关于一个POST的解密

136334543 · 发表于 2017-9-10 19:59:55

http://m.wecash.net/wep/login/login.html 目标网站
预期得到返回结果。注册，登录成功，频繁，账号密码错误。

——————————————————————————

COOK 里面
uuid

以及协议头里面的
token 参数
Content-Length: = 80+密码长度

这是4组提交数据的对比
phone=13800000000&password=123456778&appVersion=4.1&sign=16b9f61197b412d6949711c99d7311f3
phone=13800000000&password=12345677&appVersion=4.1&sign=89bed268c82dbb48debf45c302725c49
phone=13800000000&password=1234567&appVersion=4.1&sign=006d686504b4f222bbdf2b6b51357787
phone=13973894084&password=1234567&appVersion=4.1&sign=c41273579d9e036652f680dd499fe104
phone=13973894084&password=123456&appVersion=4.1&sign=64fd3346a32dfeecc70f2fb2485bf862

已成功能响应，但是在 sign 这个参数解密遇到困难
多次抓包同一个登录请求 sign值不变
初步分析是手机号码 +密码或许还有一个常量的MD5值

在一段JS 中发现一个 MD5数据是随机变量
考虑到 sign 对应的手机密码是不变的，因此不对此动态MD5 做分析
JS解密实在不会，百度看了很多教程，无从下手。

希望在论坛找个大牛能够指导下！
万分感谢！

补充内容 (2017-9-10 20:03):
sign的值应该是JS加密处理的结果，奈何无从下手

136334543 · 发表于 2017-9-10 20:02:59

请求结果一直是繁忙，刚开始认为动态MD5值就是sign的赋值

136334543 · 发表于 2017-9-13 19:49:11

挖一锄头翻一番水！

136334543 · 发表于 2018-4-2 15:34:03

当初已经放弃，现在自己解决了，加密方法是取账号密码合并然后取MD5的值

		自动登录	找回密码
密码			注册

[精币悬赏] 关于一个POST的解密