记一次x星学习通网页逆向分析（新手一次尝试）

背景

由于疫情原因，学校未能开学，课程都改为网课教学，由于x星学习通有视频观看进度，因此想制作一个程序快速点亮进度

网页分析

通过burpsuit抓包分析，发现浏览器会定期以get形式向服务器发送一个请求（如下图）
构造的url中存在以下变量

其中通过与视频进度比对，playingTime表示视频当前的时间秒数（1分半则为90）duration则为视频完整的时间（转换为秒）将其发送出去后返回了{“isPassed”:false}此时playingtime

以上图的请求为例子，尝试直接修改palyingtime字段，将其改为duration的值后直接发送服务器发现被服务器拒绝，对比前后两次的请求内容发现存在三个不同的字段

修改提交测试，发现第三个_t不影响，而playingTime和enc修改任意一点就会被拒绝。可以看到这个请求来源显示为xhr

利用浏览器进行监测

发现其来源于下图文件

将其复制出来并用代码排版工具进行排版，发现enc来自于md5加密（如下图）

查看enc变量如何构建

原来网页利用各字段构成enc进行上传，服务端同样利用各字段构造enc并进行md5加密，以此判断是否接受请求 由于水平有限，目前尝试进行到这里，接下来再试着分析剩下的步骤