小红书pc端 作者文章列表 x-s、x-t研究
闲来无事,研究了 小红书pc端 逆向,发现文章列表来源于api 作者页面, 有用到x-s和x-t1. 全局搜索 x-s ,找到对应位置,打上断点,然后发现是16机制混淆的
稍微解一下混淆,让代码好看一点,发现逻辑是下面这样的:
1 . X-t = new Date()['getTime']()`
2. X-s是对组装的链接调用两次方法加密而成'前面时间戳test/api/sns/web/v1/user_posted?num=30&cursor=&user_id=作者id’ _0x4c4a9b(_0x2b2945(前面的链接))
一路向上找,发现这里两个参数是方法sign 返回的,下面就开始进进入补代码的环节了
1. 执行sign , 发现缺少变量_0x53b5,_0x2b26,补充之后,执行发现内存溢出, 原因是因为有格式化检测,将this['oZWGeM'];反格式化之后,代码可以往下执行,但是报错, 原因是因为_0x2b26和_0x53b5之间有一个自执行方法,用来给_0x2b26 移位的, 添加上去之后,可以出来值,但是遗憾的是,请求得不到正常的数据, 原因是有进行后端环境校验,加上环境,再出值就是正确的了。
发现会重写 _0x3997ed;
补齐正确的环境之后,就大功告成了 莫凌 发表于 2023-2-20 01:23
现在是又换了么,后端校验怎么去做呢,我把js扣出来但是不能正常收到数据
应该还没有,原来的代码还可以正常运行
ps:
这个加密只是针对某个作者下面的所有文章列表页, 不是针对具体某一篇文章。发现这两个网址的加密算法不一样 有没有APP研究 下 顶起来坎坎坷坷{:1_911:} 本帖最后由 zhang7069 于 2023-2-9 19:07 编辑
其实可以把应用挂上链接更完美 优秀,期待成品 敢问题主,这个是用来做什么的呀 期待成品 牛逼,我都是今天才看到说小红书上线网页吧。没想到已经有大佬开始研究了。 期待你的结果 加油,期待!!!
页:
[1]
2