抓包登录？应该？

是墨白 · 发表于 2022-11-30 16:16:42

https://e.welife001.com/web/login
这个网站，VX扫一扫关注公众号可以登录
我抓了一下包，逻辑是这样的
首先向服务器请求公众号二维码，然后访问
https://e.welife001.com/web/checkLogin?random=217833319&ts=41442
来检查扫描状态
random是一个随机数，但是这个随机数在网页的源码里，应该是请求的时候服务器自己生成的，每次都不同，ts应该没用，扫描成功之后返回unionid,然后跳转到
https://e.welife001.com/back/authOA?random=217833319&unionid="unionid"&type=qr
跳转的时候设置Cookie
包括imprint 和签名后的xiaoguanjia
下载.png

其中xiaoguanjia的值是s%3AoWRkU0VmCMBIjR9****lFN92PAoU%24%24%24%24.I6IeSBrN31pjAm%2FnpGqlVH95%2BPjsoORr38dTDNlAO%2BI（为了安全我替换了一部分，替换成了*）
应该是签名后的，然后imprint中的是oWRkU0VmCMBIjR9****lFN92PAoU
imprint每个vx账号是固定的，xianguanjia里应该也是
然后我想问问如果我知道unionid和imprint的值，我怎么获取到xiaoguanjia里的值嘞，或者这个cookie能解签不...
我试了，直接替换https://e.welife001.com/back/authOA?random=217833319&unionid={unionid}&type=qr中的unionid不行，而且random也不能乱写
应该都是后端处理的....

有没有大佬会吖

2https://e.welife001.com/web/checkLogin?random=217833319&ts=41442

TaXiao · 发表于 2022-11-30 16:43:55

为什么不获取random=的包然后在做自己想要的？

是墨白 · 发表于 2022-11-30 17:10:27

TaXiao 发表于 2022-11-30 16:43
为什么不获取random=的包然后在做自己想要的？

这个random是包含在网页源码里的，就...是本身自带的，但是每次还不一样

TaXiao · 发表于 2022-11-30 17:12:56

是墨白发表于 2022-11-30 17:10
这个random是包含在网页源码里的，就...是本身自带的，但是每次还不一样

先抓取包后分析random是怎么来的基本上可以获取到的

是墨白 · 发表于 2022-11-30 17:17:48

这个random就包含在了login页面里

你看嘛，就直接有了

		自动登录	找回密码
密码			注册

[求助] 抓包登录？应该？