网站 › 『编程语言讨论求助区』 › python 洞见者监控求助

str_cg 发表于 2022-3-29 23:39

python 洞见者监控求助

本帖最后由 str_cg 于 2022-3-30 10:33 编辑

已解决，敏感信息已删除
最近馋海底捞了，想做一个洞见者监控，但是不知道为啥用python一直提示请求参数校验失败，在burpsuite里重放一直没问题，如下图所示：


请各位大佬帮忙看下{:1_893:}
python源码如下：
import requests

session = requests.session()

burp0_url = "https://app.anonym-hi.com:443/base/mobile/api/tasklist"
burp0_headers = {"sign": "xxxx
               "token": xxxx
               "RN": "0",
               "flag": "1",
               "lang": "zh_cn",
               "deviceid": "566cede657d661a64328946b1fd6d535",
               "deviceType": "M2007J1SC",
               "osType": "Xiaomi",
               "versionCode": "28",
               "versionName": "2.3.5",
               "Content-Type": "application/json; charset=UTF-8",
               "Connection": "Keep-Alive",
               "Accept-Encoding": "gzip",
               "User-Agent": "okhttp/3.12.0"}
burp0_json={"city": "440600",
            "country": "",
            "current": 1,
            "lnglat": "113.12370758617541,23.00645597470435",
            "orderType": 1,
            "size": 10,
            "tenant_id": ""}
res = session.post(burp0_url, headers=burp0_headers, json=burp0_json)
print(res.text)

叫我小王叔叔 发表于 2022-3-30 07:30

你token过期了吧，先做一个登陆的动作，获取token后，再获取list列表

str_cg 发表于 2022-3-30 08:35

叫我小王叔叔 发表于 2022-3-30 07:30
你token过期了吧，先做一个登陆的动作，获取token后，再获取list列表

没过期，用bp发送请求还是可以

str_cg 发表于 2022-3-30 08:36

limuyan44 发表于 2022-3-30 07:44
你俩header都不一样。

一样吧，有少什么字段吗

str_cg 发表于 2022-3-30 09:01

limuyan44 发表于 2022-3-30 08:38
有的会验证host length之类的

复制成curl转成python也还是不行{:301_1005:}

str_cg 发表于 2022-3-30 09:17

limuyan44 发表于 2022-3-30 09:03
你curl行不行呢

PS C:\Users\LCG> curl -i -s -k -X $'POST' -H $'sign: c7c021f1420daeeb1ca2b6327726d116' -H $'token:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJkZXZpY2VfaWQiOiI1NjZjZWRlNjU3ZDY2MWE2NDMyODk0NmIxZmQ2ZDUzNSIsInVzZXJfZmxhZyI6ImFwcCIsImlkIjoiM2E0MzIyMzM0OGZkYTU4NjU1NGU3ZjYwMjdmNDVmNzAiLCJleHAiOjE5NTQ4ODgwMTUsImlhdCI6MTYzOTUyODAxNX0.UfZK2gMuQOZZocg41qiTqjQ8aWqb3A0u_KseigH5_so' -H $'RN: 0' -H $'flag: 1' -H $'lang: zh_cn' -H $'deviceid: 566cede657d661a64328946b1fd6d535' -H $'deviceType: M2007J1SC' -H $'osType: Xiaomi' -H $'versionCode: 28' -H $'versionName: 2.3.5' -H $'Content-Type: application/json; charset=UTF-8' -H $'Content-Length: 131' -H $'Host: app.anonym-hi.com' -H $'Connection: Keep-Alive' -H $'Accept-Encoding: gzip' -H $'User-Agent: okhttp/3.12.0' --data-binary $'{\"tenant_id\":\"\",\"orderType\":1,\"country\":\"\",\"current\":1,\"lnglat\":\"113.12370758617541,23.00645597470435\",\"size\":10,\"city\":\"440600\"}\x0d\x0a'$"https://app.anonym-hi.com/base/mobile/api/tasklist"
Invoke-WebRequest : 缺少参数“InFile”的某个参数。请指定一个类型为“System.String”的参数，然后再试一次。
所在位置 行:1 字符: 6
+ curl -i -s -k -X $'POST' -H $'sign: c7c021f1420daeeb1ca2b6327726d116' ...
+      ~~
    + CategoryInfo          : InvalidArgument: (:) ，ParameterBindingException
    + FullyQualifiedErrorId : MissingArgument,Microsoft.PowerShell.Commands.InvokeWebRequestCommand


没怎么用过curl，复制过去报错

dukeimp 发表于 2022-3-30 09:29

每次请求应该重新获取一个token

叫我小王叔叔 发表于 2022-3-30 09:34

limuyan44 发表于 2022-3-30 08:38
有的会验证host length之类的

我加上了，还是不行，应该就是token的问题，我浏览器不登陆直接访问连接，也是这个提示

叫我小王叔叔 发表于 2022-3-30 09:39

str_cg 发表于 2022-3-30 08:35
没过期，用bp发送请求还是可以

你现在发送还可以吗？

str_cg 发表于 2022-3-30 09:41

叫我小王叔叔 发表于 2022-3-30 09:39
你现在发送还可以吗？

可以，解决了谢谢

查看完整版本: python 洞见者监控求助