[白嫖大法]某影视邀请协议分析
本帖最后由 正己 于 2021-6-7 18:49 编辑1.小草影视1.6.1
2.HttpCanary
3.MT管理器
4.算法助手:https://bbs.pediy.com/thread-267985.htm
# 一、抓包和算法助手定位
***
1.黄鸟开启抓包,发现可疑封包,invited是受邀的意思,可见这条封包便是我们邀请的关键封包,其中我们需要关注的是sign的算法
```
POST /api/public/init HTTP/1.1
log-header: I am the log request header.
app_id: xiaocao
channel_code: xc_ds30
cur_time: 1622713837238
device_id: c253b61fae991642
mob_mfr: huawei
mobmodel: BRQ-AN00
package_name: com.xiaocao.p2p
sign: F90E98C3DD93D851D6FD4A002DD58A60
sys_platform: 2
sysrelease: 7.1.2
token:
version: 16100
Content-Type: application/x-www-form-urlencoded
Content-Length: 11
Host: xcapp.cyb365.cn
Connection: Keep-Alive
Accept-Encoding: gzip
User-Agent: okhttp/3.10.0
invited_by=
```
2.复制sign中的值到算法助手中搜索,由此可知sign的值是由`36Q7tBqO3YqrMHf3c253b61fae9916421622713837238`进行md5加密得来的,在什么都不知道的情况下,盲猜`1622713837238`是时间戳
# 二、MT管理器分析与注入验证
***
1.直接搜数据啥也搜不到,所以我们根据算法助手的堆栈调用,定位到`com.xiaocao.p2p.util.AppUtils.md5`,由方法名我们可以知道,这个方法是进行了一次md5运算,因此要得到加密前的数值必须查看方法调用
2.调用处有三个,前两个很明显不是,我们直接看第三个(因为被数字加固了,所以我们简单修复一下代码),第三个有`getDeviceId`(获取设备id)、`System.currentTimeMillis`(获取时间戳)
```
public Response intercept(Interceptor.Chain chain) throws IOException {
Request.Builder newBuilder = chain.request().newBuilder();
String lowerCase = Build.MANUFACTURER.toLowerCase();
String str = Build.MODEL;
String str2 = Build.VERSION.RELEASE;
String deviceId = AppUtils.getDeviceId(BaseApplication.getInstance());
String appMetaData = AppUtils.getAppMetaData(BaseApplication.getInstance());
String token = UserUtils.getToken();
String upperCase = AppUtils.md5(AppUtils.normalSign(System.currentTimeMillis() + "")).toUpperCase();
Response proceed = chain.proceed(newBuilder.build());
f.d(proceed.code());
return proceed;
}
}
```
3.这个方法中我们来看看这一句代码,获取时间戳并传入normalSign这个方法中,然后再进行md5加密
`String upperCase =AppUtils.md5(AppUtils.normalSign(System.currentTimeMillis() + "")).toUpperCase();`
4.跟进一下normalSign方法,返回值是e.decode + 设备id + 时间戳(刚才传进来的),也验证了我们算法助手里找到的那个字符串`36Q7tBqO3YqrMHf3c253b61fae9916421622713837238`,`1622713837238`是时间戳,设备id:`c253b61fae991642`也就是我们的Android ID,也就是剩下一个`36Q7tBqO3YqrMHf3`目前还不知道是什么
```
public class AppUtils {
public static String normalSign(String str) {
return e.decode(ConstantUtils.a) + getDeviceId(BaseApplication.getInstance()) + str;
}
}
```
5.再跟进decode方法,很明显这是一个DES算法,我们在算法助手中搜一下`36Q7tBqO3YqrMHf3`,没想到是这个居然不是加密结果,失算了
```
public class e {
public static String decode(String str) {
try {
