滑动验证码测试（【验证码逆向专栏】某片滑块、点选验证码逆向分析）

声明

本文章中所有内容仅供学习交流使用             ，不用于其他任何目的 
  
 
  
 
  
 
  
 
  
 
  
 
，不提供完整代码












，抓包内容 
  
  
  
  
  
  、敏感网址
  
  
  
  
  
  
 、数据接口等均已做脱敏处理 
  
  
  
  
  
  ，严禁用于商业用途和非法用途 
  
  
  
  
  
  
，否则由此产生的一切后果均与作者无关！

本文章未经许可禁止转载

 


 


 


 


 


 

，禁止任何修改后二次传播 
 
 
 
 
 
 ，擅自使用本文讲解的技术而导致的任何意外 
   
   
   
   
   
   
，作者均不负责
 

 

 

 

 

 
，若有侵权
 

 

 

 

 

 

 ，请在公众号【K哥爬虫】联系作者立即删除！

逆向目标

目标：某片的滑动验证码和点选验证码逆向 主页：aHR0cHM6Ly93d3cueXVucGlhbi5jb20vcHJvZHVjdC9jYXB0Y2hh

抓包分析

验证码图片获取接口            ，GET 请求 

 
 

 
 

 
 

 
 

 
 

 
 
，包含四个参数：cb
 


 


 


 


 


 


、i 
 
 
 
 
 
 、k
   
   
   
   
   
   
 、captchaId












，有时候可能也会有 token 参数                   ，那是因为不是第一次加载图片 
 
 
 
 
 
 
 
 
 
 
 
 
，比如刷新图片


















，会将之前接口的 token 值带上             。

接口返回             ，如果是滑动验证码 
  
 
  
 
  
 
  
 
  
 
  
 
，则 bg 是背景图












，front 是滑块图 
  
  
  
  
  
  ，还有个 token 值后续会用到 
  
 
  
 
  
 
  
 
  
 
  
 
。

如果是点选验证码 
  
  
  
  
  
  
，则 captchaImage 是底图

 


 


 


 


 


 

，wordsImage 是需要点击的文字 
 
 
 
 
 
 ，同样的有个 token 值后续会用到












。

验证接口 
   
   
   
   
   
   
，包含五个参数：cb
 

 

 

 

 

 

、i 

 

 

 

 

 

 、k             、token

 
 

 
 

 
 

 
 

 
 

 
 

、captchaId
 

 

 

 

 

 
，其中 token 就是获取验证码接口返回的 
  
  
  
  
  
  。

逆向分析

图片接口

先来看看获取验证码图片的接口
 

 

 

 

 

 

 ，全局搜索关键字 captchaId 即可定位到 key 为 jsonpRequest 的地方            ，下图中的 t 就是完整的接口 URL 了：

往上挨个找 

 
 

 
 

 
 

 
 

 
 

 
 
，先看看 captchaId












，其实就是 this.APP_ID                   ，多次刷新你会发现 
 
 
 
 
 
 
 
 
 
 
 
 
，对于滑块来讲


















，是定值 974cd565f11545b6a5006d10dc324281             ，对于点选来讲 
  
 
  
 
  
 
  
 
  
 
  
 
，是定值 e1e7be036f9242c7aed023438af66f46












，这两个值在一个 JS 里是写死的 
  
  
  
  
  
  ，如下图所示：

再往上看 
  
  
  
  
  
  
，HOSTS 啥的是定值就不用说了

 


 


 


 


 


 

，cb 就是 r 
 
 
 
 
 
 ，i 就是 a.i 
   
   
   
   
   
   
，k 就是 a.k
 

 

 

 

 

 
，通过 concat() 方法连接起来
 

 

 

 

 

 

 ，所以只需要搞定 r 和 a 的值就行了            ，如下图所示：

a 的值是通过 encrypt(e) 得到的 

 
 

 
 

 
 

 
 

 
 

 
 
，e 里面有 fp











、address                    、yp_riddler_id 等值












，如下图所示：

先看看这个 encrypt 方法                   ，最终返回的是 i 和 k 
 
 
 
