[原创]Python 阿里云盾滑块验证-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]Python 阿里云盾滑块验证

发表于: 2022-4-23 02:29 25038

[原创]Python 阿里云盾滑块验证

拉灯的小手

2022-4-23 02:29

25038

本文仅供学习交流使用，如侵立删！

记一次阿里云盾滑块验证分析并通过

操作环境

win10 、 mac
Python3.9
selenium、pyautogui

分析

最近在做中国庭审公开网数据分析的时候发现每次打开一个新的页面都会触发滑块验证，就长下面这个样子
在这里插入图片描述
本以为使用selenium定位到滑块元素拖动即可，满心欢喜开始写代码，测试后发现还是高兴太早了~~~

请添加图片描述
貌似有点东西，原以为是因为检测到了selenium的原因,添加防检测代码

# 最新版本谷歌浏览器 绕过检测

chrome_options.add_experimental_option('excludeSwitches', ['enable-automation'])

chrome_options.add_argument('--disable-blink-features=AutomationControlled')

后陆续尝试过，降低chrome版本，修改chromedriver驱动文件，均不成功。
现在看来是真的有点东西！！！正在一筹莫展时，直到看到了这个
在这里插入图片描述
经过分析网页源码发现原来是使用了阿里云盾的人机效验，详细介绍请参考官方产品文档：阿里云验证码产品文档

