相关

固定的代码部分：

1
2
3
4
5
6
7
8

// 参数是function(),为JS代码
Java.perfom(function(){
	var test = java.use("类路径（含类名），跟平时写JAVA的路径一样");
	// 要HOOK的函数的要做的相关操作
	test.函数名.implentation = function(有参数就传没参数就不穿，有几个参数写几个){
		具体要HOOK的操作
	}
})

如何HOOK so库：

Module模块:

• findExportByName(moduleName|null, exportName)

  ​ moduleName: lib名字

  ​ exportName: 函数名字

  该函数返回exportName的地址

• findBaseAddress(moduleName)

  ​ moduleName: lib名字

  该函数返回lib的基地址（用以HOOK so库的基地址）

Process模块：

• findModuleByAddress(address)

  ​ address: lib的指针地址

  该函数返回一个Module对象

Momery模块

• readCString(pointer)

  ​ pointer:指针地址

  把pointer还原成字符串

• readUtf8String(pointer)

• readAnsiString(pointer)

Interceptor模块： 监听

• attach(target, callbacks)

  ​ target:指针地址

  ​ callbacks: 回调函数

  ​ onEnter

  ​ onLeave

• replace(target, replacement) —— 该函数用以改变原函数逻辑的

HOOK so示例：

假设要HOOK一个hello.so中的printHello();

1. var  pointer = Module.findExportByName("hello.so", "printHello")  ——此时Hook住了这个函数,返回一个地址指针    

   2. Interceptor.attach(pointer, callbacks) ——通过刚才的pointer传进来callbacks可以调用onEnter,即HOOK住之后马上执行onEnter，结束之后进入到onLeave函数（）

​

常HOOK的系统so库

​ libc.so常调用函数：

​ void * dlopen(const char * filename, int flag); 加载动态链接库

常用的API函数

device = frida.get_usb_device() // 获取设备

pid = device.spawn() // APP启动时Hook,此函数也需要APP运行时调用，只是需要重启设备

Frida脱壳

加固原理

• APP启动，壳dex先加载起来，壳负责读源classes.dex，对源classes.dex加密，并写进壳的classes.dex,生成新的apk

解密原理

• 新apk被点击，启动，把源classes.dex读出来，解密源classes.dex，把源classes.dex给加载起来

dex文件格式

• 不同的文件格式都有自己定义的文件格式（.txt,.excel,.xml等等）
• dex开头的前8个字节是magic位 –>dex 035，4个字节是校验位，20个字节是签名
• 从32字节开始，4个字节 dex文件大小

脱壳原理：

1. APP启动
2. 壳dex先加载起来
3. 壳负责把源dex文件读出来
4. 壳把源dex文件解密
5. 把解密后的dex加载进内存，源dex运行起来
6. 源dex文件最终会加载进内存
7. HOOK加载dex的函数，把dex从内存中dump出来
8. Hook DexFile: :OpenMemory()

frida rpc

与常规HOOK不同之处：

• 常规HOOK是被动，Hook的函数/方法要被动等待触发，不能主动调用要Hook的代码，rpc能主动调用要HOOK的代码

go语言的基本类型

数字：

1. int、int8、int16、int32、int64
2. uint、uint8、uint16、uint32、uint64、uintptr（与上面的区别在于，带u开头的是无符号类型
3. byte(uint8的别名)
4. rune(int32的别名)
5. float32、float64
6. complex64、complex128(复数类型，由两个浮点数表示，其中一个表示实部，一个表示虚部，complex64表示为32位实数和虚数；complex128则表示为64位的实数和虚数)

布尔:

bool

字符串

string

基本类型的默认值

bool:

默认值为false

string:

默认值为””,即空字符串

int型相关:

默认皆为0

float型相关:

默认皆为0

complex型:

默认为0+0i

go不支持隐式转换

必须进行显式转换才可以

go可以建立类型别名

类型的预定义值

1. math.MaxInt64
2. math.MaxFloat64
3. math.MaxUint32

指针类型

指针类型与C/C++相比的差异在于不能进行指针运算

以上是对Go语言基本类型的简要了解，让我们继续往下深入它！

kafka入门

什么是消息队列

利用高效可靠的消息传递机制进行异步的数据传输，并基于数据通信进行分布式系统的集成。通过提供消息队列模型和消息传递机制，可以在分布式环境下扩展进程间的通信。

为什么要用消息队列

1. 解耦

   多个系统对接一个系统，那个系统则需要进行多个系统接口的相应处理，增加系统的耦合，但如果接口通过消息队列进行对接，则系统将被解耦。如图

   