SecretKey generateSecret = SecretKeyFactory.getInstance(generateSecret(new DESedeKeySpec(getBytes()));
Cipher instance = Cipher.getInstance();
instance.init(2, generateSecret, new IvParameterSpec(getBytes()));
return new String(instance.doFinal(Base64.decode(str, 2)));
} catch (Exception e) {
e.printStackTrace();
return str;
}
}
}
```
6.这时我们不妨大胆猜测一下,这是一个固定的字符串。接下来我们用MT的注入来验证一下我们的猜测,注入方案如下:不会MT注入的可以看一下我之前的帖子,[点击跳转](https://www.52pojie.cn/thread-1347276-1-1.html)
7.果不其然,这是一个固定的字符串,我又测试了不同的手机或者模拟器,都是这个,所以我们直接拿来用就可以了
# 三、协议编写
***
综上所述,我们知道了sign的值就是由`36Q7tBqO3YqrMHf3` + 设备id + 时间戳,最后再md5加密。
那么设备id就可以由随机的16位字符串组成,时间戳直接调用就行。
协议代码如下:
```
# -*- coding: utf-8 -*-
# @Time : 2021-06-3 15:08
# @Author : 正己
# @FileName: 小草影视邀请协议.py
# @Software: PyCharm
import requests
import time
import random
import hashlib
def a():
#获取时间戳
t = str(int(round(time.time() * 1000)))
print(t)
# 随机生成16位数字
id = "".join(random.choice("123456789abcdef") for i in range(16))
#sign算法:固定字符串+16位随机数+时间戳再md5
md = "36Q7tBqO3YqrMHf3" + id + t
print(md)
#md5加密,并且转换为大写字母
m = hashlib.md5(md.encode(encoding='UTF-8')).hexdigest().upper()
print(m)
header = {
'log-header': 'I am the log request header.',
'app_id': 'xiaocao',
'channel_code': 'xc_tg18',
'cur_time': t,
'device_id': id,
'mob_mfr': 'xiaomi',
'mobmodel': 'Redmi K40 Pro',
'package_name': 'com.xiaocao.p2p',
'sign': m,
'sys_platform': '2',
'sysrelease': '9',
'token': '',
'version': '16100',
'Content-Type': 'application/x-www-form-urlencoded',
'User-Agent': 'okhttp/3.10.0'
}
datas='invited_by=123456' #填入你的邀请码
urls = 'https://xcapp.cyb365.cn/api/public/init'
res = requests.post(url=urls,data=datas,headers=header)
print(res) #返回200即邀请成功
if __name__ == '__main__':
j=0
for i in range(50):#五十次即可永久去广告
time.sleep(random.randint(1, 15))# 设置随机延时
a()
print("已刷{}次".format(i))
j+=1
if j == 50:
break
```
看一下效果:
# 四、尾声
***
虽然说这个协议能行,但是去的只是播放前的广告,还有一些轮播广告(还有点少儿不宜)。不过呢,建议你们慢慢刷,官方会封号的,且行且珍惜。至于其他广告其实也很好去,我这里就简单提一下,com.xiaocao.p2p.entity.AdInfoDetailEntry类中的getSdk_ad_id方法修改返回0即可。对了,这个方法是通用于小草六兄弟的,毕竟都是换壳app,但是完全不用去试,我发现六兄弟其实都可以一个账号去登陆的,而且效果都一样。
qvbfncel 发表于 2021-6-9 16:40
卡在了协议编写,大佬这一步可不可以再详细点,小白
协议编写就是一段post请求,需要点python基础。看不懂就多看几遍,我前面的逻辑讲得很清楚的,哪里没懂你再说,至于你说的分身刷会不会封号我也不清楚,看官方了 正己 发表于 2021-6-9 18:12
协议编写就是一段post请求,需要点python基础。看不懂就多看几遍,我前面的逻辑讲得很清楚的,哪里没懂你 ...
前面的步骤都懂了,就是协议不懂,因为我Python都不知道是啥,哈哈哈,我还是第一次用mt,不过还是感谢大佬! 沙发沙发 大佬nb。。。。 厉害,这技术羡慕 小草要更新了 看样子 好兄弟来了 真不错666 还有自己抢沙发的?
感谢楼主分享,支持一下! 正己大佬{:1_918:}这个工具解密方便 正义大佬,小弟前来膜拜