分析了一波效验规则及原理，搞明白原理就好办了

解决方案

登录后可查看完整内容

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！

最后于 2022-4-26 13:33 被拉灯的小手编辑，原因：

#开发技巧

收藏・19

免费・4

支持

赞赏记录

参与人

雪币

留言

时间

伟叔叔

为你点赞~

2023-3-18 03:03

PLEBFE

为你点赞~

2022-7-30 05:30

拉灯的小手

为你点赞~

2022-4-26 13:39

Swizzer

为你点赞~

2022-4-25 12:24

最新回复 (15)
crackwiki 雪币： 674 活跃值： (2569) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 6 关注私信	crackwiki 2 楼这么简单就破解了？不需要随机化移动速度和路径吗？或者更进一步训练一个神经网络对抗吗？ 2022-4-26 09:38 0
拉灯的小手雪币： 2784 活跃值： (2559) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 61 粉丝 35 关注私信	拉灯的小手 3 楼谈不上破解，可以仔细阅读下阿里云盾的触发机制，这种只是触发了验证后的补救措施，真正检测不到不触发验证才是大成 2022-4-26 13:32 0
尐进雪币： 5492 活跃值： (3317) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 171 粉丝 157 关注私信	尐进 4 楼阿里js里面判断了鼠标事件是否真实如果是模拟的消息点击会被识别到想要不触发可以通过中间人劫持技术修改js中判断真实状态的代码伪造鼠标消息为真即可就不会触发滑块机制总体来说阿里的检查不复杂整体也很容易处理 2022-4-27 15:55 0
拉灯的小手雪币： 2784 活跃值： (2559) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 61 粉丝 35 关注私信	拉灯的小手 5 楼尐进阿里js里面判断了鼠标事件是否真实如果是模拟的消息点击会被识别到想要不触发可以通过中间人劫持技术修改js中判断真实状态的代码伪造鼠标消息为真即可就不会触发滑块机制总体来说阿里的检查不复杂 ... 大佬能否详细指点一下最后于 2022-4-28 03:03 被拉灯的小手编辑，原因： 2022-4-28 00:43 0
liyqxtu 雪币： 4432 活跃值： (2806) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 1 关注私信	liyqxtu 6 楼腻害呀，向大佬学习 2022-4-28 09:01 0
mb_dttyhgbp 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	mb_dttyhgbp 7 楼 tb也是这个滑块不 2022-4-29 15:05 0
拉灯的小手雪币： 2784 活跃值： (2559) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 61 粉丝 35 关注私信	拉灯的小手 8 楼 mb_dttyhgbp tb也是这个滑块不具体可以看一下调用的js文件，如果是调用的ali云盾就是这个 2022-4-29 15:37 0
拉灯的小手雪币： 2784 活跃值： (2559) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 61 粉丝 35 关注私信	拉灯的小手 9 楼 liyqxtu 腻害呀，向大佬学习[em_63] 相互学习 2022-4-29 15:53 0
尐进雪币： 5492 活跃值： (3317) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 171 粉丝 157 关注私信	尐进 10 楼拉灯的小手尐进阿里js里面判断了鼠标事件是否真实如果是模拟的消息点击会被识别到  想要不触发可以通过中间人劫持技术修改js中判断真实状 ... 通过中间人劫持将js内容修改对他的函数每个函数都加入cosole.log进行打印然后对比手动输入和自动化时的流程就能定位出不一样的地方然后对其不一样的地方进行分析查看函数流程就能找到其判断鼠标事件的地方然后修改js代码将其判断的逻辑修改这样模拟事件也会走正确流程阿里系列基本都是同一款所以做一个也就通杀了整个系列 2022-4-29 16:30 0
尐进雪币： 5492 活跃值： (3317) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 171 粉丝 157 关注私信	尐进 11 楼拉灯的小手尐进阿里js里面判断了鼠标事件是否真实如果是模拟的消息点击会被识别到  想要不触发可以通过中间人劫持技术修改js中判断真实状 ... 当然别的环境也要先处理好否则轮不到这个就已经出滑块了 2022-4-29 16:31 0
拉灯的小手雪币： 2784 活跃值： (2559) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 61 粉丝 35 关注私信	拉灯的小手 12 楼尐进当然别的环境也要先处理好否则轮不到这个就已经出滑块了好的，大佬学习了 2022-4-29 17:02 0
komany 雪币： 182 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 93 粉丝 0 关注私信	komany 13 楼居然没检测selenium,让你逃过一劫 2022-5-9 21:24 0
拉灯的小手雪币： 2784 活跃值： (2559) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 61 粉丝 35 关注私信	拉灯的小手 14 楼 komany 居然没检测selenium,让你逃过一劫检测了，不可能有侥幸的，绕过了检测 2022-5-10 00:45 0
meixin 雪币： 2 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	meixin 15 楼 # 最新版本谷歌浏览器绕过检测 chrome_options.add_experimental_option('excludeSwitches', ['enable-automation']) chrome_options.add_argument('--disable-blink-features=AutomationControlled') 光这两行代码应该过不了检测，我用了 selenium 手动滑动也不行 2022-5-20 10:48 0
拉灯的小手雪币： 2784 活跃值： (2559) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 61 粉丝 35 关注私信	拉灯的小手 16 楼 meixin # 最新版本谷歌浏览器绕过检测 chrome_options.add_experimental_option('excludeSwitches', ['enable-automati ... 最新版可以的，实测过，关键点不是这两行代码。 2022-5-20 13:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