2. 削峰/限流

   如图上所示，当一个服务器每秒要承受那么多请求，假设系统A只能处理每秒10000次请求，则多出来1000的请求则可能会导致系统崩溃。所以我们引入消息队列：

   

系统B和系统C根据自己的能够处理的请求数去消息队列中拿数据，这样即便有每秒有11000个请求，请求也只是发到消息队列，由系统自己去取数据，这样就不会把整个系统给搞崩。

消息队列需要考虑的问题

1. 高可用

   消息队列不能单机，否在一个消息队列挂掉了意味着整个系统被挂掉了。所以，消息队列必须都是集群/分布式的。要做集群/分布式就希望该消息队列能够提供现成的支持，不需要自己手动写代码实现。

2. 数据丢失

   生产者将消息发送到消息队列上时，消费者没来得及消费，消息队列就挂掉了，如果没有做任何措施，数据将会丢失。

3. 消费者怎么取消息队列数据

   有两种方法：

   - 生产者将数据放到消息队列（push），消息队列有数据，主动叫消费者去拿
   - 消费者通过轮询消息队列，如果有消息，那就消费(pull)

4. 其他

   诸如消息重复消费、保证消息有序；所以引入消息队列也会提高系统的复杂性。

kafka概念

kafka是一个领英开发的消息队列，其由topic(其实也就是队列)、broker(Kafka的服务器，一个Kafka服务器对应一个broker)、Partition(分区)、Consumer（消费者）、Product（生产者）组成。

其他消息系统的优、劣势

表现形式：

• 消息队列

  一组消费者从消息队列中获取消息，消息会被推送给组中的某一个消费者

  优势：水平扩展，可以将消息数据分开处理

  劣势：消息队列不是多用户的，当一条消息记录被一个进程读取后，消息便会丢失

• 发布/订阅

  消息会广播发送给所有消费者

  优势：可以多进程共享消息

  劣势：每个消费者都会获得所有消息，无法通过添加消费进程提高处理效率

objection常用操作操作：

1. 启动objection(-d的意思是走调试模式，这个模式有attach,-g用于指定当前进程的包名)：

   • objection -d -g 包名 explore

2. objection重启APP并Hook

   • objection -g 包名 explore –startup-command ‘hook操作’

3. 查看它的activities

   • andriod hooking list activities

4. 查看它的class

   • andriod hooking list classes

5. 通过search命令来查看某个类

   • andriod hooking search classes 类名

6. 通过watch命令来Hook某个类的所有函数(这些dump-xx都可以不要，但是加上的话可以加)

