1摘要
瓜子二手车的接口加密是请求头中增加了一个verify-token字段。js 中呢,有一些不知道啥玩意儿的东西在混淆着我们的眼睛。
加密的方式是MD5,有兴趣的可以直接去试试(跟酷狗的接口加密一致)。
本篇主要分享思路:如何快速的知道加密方式是什么?
2逆向目标
接口请求头中的verify-token,
顺利拿到列表数据和详情数据
3抓包
打开网站https://m.guazi.com/,打开开发者工具,点击网络请求,找到获取数据的接口api/hometab/cartabH5
4verify-token逆向分析思路
当我们搜索关键字verify-token的时候,会找到js。
找到之后,看一眼上面的内容,感觉要放弃的同学至少有一半。(PS:当时我的想法就是扣全部的js,补环境来做逆向)
打上断点,往上去找方法开始的地方,也顺便打上断点进入。
这个时候,我们已经发现可能是MD5加密,但是我们需要知道加密的字符串是什么。
滑动页面,让接口再次运行。进入断点后,悬浮到$A上,进入它的方法体。
就找到了加密字符串,这里我们不用管他们是什么意思,拿下来直接分析使用就好。
1670830287abResult=1&city_filter=-1&deviceId=e673c86b-a885-4ca4-857c-287d130c8007&guazi_city=-1&guid=e673c86b-a885-4ca4-857c-287d130c8007&location_city=-1&orgUserId=&osv=IOS13.2.3&platfromSource=wap&sourceFrom=wap&userId=&versionId=0.0.0.0
要改的内容只有开始的时间戳,city_filter,deviceid,guid, 其他的都是固定值。
5模拟发起请求
python写以下代码。
这里发现了一个好玩的事情,问了一下CHatGPT写瓜子二手车的爬虫,怎么写,它是这么回答的。
有意思,复制代码,竟然还有用!!!
6获取结果
看到这里了不留下评论和点赞有点说不过去了吧!
仅供学习参考