吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 22389|回复: 85
收起左侧

[Web逆向] 对兜兜风软件的扫码登录的分析

    [复制链接]
Peanut_GGG 发表于 2021-1-31 16:01
本帖最后由 Peanut_GGG 于 2021-1-31 16:18 编辑

之前就看到了兜兜风的软件
好奇他是怎么获取的Cookies的(扫码)
众所周知,某东扫码登录一般是PC端的Cookies但是炸年兽需要m端的Cookies
所以就用HTTP Debugger Pro抓包看了一下
发现兜兜风不是用的某东官方的二维码登录接口,而是利用了一个小bug
东m端有一个东一键登录,是用scheme实现的,具体的网页是
https://plogin.m.某东.com/login/login?appid=300&returnurl=https%3A%2F%2Fwq.某东.com%2Fpassport%2FLoginRedirect%3Fstate%3D1673766877%26returnurl%3Dhttps%253A%252F%252Fhome.m.某东.com%252FmyJd%252Fnewhome.action%253Fsceneval%253D2%2526ufc%253D%2526&source=wq_passport
这个网站用特殊的User-Agent(BG_10_weibo_9.9.1_android_wifi Edg/87.0.4280.141)去访问,会出现一个一键登录的按钮,这个按钮按下去之后 image.png
会用scheme打开某东app,然后授权登录,兜兜风就是利用的这个接口,他拼接了授权的网址,生成的二维码
然后某东的扫码系统不会屏蔽.某东.com的域名,所以一扫,就打开了
第一次发帖,如果板块不对,劳烦管理移一下谢谢
image.png

免费评分

参与人数 39吾爱币 +45 热心值 +37 收起 理由
lufeiwang + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
风风魔王 + 1 + 1 我很赞同!
YUCHEN1213 + 1 + 1 我很赞同!
asdjk + 1 + 1 谢谢@Thanks!
279826138 + 1 我很赞同!
zc61925 + 1 很赞同!
CoderWang119 + 1 用心讨论,共获提升!
xgx1209 + 1 + 1 牛牛牛
tanglang1026 + 1 + 1 用心讨论,共获提升!
我要去拯救未来 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
sunyilhy + 1 + 1 谢谢@Thanks!
吾爱Za + 1 + 1 我很赞同!
起飞的小卡车 + 1 + 1 谢谢@Thanks!
爱萌的小猫 + 1 + 1 我很赞同!
弃族 + 1 + 1 用心讨论,共获提升!
mmxcdh + 1 + 1 我很赞同!
azm + 1 + 1 我很赞同!
瞌瞌睡 + 1 + 1 我很赞同!
ly765893958 + 3 + 1 感谢大佬的分析,学到了!!!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
chiangzhenyu + 1 + 1 用心讨论,共获提升!
金牌韭菜 + 1 我很赞同!
pet + 1 + 1 我很赞同!
白水roy + 1 + 1 我很赞同!
caoxu1998 + 1 用心讨论,共获提升!
樱花飘落的速度 + 1 + 1 用心讨论,共获提升!
Goodmanwhite + 1 热心回复!
sprint05 + 1 + 1 腻害了,楼主大大
AirTed + 1 + 1 我很赞同!
阿纯@ + 1 + 1 用心讨论,共获提升!
酷酷拉缇 + 1 + 1 用心讨论,共获提升!
南方棋生 + 1 + 1 用心讨论,共获提升!
炯炯吖 + 1 + 1 用心讨论,共获提升!
我很自私 + 1 + 1 我很淦同!
街头的嗨佬 + 1 + 1 热心回复!
余生多指教 + 1 + 1 用心讨论,共获提升!
taichao + 1 + 1 厉害了我的哥。
兜兜风f + 4 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
荆棘之吻 + 1 + 1 用心讨论,共获提升!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

兜兜风f 发表于 2021-1-31 16:16
正解,但是这个不算bug吧

点评

大佬拉个群吧  发表于 2021-7-17 10:42

免费评分

参与人数 24吾爱币 +19 热心值 +22 收起 理由
blackedyou + 1 + 1 用心讨论,共获提升!
CoderWang119 + 1 谢谢@Thanks!
spbjsp + 1 大佬,辛苦你再出神品
zgzxzyu + 1 我很赞同!
geniusrot + 1 https://plogin.m.jd.com/cgi-bin/mm/new_login_entrance?lang=chs&app
pyd1007 + 1 + 1 我很赞同!
YoRHa.7z + 1 + 1 我很赞同!
zzbest + 1 + 1 我很赞同!
itxudx + 1 + 1 热心回复!
树袋熊睡醒了 + 1 + 1 谢谢@Thanks!
Goodmanwhite + 1 谢谢@Thanks!
skiss + 1 + 1 我很赞同!
li221219 + 1 + 1 谢谢@Thanks!
fusijie + 1 + 1 我很赞同!
月光下的凡 + 1 + 1 热心回复!
阿纯@ + 1 + 1 热心回复!
weihe + 1 谢谢@Thanks!
williasdu + 1 + 1 热心回复!
a5112075 + 1 + 1 谢谢@Thanks!
小不点的小脚丫 + 1 + 1 谢谢@Thanks!
March + 1 + 1 我很赞同!
qq137766355 + 1 + 1 兜兜风 yyds
南山必胜客 + 1 我很赞同!
宝批龙 + 1 + 1 我很赞同!

查看全部评分

ly765893958 发表于 2021-2-7 18:40
zyxm2013 发表于 2021-2-1 19:44
有哪位大神指导下,如何拼接吗?看到m_token,但好多参数,是不是参数都加密了。

先获取到s_token,然后获取到onekeylog_url(将这一段生成二维码),再获取到okl_token(在cookie里面)和token(这两个是负责心跳包的),心跳包那里,如果扫码成功登录就会返回Cookie,也就是登录成功了!
 楼主| Peanut_GGG 发表于 2021-1-31 16:02
荆棘之吻 发表于 2021-1-31 16:11
学习到了
梦长天 发表于 2021-1-31 16:14
牛逼啊666
头像被屏蔽
你的小宝贝 发表于 2021-1-31 16:17
提示: 作者被禁止或删除 内容自动屏蔽
 楼主| Peanut_GGG 发表于 2021-1-31 16:18
兜兜风f 发表于 2021-1-31 16:16
正解,但是这个不算bug吧

也算吧,小漏洞,看一下私信
daymissed 发表于 2021-1-31 16:19
学习到了。
眷恋 发表于 2021-1-31 16:25
兜兜风流弊
侃遍天下无二人 发表于 2021-1-31 16:30
厉害了,不过我还是用的cookie登录,好歹也是软件专业的,客户端怎么能说装就装
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-29 05:23

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表