东营铁皮保温 某好意思考证码及风控浅析

声明

本著作中扫数骨子仅供学习换取使用，无须于其他任何指标，严禁用于买卖用途和坐法用途，不然由此产生的切用均与作家关！若有侵权东营铁皮保温，请相关作家删除。

绪论

记载下逆向某登陆的回归!重要部分已作念码惩处，网址敏锐，暂不共享(笔者可不思再来发！)，后续会提供分析样本，感感恩会。emmm，此次登录统统碰到了某好意思滑块考证码,某好意思指纹风控。接下来就干预正题吧老铁们！

接口分析

提交登录触发事件之后统统出现n个数据包。其中灵验的即是考证码接口，风控接口和校验接口。先陋劣说下吧，接口复返的限定即是先即是register接口，web接口，fverify接口，后是verify接口。

register接口

organization：某好意思家具唯符号

callback：回调ID

sdkver：符号版块

captchaUuid：32位飞速字符串

model：步地，也即是此次要惩处的考证码类型是滑块考证码

其他：齐是固定的，不外有些值后续加密的技巧会使用到。然而是固定的没要究，不事后续会略微说下的勒。

web接口

指纹的个加密的接口东营铁皮保温。

callback：回调ID

organization：某好意思家具唯符号

smdata：指纹加密

os：他写的web，我估量是这个家具使用的是网站或是app。

version：版块

手机：18632699551（微信同号）

复返值是个JSONP，看着参数不咋多勒，smCB_*` 函数后续会被调用，何况罗致相应的 JSON 数据，完成跨域数据赢得。换句话说即是这些复返值后续会径直作为指纹二次加密的值。为什么前边接口的jsonp不说，这个接口的JSONP我会门拿来说，即是因为碰到坑了后续会细说，荒谬是sign跟timestamp和len这三个值荒谬迫切，卡了我很久。

fverify接口

fverify接口即是考证码校验接口

考证码复返值是pass即是通过东营铁皮保温，没通过即是REJECT。

verify接口是校验接口

佩带的参数有account，clientId，deviceId，keyPairId，pageToken，password，promotionId，rid，smDeviceId，设备保温施工state，type，uiaType。

account是网站加密之后的账号

password是网站加密之后的密码

其余参数除了固定除外的齐在后续考证码跟指纹那块了。

考证码

考证码相关的接口就只消register接口，fverify接口和verify接口。话未几说，径直开动逆向分析。

register接口

register就只消个captchaUuid，不去刷新大约不变，参考了b站韭菜何某的教程说是固定的，然而刷新之后又是会变化的，依着知其然知其是以然的原则，我决定究下去，于是我开动找多样著作，终于参考k佬的著作找出来了加密点，就浅析下吧！

captchaUuid

跟栈进去断点刷新考证码赢得，断点断住了

搜索captchaUuid，不错看到captchaUuid在此文献统统出现了6次。沿路断点逐分析。

这是扫数断点唯断住的地，不错看到他是被_xda8467赋值的，径直搜索_xda8467，过程断点调试，此时captchaUuid早就被生成了，是从_x2b2937取的值。

经此料定，captchaUuid生成的地不在这个文献，思找到生成点，跟栈回溯也好，搜索也罢。我的民风是先全局搜索，果然找不到再回溯跟栈。全局搜索之后，captchaUuid还出当前smcp.min.js。

在smcp.min.js搜索captchaUuid，发现他是由_x4954a5赋值的。此处只截图了个赋值点，代码内部有蛮多的地captchaUuid齐是被_x4954a5赋值的。

搜索_x4954a5很容易就找到了生成点，然而代码浑浊了。我们径直办动解浑浊望望代码究竟写了什么。

这里有个或运算东营铁皮保温，它会从左到右求值，复返个真值抒发式的适度，要是从userConfig取不到captchaUuid，即是undefined，则运行后头的函数。要是userConfig内部有captchaUuid则直没生成captchaUuid。这也即是为什么过考证码的技巧captchaUuid直没变，刷新之后就变了。尔后头的函数即是生成captchaUuid的地。

userConfig["captchaUuid"] 相关词条:铝皮保温施工	
隔热条设备
	钢绞线玻璃棉卷毡