-
-
[原创]某点评小程序的mtgsig
-
发表于: 11小时前
-
为防止爬虫,在每次请求时动态生成一个名为 mtgisg 的对象,包含多个加密字段:
| a1 | SDK版本号 | "1.2" |
| a2 | 时间戳(毫秒) | |
| a3 | 设备指纹ID(dfpId) | |
| a4 | 签名哈希(96字符hex) | |
| a5 | 加密的请求元数据(Base64) | |
| a6 | siua设备唯一标识 | |
| a7 | 微信小程序appId | |
| x0 | 固定值 | 3 |
| d1 | 完整性校验hash(32字符hex) |
生成的签名的函数入口如下:
function ue(n, r) {
void 0 === r && (r = !0);
try {
if (Yn["sig"]) return n; // 如果已经签名过,直接返回
// ... 签名逻辑
} catch (e) {
// 错误处理
}
}
ue(n, r)是入口函数。 这里使用的是补环境,所以我这个函数相关的地方整个扣了下来。如下图所示:
接下来就是补环境了,下图是部分补 的环境
使用
/dpcategory/unifyshopaggregatedump.bin
这个接口进行测试,看是否可以获取到相关的数据,最后的结果如下:
根据shop_id获取到数据成功!! 证明签名正确。
[招生]科锐逆向工程师培训(2026年7月3日实地,远程教学同时开班, 第56期)!
|
|
|---|---|
