python 洞见者监控求助

str_cg · 发表于 2022-3-29 23:39

本帖最后由 str_cg 于 2022-3-30 10:33 编辑

已解决，敏感信息已删除
最近馋海底捞了，想做一个洞见者监控，但是不知道为啥用python一直提示请求参数校验失败，在burpsuite里重放一直没问题，如下图所示：

请各位大佬帮忙看下

python源码如下：

[Python] 纯文本查看 复制代码

import requests

session = requests.session()

burp0_url = "https://app.anonym-hi.com:443/base/mobile/api/tasklist"
burp0_headers = {"sign": "xxxx
                 "token": xxxx
                 "RN": "0",
                 "flag": "1",
                 "lang": "zh_cn",
                 "deviceid": "566cede657d661a64328946b1fd6d535",
                 "deviceType": "M2007J1SC",
                 "osType": "Xiaomi",
                 "versionCode": "28",
                 "versionName": "2.3.5",
                 "Content-Type": "application/json; charset=UTF-8",
                 "Connection": "Keep-Alive",
                 "Accept-Encoding": "gzip",
                 "User-Agent": "okhttp/3.12.0"}
burp0_json={"city": "440600",
            "country": "",
            "current": 1,
            "lnglat": "113.12370758617541,23.00645597470435",
            "orderType": 1,
            "size": 10,
            "tenant_id": ""}
res = session.post(burp0_url, headers=burp0_headers, json=burp0_json)
print(res.text)

叫我小王叔叔 · 发表于 2022-3-30 07:30

你token过期了吧，先做一个登陆的动作，获取token后，再获取list列表

str_cg · 发表于 2022-3-30 08:35

叫我小王叔叔发表于 2022-3-30 07:30
你token过期了吧，先做一个登陆的动作，获取token后，再获取list列表

没过期，用bp发送请求还是可以

str_cg · 发表于 2022-3-30 08:36

limuyan44 发表于 2022-3-30 07:44
你俩header都不一样。

一样吧，有少什么字段吗

str_cg · 发表于 2022-3-30 09:01

limuyan44 发表于 2022-3-30 08:38
有的会验证host length之类的

复制成curl转成python也还是不行

str_cg · 发表于 2022-3-30 09:17

limuyan44 发表于 2022-3-30 09:03
你curl行不行呢

[Bash shell] 纯文本查看 复制代码

PS C:\Users\LCG> curl -i -s -k -X $'POST' -H $'sign: c7c021f1420daeeb1ca2b6327726d116' -H $'token:eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJkZXZpY2VfaWQiOiI1NjZjZWRlNjU3ZDY2MWE2NDMyODk0NmIxZmQ2ZDUzNSIsInVzZXJfZmxhZyI6ImFwcCIsImlkIjoiM2E0MzIyMzM0OGZkYTU4NjU1NGU3ZjYwMjdmNDVmNzAiLCJleHAiOjE5NTQ4ODgwMTUsImlhdCI6MTYzOTUyODAxNX0.UfZK2gMuQOZZocg41qiTqjQ8aWqb3A0u_KseigH5_so' -H $'RN: 0' -H $'flag: 1' -H $'lang: zh_cn' -H $'deviceid: 566cede657d661a64328946b1fd6d535' -H $'deviceType: M2007J1SC' -H $'osType: Xiaomi' -H $'versionCode: 28' -H $'versionName: 2.3.5' -H $'Content-Type: application/json; charset=UTF-8' -H $'Content-Length: 131' -H $'Host: app.anonym-hi.com' -H $'Connection: Keep-Alive' -H $'Accept-Encoding: gzip' -H $'User-Agent: okhttp/3.12.0' --data-binary $'{\"tenant_id\":\"\",\"orderType\":1,\"country\":\"\",\"current\":1,\"lnglat\":\"113.12370758617541,23.00645597470435\",\"size\":10,\"city\":\"440600\"}\x0d\x0a'  $"https://app.anonym-hi.com/base/mobile/api/tasklist"
Invoke-WebRequest : 缺少参数“InFile”的某个参数。请指定一个类型为“System.String”的参数，然后再试一次。
所在位置 行:1 字符: 6
+ curl -i -s -k -X $'POST' -H $'sign: c7c021f1420daeeb1ca2b6327726d116' ...
+      ~~
    + CategoryInfo          : InvalidArgument: (:) [Invoke-WebRequest]，ParameterBindingException
    + FullyQualifiedErrorId : MissingArgument,Microsoft.PowerShell.Commands.InvokeWebRequestCommand

没怎么用过curl，复制过去报错

dukeimp · 发表于 2022-3-30 09:29

每次请求应该重新获取一个token

叫我小王叔叔 · 发表于 2022-3-30 09:34

limuyan44 发表于 2022-3-30 08:38
有的会验证host length之类的

我加上了，还是不行，应该就是token的问题，我浏览器不登陆直接访问连接，也是这个提示

叫我小王叔叔 · 发表于 2022-3-30 09:39

str_cg 发表于 2022-3-30 08:35
没过期，用bp发送请求还是可以

你现在发送还可以吗？

str_cg · 发表于 2022-3-30 09:41

叫我小王叔叔发表于 2022-3-30 09:39
你现在发送还可以吗？

可以，解决了谢谢

帐号		自动登录	找回密码
密码			注册[Register]

[求助] python 洞见者监控求助