QQ音乐sign解密以及排行榜完整歌曲数据

文章目录

  • 前言
  • 一、sign解密
  • 二、修改js,修改传参,获取全量数据
  • 总结


前言

最近看到有很多小伙伴在搞某Q音乐,我也特意来水一篇,因为pc端的限制排行榜只能出现20首歌曲,但是我发现其实简单的修改一个参数就能显示跟app端一样的百首歌曲


如有侵犯贵司权益,请通知删除

一、sign解密

这个参数其实破解网上都已经都烂大街了,简单地说一下吧。
QQ音乐sign解密以及排行榜完整歌曲数据_第1张图片
我们直接暴力一点,也不慢慢追了,直接从连接的最后一次js文件调用进去,然后直接搜sign这个字段,如下图所示
QQ音乐sign解密以及排行榜完整歌曲数据_第2张图片
我们可以直观的看到sign是由getSecuritySign(r.data.data)来的,那到底是不是,我们console出来呗,结果就直接出来了。
那我们直接进入getSecuritySign()这个方法里面看下
QQ音乐sign解密以及排行榜完整歌曲数据_第3张图片
点击进去以后,如下图
QQ音乐sign解密以及排行榜完整歌曲数据_第4张图片
push了,那我们就找下n(),如下图
QQ音乐sign解密以及排行榜完整歌曲数据_第5张图片
这样看的话,__sign_hash_20200305就是sign的加密算法了,还有个小妙招就是所有js代码copy下来放到node中运行,其实也不报错,自己打断点debugger一下js代码就能看见跳转。

二、修改js,修改传参,获取全量数据

代码如下:
QQ音乐sign解密以及排行榜完整歌曲数据_第6张图片
为了看最后结果,我们随便定义一个xx,参数就是r.data.data,其实就是post传的data参数的值,如下代码打印一下

console.log(xx('{"detail":{"module":"musicToplist.ToplistInfoServer","method":"GetDetail","param":{"topId":27,"offset":0,"num":20,"period":"2021-03-26"}},"comm":{"ct":24,"cv":0}}'))

最终加密结果如下在这里插入图片描述
我没有用py直接调js代码,而是写了个接口

var express = require('express');
var bodyParser = require('body-parser');
var app = express();
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: true }));
app.post('/sign', function (req, res) {
    var data = req.body['data'];
    var sign = xx(data);
    res.send({'sign':sign});
});

var server = app.listen(3000, function () {

    console.log('Listening on port %d', server.address().port);

});

python代码如下:
QQ音乐sign解密以及排行榜完整歌曲数据_第7张图片

注意点:
QQ音乐的pc端只显示20条数据,想查看更多数据就必须下载客户端,这边我们只需要看python代码中的datas这个参数中的num,改成100后就跟手机端显示的数据量是一致的,offset这个参数其实也可以修改,有兴趣的小伙伴可以试试。


总结

难度不难,主要是发现了修改了接口参数给的小惊喜,水一篇冒个泡。

你可能感兴趣的:(js逆向学习,python,javascript,爬虫)