百某网数字九宫格验证码逆向分析

声明

本文章中所有内容仅供学习交流使用，不用于其他任何目的，不提供完整代码，抓包内容、敏感网址、数据接口等均已做脱敏处理，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关！

本文章未经许可禁止转载，禁止任何修改后二次传播，擅自使用本文讲解的技术而导致的任何意外，作者均不负责，若有侵权，请联系作者立即删除！

目标

目标：百 X 网数字九宫格验证码逆向分析

网址：aHR0cHM6Ly9iZWlqaW5nLmJhaXhpbmcuY29tL296L3M5dmVyaWZ5X2h0bWw=

抓包分析

本例中的验证码不是很难，但网站埋了点儿坑，容易出现识别正确、参数也正确，但仍然请求不成功的情况。访问主页响应码为 307，接着请求了一个 bf.js 和两个 s.webp 的图片，然后又跳转到首页出现验证码。如果你没有以上步骤，请求主页直接就是 200 出现验证码，则需要清除 cookie 后再访问，因为第一次 307 到请求 bf.js 再到两次 s.webp 都是在设置 cookie。

第一次请求主页，response headers 会设置一个名为 _trackId 和 __city 的 cookie，如下图所示：

这两次生成 s 和 f 的值的流程可以精简成以下 js 实现：

 复制代码 隐藏代码
MD5 = require("md5")

var baseImg = "data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAANwAAADcCAYAAAAbWs+BAAAAAXNSR0IArs4c6QAAIABJREFUeF7tnQm..."

function getParams(c8) {
    var cb = MD5(baseImg)
      , cc = cb.substring(0, 8)
      , cd = cb.substring(8, 16)
      , ce = cb.substring(16, 24)
      , cf = cb.substring(24, 32)
      , cg = cc + 1 + cd + 1 + ce + 1 + cf;
    return {
        "s": MD5(c8 + cg),
        "f": cg
    };
}

function getFirstParams() {
    return getParams("fc276cce08ba22dc")
}

function getSecondParams(img) {
    return getParams(MD5(img))
}

console.log(getFirstParams())
console.log(getSecondParams("data:image/png;base64,dqyixSOIJuJN0IRG288itylhqNFFXVqL"))

然后这个 cookie 值，你可以去 Hook 一下看看，但实际上观察一下就可以发现 c0fc276cce08ba22dc 就是第一次 s.webp 请求的 s 参数，c1fc276cce08ba22dc 和 bxf 就是第一次 s.webp 请求的 f 参数，所以直接拿来用就行了。