 
 
 
 
 
 
 
 
 
，瞧瞧这熟悉的 iv
 
 
 
 
 
 
 
 
 
 
 
 
、parse


















，一看就是 AES


















、DES 之类的             ，试一下就知道了 
  
 
  
 
  
 
  
 
  
 
  
 
，或者跟进 lt.a.encrypt() 看看他的源码












，对比一下标准算法里的源码 
  
  
  
  
  
  ，就可以发现是 AES 
  
  
  
  
  
  
，k 就很明显了

 


 


 


 


 


 

，RSA 加密 
 
 
 
 
 
 ，公钥啥的一搜就有 
  
  
  
  
  
  
。

然后往上有个 yp_riddler_id 
   
   
   
   
   
   
，貌似是从 cookie 中拿的
 

 

 

 

 

 
，直接搜索这个关键字
 

 

 

 

 

 

 ，可以找到其设置值的地方            ，就是一个 UUID 

 
 

 
 

 
 

 
 

 
 

 
 
，其中有个 window.performance.now() 方法












，其作用是返回一个当前页面执行的时间的时间戳                   ，用来精确计算程序执行时间 
 
 
 
 
 
 
 
 
 
 
 
 
，在 node 实现方法如下：

var perf = require(perf_hooks); performance = perf.performance.now() console.log(performance);

然后再往上有个 e.fp = this.fingerprint


















，这里用到的应该是一个指纹库：https://github.com/fingerprintjs/fingerprintjs              ，感兴趣的可以了解一下 
  
 
  
 
  
 
  
 
  
 
  
 
，同一个浏览器得到的指纹是一样的












，这里固定即可

 


 


 


 


 


 

。

然后就是 r 的值 
  
  
  
  
  
  ，preAdd 方法 
  
  
  
  
  
  
，直接扣就行了

然后这个 e 的值

 


 


 


 


 


 

，再传到 jsonpRequest 之前就已经有一些值了 
 
 
 
 
 
 ，所以我们还得往前跟栈看看：

来到 getCaptcha 这里 
   
   
   
   
   
   
，没啥特别的
 

 

 

 

 

 
，扣就完事儿了
 

 

 

 

 

 

 ，其中有个 browserInfo 是浏览器的一些东西            ，copy 下来就行了 
 
 
 
 
 
 。

验证接口

验证接口最后也是走的 jsonpRequest 

 
 

 
 

 
 

 
 

 
 

 
 
，和前面的获取图片接口类似












，不同之处就是传入的 e 里面包含的值不一样                   ，先来看看滑块：

包含 distanceX 和 points 
 
 
 
 
 
 
 
 
 
 
 
 
，很明显 points 就是轨迹了


















，再往前跟看看             ，如下图所示 
  
 
  
 
  
 
  
 
  
 
  
 
，我们只需要 i 和 r 参数就行了












，参数是一些图片高宽 
  
  
  
  
  
  ，固定就行 
  
  
  
  
  
  
，offsetX 是滑动的距离 
   
   
   
   
   
   
。

主要看看这个轨迹 i = this.reducePoints()

 


 


 


 


 


 

，跟进 reducePoints() 方法里 
 
 
 
 
 
 ，this.position 是轨迹信息 
   
   
   
   
   
   
，这个方法对轨迹做了一些处理再返回的
 

 

 

 

 

 
，直接把逻辑扣下来即可
 

 

 

 

 

 
。

滑块就到这儿了
 

 

 

 

 

 

 ，再来看看点选验证            ，同样的还是 jsonpRequest 

 
 

 
 

 
 

 
 

 
 

 
 
，传入的 e 包含了三个点的坐标
 

 

 

 

 

 

 。

同样往上跟栈












，这里的 this.position 才是真实坐标                   ，后面每个坐标分别对 x 和 y 与图片的宽和高进行相除 
 
 
 
 
 
 
 
 
 
 
 
 
，如下图所示：

结果验证