JS逆向 多层json转url参数并排序 已知sign拼接 麻烦大佬们帮忙

泅渡

已知拼接过程函数是
paramsStrSort = function(n) {
    var t = "asdfjaklsdfjjkhadsjkh178926389klasjdf",
        e = "67zhifubaoasdfagu1oz1hi1qia1gsdfjkadlloveehj89234hhjklwwu1lin1aasdfjkljasdfsdf",
        a = n + "&appKey=" + t,
        i = a.split("&").sort().join("&");
    return i += "&key=" + e
};


后取md5 就是对应的sign

例子如下
json如果没有多层，则直接获取json内不为空的参数即可
比如
{"businessType":"homePage","sourceId":"","userId":1000736392,"sourceCode":"","timestamp":1663226206077,"sign":"ee52353070915fc34b70879d9a0fee1a"}

只需要将其中为空的json删除 取 businessType=homePage&userId=1000736392&timestamp=1663226206077 传入paramsStrSort()后 这个函数自动将请求参数 从小到大排序后 md5
就是对应的sign
现在问题来了

如果是
{
    "usePointPay": 1,
    "uid": 1000736392,
    "pointsMallPackageParamVos": [{
        "deliveryId": 0,
        "producetNum": 1,
        "scorePayment": 0,
        "itemList": "{\"itemList\":[{\"skuId\":141,\"num\":1}]}"
    }],
    "timestamp": 1663221012970,
    "sign": "fb922b285ea4e6c32484540faf3df0e9"
}


这种多层json，不知道如何取值排序。折腾了挺久。不知道如何是好。。。还望大佬解惑。






补充内容 (2022-9-15 16:44):
传入paramsStrSort()后返回的文本需要手动md5一下

补充内容 (2022-9-15 18:12):
已自行解决。。。
只需要将json可以直接取到的值并且不为空的拼接即可。。
usePointPay=1&uid=1000736392&timestamp=1663221012970
传进paramsStrSort后返回的值md5即可

泅渡

{"usePointPay":1,"uid":1000736392,"pointsMallPackageParamVos":[{"deliveryId":0,"producetNum":1,"scorePayment":75,"itemList":"{\"itemList\":[{\"skuId\":141,\"num\":1}]}"}],"timestamp":1663231928967,"sign":"75d64ba6652b0a781f816ae50bc2e9a6"}

再上传一个。。。

山石

你这玩意看着眼疼。
排序字母是从小到大或者 从大到小排序。
：只需要排序冒号前面的，不用考虑冒号后面的内容。用&链接起来 加上固定字符串。然后取md5就行。
比如 A:1    B:2   C:{3}      
A=1&B=2&C={3}+固定字符串 然后取MD5就行。

你这个  "itemList": "{\"itemList\":[{\"skuId\":141,\"num\":1}]}"
应该需要把“\” 替换为空，或者还有其他转义符的话也需要替换。

具体的还的看抓包数据。直接下断点。调试下结果比猜的靠谱。

石榴熟了

把原js 发出来

泅渡

            var getSign = function(n) {
                    if ("string" == typeof n) return paramsStrSort(n);
                    if ("object" == typeof n) {
                        var t = [];
                        for (var e in n) "title" != e && "text" != e && "articleComment" != e && (isEmpty(n[e]) || isEmojiCharacter(n[e]) || "object" != typeof n[e] && t.push(e + "=" + n[e]));
                        return paramsStrSort(t.join("&"))
                    }
                },
                paramsStrSort = function(n) {
                    var t = "asdfjaklsdfjjkhadsjkh178926389klasjdf",
                        e = "67zhifubaoasdfagu1oz1hi1qia1gsdfjkadlloveehj89234hhjklwwu1lin1aasdfjkljasdfsdf",
                        a = n + "&appKey=" + t,
                        i = a.split("&")
                        .sort()
                        .join("&");
                    return i += "&key=" + e, (0, _md.md5)(i)
                };


这是扣出来的getsign代码

泅渡

石榴熟了 发表于 2022-9-15 17:19
把原js 发出来

            var getSign = function(n) {
                    if ("string" == typeof n) return paramsStrSort(n);
                    if ("object" == typeof n) {
                        var t = [];
                        for (var e in n) "title" != e && "text" != e && "articleComment" != e && (isEmpty(n[e]) || isEmojiCharacter(n[e]) || "object" != typeof n[e] && t.push(e + "=" + n[e]));
                        return paramsStrSort(t.join("&"))
                    }
                },
                paramsStrSort = function(n) {
                    var t = "asdfjaklsdfjjkhadsjkh178926389klasjdf",
                        e = "67zhifubaoasdfagu1oz1hi1qia1gsdfjkadlloveehj89234hhjklwwu1lin1aasdfjkljasdfsdf",
                        a = n + "&appKey=" + t,
                        i = a.split("&")
                        .sort()
                        .join("&");
                    return i += "&key=" + e, (0, _md.md5)(i)
                };
            exports.paramsStrSort = paramsStrSort;
            var handerParams = function(n) {
                if ("string" == typeof n) {
                    var t = "";
                    n.split("&")
                        .forEach((function(n, e) {
                            isEmpty(n) || isEmojiCharacter(n) || ("" === t ? t = n : t += "&" + n)
                        })), t = t + "&timestamp=" + (new Date)
                        .getTime();
                    var e = getSign(t),
                        a = t + "&sign=" + e;
                    return a
                }
                if ("object" == typeof n) {
                    n.timestamp = (new Date)
                        .getTime();
                    e = getSign(n);
                    return n.sign = e, n
                }
            };