拉灯的小手

发帖

回帖

RANK

关注

私信

记一次阿里云盾滑块验证分析并通过
1. 操作环境
2. 分析
解决方案

他的文章

[分享] Android13 安装最新版 Frida 9230

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
crackwiki 雪币： 674 活跃值： (2569) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 6 关注私信	crackwiki 2 楼这么简单就破解了？不需要随机化移动速度和路径吗？或者更进一步训练一个神经网络对抗吗？ 2022-4-26 09:38 0
拉灯的小手雪币： 2784 活跃值： (2559) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 61 粉丝 35 关注私信	拉灯的小手 3 楼谈不上破解，可以仔细阅读下阿里云盾的触发机制，这种只是触发了验证后的补救措施，真正检测不到不触发验证才是大成 2022-4-26 13:32 0
尐进雪币： 5492 活跃值： (3317) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 171 粉丝 157 关注私信	尐进 4 楼阿里js里面判断了鼠标事件是否真实如果是模拟的消息点击会被识别到想要不触发可以通过中间人劫持技术修改js中判断真实状态的代码伪造鼠标消息为真即可就不会触发滑块机制总体来说阿里的检查不复杂整体也很容易处理 2022-4-27 15:55 0
拉灯的小手雪币： 2784 活跃值： (2559) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 61 粉丝 35 关注私信	拉灯的小手 5 楼尐进阿里js里面判断了鼠标事件是否真实如果是模拟的消息点击会被识别到想要不触发可以通过中间人劫持技术修改js中判断真实状态的代码伪造鼠标消息为真即可就不会触发滑块机制总体来说阿里的检查不复杂 ... 大佬能否详细指点一下最后于 2022-4-28 03:03 被拉灯的小手编辑，原因： 2022-4-28 00:43 0
liyqxtu 雪币： 4432 活跃值： (2806) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 1 关注私信	liyqxtu 6 楼腻害呀，向大佬学习 2022-4-28 09:01 0
mb_dttyhgbp 雪币： 10 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 10 粉丝 1 关注私信	mb_dttyhgbp 7 楼 tb也是这个滑块不 2022-4-29 15:05 0
拉灯的小手雪币： 2784 活跃值： (2559) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 61 粉丝 35 关注私信	拉灯的小手 8 楼 mb_dttyhgbp tb也是这个滑块不具体可以看一下调用的js文件，如果是调用的ali云盾就是这个 2022-4-29 15:37 0
拉灯的小手雪币： 2784 活跃值： (2559) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 61 粉丝 35 关注私信	拉灯的小手 9 楼 liyqxtu 腻害呀，向大佬学习[em_63] 相互学习 2022-4-29 15:53 0
尐进雪币： 5492 活跃值： (3317) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 171 粉丝 157 关注私信	尐进 10 楼拉灯的小手尐进阿里js里面判断了鼠标事件是否真实如果是模拟的消息点击会被识别到  想要不触发可以通过中间人劫持技术修改js中判断真实状 ... 通过中间人劫持将js内容修改对他的函数每个函数都加入cosole.log进行打印然后对比手动输入和自动化时的流程就能定位出不一样的地方然后对其不一样的地方进行分析查看函数流程就能找到其判断鼠标事件的地方然后修改js代码将其判断的逻辑修改这样模拟事件也会走正确流程阿里系列基本都是同一款所以做一个也就通杀了整个系列 2022-4-29 16:30 0
尐进雪币： 5492 活跃值： (3317) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 171 粉丝 157 关注私信	尐进 11 楼拉灯的小手尐进阿里js里面判断了鼠标事件是否真实如果是模拟的消息点击会被识别到  想要不触发可以通过中间人劫持技术修改js中判断真实状 ... 当然别的环境也要先处理好否则轮不到这个就已经出滑块了 2022-4-29 16:31 0
拉灯的小手雪币： 2784 活跃值： (2559) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 61 粉丝 35 关注私信	拉灯的小手 12 楼尐进当然别的环境也要先处理好否则轮不到这个就已经出滑块了好的，大佬学习了 2022-4-29 17:02 0
komany 雪币： 182 活跃值： (81) 能力值： ( LV3，RANK：20 ) 在线值：发帖 17 回帖 93 粉丝 0 关注私信	komany 13 楼居然没检测selenium,让你逃过一劫 2022-5-9 21:24 0
拉灯的小手雪币： 2784 活跃值： (2559) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 61 粉丝 35 关注私信	拉灯的小手 14 楼 komany 居然没检测selenium,让你逃过一劫检测了，不可能有侥幸的，绕过了检测 2022-5-10 00:45 0
meixin 雪币： 2 活跃值： (37) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	meixin 15 楼 # 最新版本谷歌浏览器绕过检测 chrome_options.add_experimental_option('excludeSwitches', ['enable-automation']) chrome_options.add_argument('--disable-blink-features=AutomationControlled') 光这两行代码应该过不了检测，我用了 selenium 手动滑动也不行 2022-5-20 10:48 0
拉灯的小手雪币： 2784 活跃值： (2559) 能力值： ( LV2，RANK：10 ) 在线值：发帖 37 回帖 61 粉丝 35 关注私信	拉灯的小手 16 楼 meixin # 最新版本谷歌浏览器绕过检测 chrome_options.add_experimental_option('excludeSwitches', ['enable-automati ... 最新版可以的，实测过，关键点不是这两行代码。 2022-5-20 13:17 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复