某APP之---协议登录---获取登录之后的校验参数

抓包

POST /******/auth/login-v3 HTTP/1.1
Host: ******.com
Accept: application/json, text/plain, */*
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8,en-GB;q=0.7,en-US;q=0.6
Ahs-App-Id: 10002
Ahs-Once-Token: MTAwNTcwYzYyODhkM******MzJiOGUyNDIuMTY4MTIwOTU0Mzg2MTIxOTMyOA==
Ahs-Sign2: 8b6203f******39609a11dc86
Ahs-Timestamp: 1689666562143
Ahs-Token: 
Cache-Control: no-cache
Connection: keep-alive
Content-Type: application/json;charset=UTF-8
Origin: https://m.******.com
Pragma: no-cache
Referer: https://m.******.com/
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-site
User-Agent: Mozilla/5.0 (iPhone; CPU iPhone OS 13_2_3 like Mac OS X) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/13.0.3 Mobile/15E148 Safari/604.1 Edg/114.0.0.0
X-Requested-With: axios

{"apor":"******","password":"******","sensors":{"cityId":"31","sourcePlatform":"web_m","sourceAppName":"official","originalPlatform":"web_m","utmAhs":"","distinctId":"******","abtest":"sousu***lei:a;***:a;***:a"}}

从上述抓包情况我们可以看到,加密参数Ahs-Once-TokenAhs-Sign2aporpassword

参数 aporpassword

很明显就是我们需要的账号和密码的加密,这里我直接从APP端拿的,就不多讲了;接下来我们直接说Ahs-Once-TokenAhs-Sign2

Ahs-Sign2参数加密

在这里插入图片描述

某APP之---协议登录---获取登录之后的校验参数_第1张图片
很明显看到这个Ahs-Sign2参数的加密,至于那个c()函数,有兴趣的可以点进去看看,本人根据结果推测出来的,就一个MD5,当然那个函数也是个标准的md5。

Ahs-Once-Token参数加密

在这里插入图片描述
某APP之---协议登录---获取登录之后的校验参数_第2张图片
这联系上下文一看,不是协议获取的么,Soga,原来如此,有兴趣的可以抓包尝试一下能不能抓到,讲解就到这里了,顺手把里边一个小的加密参数都给标出来的

注:
如有侵权,请联系本人删除,纯属个人爱好,希望各位大佬多多指点…

你可能感兴趣的:(python,web逆向,android,python,web安全,android)