一、声明!
原创文章,请勿转载!
本文内容仅限于安全研究,不公开具体源码。维护网络安全,人人有责。
文章中所有内容仅供学习交流使用,不用于其他任何目的,均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关。
本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请联系作者立即删除,请各位自觉遵守相关法律法规。
二、如何访问验证码
验证码来源:某公众号的车辆预约
地址:
aHR0cHM6Ly9hcHAuYXBweWt0LmNvbS8jL3BhZ2VzL3Zpc3Rvci92aXN0b3JDP3BhcmtJZD0xMDE2MjYwNiZ0b2tlbj15b3VfdG9rZW4=
访问方法:需要在公众号中复制出自己的token,然后粘贴到地址中就可以。
三、开始
1.首先通过插件 User-Agent Switcher and Manager 将浏览器的默认User-Agent 修改为vx的UA才能够正常的拿到验证码(配置插件:Chrome浏览器更改默认User-Agent),如果没有配置vx的UA,会出现以下情况:
2.接口分析
接口的请求流程,与普通的V2差不多,都是四个接口,这里再过一遍。
1、获取验证码接口
2、提交第一次设备信息接口
3、提交第二次设备信息接口
4.校验验证码接口(这个网站是自己做的校验接口,而不是通过阿里的,这个接口的参数都是通过AES的ECB模式进行加密的,并且返回的密文也是可以通过AES进行解密)
密文参数:
解密后(可以看到verifyParam的参数与普通V2大差不差):
3.接口参数,这篇有介绍:南方航空阿里v2滑块验证码逆向分析思路学习-CSDN博客
4.不同于普通的V2滑块的可能只有轨迹了:
1.看得出多了两个参数:slidePos、xPos,第一个参数是滑块移动距离,第二个参数是缺口移动距离。
2.至于其他的轨迹值处理也跟普通的V2差不多:
四、结果展示
创作不易求个赞再走~~~
学习交流QQ:450297392
