某体育网站登录令牌加密分析

aHR0cHMlM0EvL3d3dy55YWJvMjU5LmNvbS9sb2dpbg==

这个网站需要分析的是登录时候的 sign 令牌

抓包与加密定位

老规矩先用开发者工具抓包

这里一般定位就是 搜参数 和 xhr断点 会比较方便，但是使用这两种都有他不方便的地方

搜参数 这个方法直接搜加密的参数名会出现很多的结果，需要一个一个去分析，同样也有局限性，比如参数是混淆的就搜不到了。

xhr断点 这个方法需要这个请求是 xhr 请求才行，而且断上之后还需要一步步调试堆栈才能找到加密的位置，如果不小心漏了需要耐心重新分析。

这里重提下在前面的文章，我提过一个思路，就是不要直接搜索加密的参数，可以搜索同一个请求提交的其他参数，一般参数提交的地方都是在一块的

这里实操一下，搜索 nonce_str 就只有一个结果，直接跟进即可

在定位出来的文件位置中再次检索，直接就定位到加密的位置了

接下来打上断点验证看我们的分析是否准确

成功断上，说明确实定位到了

分析加密

可以看到这里的 sign 是由 d 赋值的，而 d = o.a.hmac(t,u)

这里需要知道的参数就是 o 、 t 、 u 这三个

我们继续分析这三个参数是怎么出现的

s 的值是一串字符串

appKey=c97823e281c071c39e&domain=www.yabo259.com&name=xianyuplus&nonce_str=eovdlwvy4z&password=11111111111&timestamp=1596710251&uuid=web-Windows-45671c25c33d9e3ad2217c645cb1a48f&appSecurit=d77f7fcff637bc61bfb82fcbcd767bfa

这里的参数都是请求提交上来的，之后做了一个 base64 的编码

后面的 t 也是传入的 d77f7fcff637bc61bfb82fcbcd767bfa

这里就只剩一个 o 跟进去看就很明显是一个 hmacsha256

为了沿着我们可以网上找一个加密站测试下。

这是测试网站的加密结果

这是加密网站的加密结果

完全一样，说明我们分析是没有错的，接下来直接使用 Python 复写出来即可。

加密代码：

import hmac
import hashlib

API_SECRET = 'd77f7fcff637bc61bfb82fcbcd767bfa'
message = 'YXBwS2V5PWM5NzgyM2UyODFjMDcxYzM5ZSZkb21haW49d3d3LnlhYm8yNTkuY29tJm5hbWU9eGlhbnl1cGx1cyZub25jZV9zdHI9aWpveHk0bjZ3OWMmcGFzc3dvcmQ9MTExMTExMTExMTEmdGltZXN0YW1wPTE1OTY3MTA5ODAmdXVpZD13ZWItV2luZG93cy00NTY3MWMyNWMzM2Q5ZTNhZDIyMTdjNjQ1Y2IxYTQ4ZiZhcHBTZWN1cml0PWQ3N2Y3ZmNmZjYzN2JjNjFiZmI4MmZjYmNkNzY3YmZh'

signature = hmac.new(bytes(API_SECRET, 'latin-1'), msg=bytes(message, 'latin-1'), digestmod=hashlib.sha256).hexdigest()
print(signature)
-----------------------------------
结果：d9106f11a865d57e31ae4a2250fc2bdc34bd4aea814585e0705f645c32be2e56