   • andriod hooking list watch 包名.类名 –dump-args –dump-backtrace –dump-return

7. 通过watch命令可以Hook某个类的方法

   • android hooking watch 包名.类名.函数名

爬虫优化

当用户在浏览器输入URL回车时，到浏览器显示网页数据发生了什么？

1. 发起http请求，通过DNS解析把域名转换成IP

2. DNS解析又分为：

   • 本地解析
     • DNS服务器

   把域名解析为IP，解析耗时在10-100毫秒不等

3. 然后有些网站会走CDN分发，CDN上缓存了服务器上的网页数据，当客户端发请求之后，CDN分发会选择物理位置最近的CDN，用于减轻服务器压力

4. 当流量太大了，网站需要做负载均衡，负载均衡就是一种分布式技术，通过分发流量，减轻WEB服务器压力

DNS优化

查询DNS解析耗时：通过在控制台dig 域名的方式来查询DNS解析的耗时

重点：结合DNS解析直接请求IP的方法，如果网站有10个CDN节点，一个IP可以比以前多请求19倍才报废（节省开支）

如何优化：

1. 直接请求IP，绕过DNS域名解析环节（通过ping 域名的方式直接查到IP）
2. 搜索引擎爬虫会维护DNS池

CDN分发如何优化

在请求IP地址

如何确定对方有用CDN

1. 用两个不同省份的IP去ping域名 

   2. 观察域名或reponse的header

CDN注意事项：

​ CDN一般针对图片和视频，也有部分网站全使用CDN，CDN会缓存静态资源，如果动态的数据也放在CDN，CDN会频繁缓存，这是不好的。

关注SEO的网站，网站会有sitemap

尤其是新闻类、漫画类、小说类网站（sitemap.xml一般放在robots.txt,也可以通过/sitemap.xml这样的方式去试）

抓sitemap的好处：

1. 可以提供大量的种子url，甚至全站的URL都有

   2. 方便抓取网站新增URL

URL规律抓取

1. URL里的id号自增
2. URL有关联关系
3. URL能遍历完

出现验证码

降低爬虫难度，爬虫尽可能不要触发验证码，少去对抗对方的反爬系统、风控系统，尽可能模拟正常访问行为

容易出现验证码的情况

1. header信息始终不变
2. 账号异地登录（IP的地区控制不住）
3. 脏IP
4. 抓取对方的搜索接口

验证码解决办法

1. 对抗破解
2. 打码平台
3. IP切换（推荐）
   • adsl拨号
   • 代理IP
4. 寻找绕过方法

js修改函数的执行的效果的方式

   1. 覆盖原函数（即重写原函数
   2. 通过中间变量存储原函数，然后在一个新函数里面调用旧函数，并添加新的内容（即AOP与装饰器 
   3. hook函数

Object.defineProperty:用于替换一个对象的属性，属性里存的可能是方法，也有可能存的是一个值，

赋值 ‘=’ 相当于调用了setter(写成set也是可以的)，获取一个值相当于调用其getter(也可以写成get)

示例，hook Cookie:

1
2
3
4
5
6
7
8
9
10
11

var temp = "";
Object.defineProperty(document,'cookie',{
	set: function(val){
		console.log(val);
		temp = val;
		return val;
	},
	get:function(){
		return temp;
	}
})

hook是有时机

1. 在控制台注入的hook 刷新网页就失效了
   在网页加载第一个js的位置 第一行下断点 然后在控制台手动注入hook
   {有可能注入hook的时机还是会晚一点}

2. 利用FD的替换响应 注入hook
   这种的时机比较靠前

3. 油猴 不推荐，因为有些网站会检测得出是否在使用浏览器插件（不过用得挺爽的

webpack通用抓取方式:

1. 找到这个加载器（加载模块的方法
2. 找到调用的模块
3. 构造一个自执行方法
4. 导出加密方法
5. 编写自定义方法 按照流程加密

今日头条参数分析

今天我们直接来分析头条的参数

通过多次分析比较得出，第一个参数是时间戳，而其他4个是定值，那就还剩3个了as、cp、_signature.

as、cp:这个参数看上去就不能直接通过搜索，我们先通过_signature这个参数着手搜索。

搜索到这个地方，发现_signature为o，而o上面有个参数是this.params,然后我们又看到上面有个this._setParam，我们先跟进去。

跟进去直接找到cp、as这两个参数，都是由e生成，e在上面，我们先看看e

跟进e的_.default

你以为这就找到这两个值了吗？经过多次刷新比对，发现as、cp这两个值是动态的，这个写死的很明显不对，我们可以看到这两个参数的共同点

都是as:都是A1开头,cp都是E1结尾，所以我们就此找到了真正加密as和cp的地方

先扣出这部分的代码，然后再深入一步，到

把_.default替换为a这个函数，此时a里面的o.default就开始报错，在浏览器环境下直接找到相关依赖，我们找到了C这个函数

跟进去之后来到了这里

经过观察返回的这些函数都是这个C函数上面的这些单个字母命名的函数，直接扣下，在NODE环境可以直接运行

至此cp、as两个参数的加密都已经找到了。

接下来就是大头_signature，我们先找到o相关联的值，发现this.params为前面的几个参数，这个参数没有关联时间戳的那个参数

然后是this.url,这个是关联到之前的max_behot_time这个时间戳为值的参数

所以构建p.calcSignature的参数我们已经知道怎么拼接了

直接进到这个函数里

直接锁定加密处