京东秒杀商品抢购-茅台抢购工具的说明和下一步探讨

qiucx · 发表于 2021-2-14 21:45

本帖最后由 qiucx 于 2021-4-7 10:50 编辑

https://www.52pojie.cn/thread-1340718-1-1.html 是京东秒杀商品抢购-茅台抢购工具，主要是分析了网页端抢购的http协议，再用python模拟。但是2021年2月后，京东只限于从app发起抢购，所以，这个工具已经无效了。看到好多朋友还在用这个软件，想提醒一下。

不管app还是网页，茅台的抢购网站都是 https://marathon.jd.com/ ，并且都要路过 https://marathon.jd.com/m/captcha.html https://marathon.jd.com/seckillM/seckill.action https://marathon.jd.com/seckillnew/orderService/init.action https://marathon.jd.com/seckillnew/orderService/submitOrder.action

----------------------------------------
https://marathon.jd.com/seckillnew/orderService/submitOrder.action?skuId=100012043978 HTTP/1.1

Cookie: mid=dC4C9xk_bCF9JVG0qC.....
---------------------------------------------------
最终抢购连接所需的关键参数是 mid 和 seckill100012043978，查看后，参数是从https://un.m.jd.com/cgi-bin/app/appjmp?tokenKey=AAEAME8P-wtLKtsGpEqNiw-6xCC8dv_0SgqKgEm7Yer_qNqvPqQqhjijK3OvFbhzDA9e3w1&lbs=%7B%22cityId%22%3A%22%22%2C%22districtId%22%3A%22%22%2C%22provinceId%22%3A%22%22%2C%22districtName%22%3A%22%22%2C%22lng%22%3A%22120.217248%22%2C%22provinceName%22%3A%22%22%2C%22lat%22%3A%2230.250230%22%2C%22cityName%22%3A%22%22%7D&to=https%3A%2F%2Fdivide.jd.com%2Fuser_routing%3FskuId%3D100012043978%26from%3Dapp 获取的返回值：

999999999999999999999999999999999999999
Set-Cookie: pt_key=app_openAAJfxGQVADCUamF_17nnMlGiZbNxRDCljC4-ucx1oPOuDhscCmMiqRFCLFFnUE; EXPIRES=Fri, 01-Jan-2021 02:00:03 GMT; PATH=/; DOMAIN=.jd.com; HTTPONLY
Set-Cookie: pt_pin=hzcnxuan; EXPIRES=Fri, 01-Jan-2021 02:00:03 GMT; PATH=/; DOMAIN=.jd.com; HTTPONLY
Set-Cookie: pwdt_id=hzcnxuan; EXPIRES=Fri, 01-Jan-2021 02:00:03 GMT; PATH=/; DOMAIN=.jd.com
Set-Cookie: sid=4a99f36017dec8e3dd71c979ef609w; EXPIRES=Fri, 01-Jan-2021 02:00:03 GMT; PATH=/; DOMAIN=.jd.com
Location: https://divide.jd.com/user_routing?skuId=100012043978&from=app&mid=dC4C9xk_bCF9JVG0qClGYIunMcBkvP9g0&lng=120.17248&lat=30.2230&sid=4a99f36017dec8e3ddef609w&un_area=15_1213_3408_59963
Cache-control: private
----------------------------------

编辑一：
这个tokenkey是从这里来的：

POST https://api.m.jd.com/client.action?functionId=genToken HTTP/1.1
Host: api.m.jd.com
Content-Type: application/x-www-form-urlencoded
Accept: */*
Connection: keep-alive
Cookie: pin=hzc.....
User-Agent: JD4iPhone/167541 (iPhone; iOS 14.3; Scale/3.00)
Accept-Language: zh-Hans-CN;q=1
Content-Length: 960
Accept-Encoding: gzip, deflate, br

adid=56D.....

返回：tokenKey=AAEAMLtQZoMwOkrb7V3SKVnDXWGAmJlTYT_Xy7IM1b5HlJG6_urqHOtZw05_OT1uiBg0

上面请求涉及sign，这个有人分析过了，不知道算法有没有改，明天看看到底是哪些数据md5的，还有就是uts，应该是登录后生成的，几个request都用了一样的uts

都有人能找出个人信息了，去掉了一些数据。

郎世宁 · 发表于 2021-2-15 02:02

但凡有点脑子的都明白，茅台抢到利润一瓶一千。免费的脚本=天上掉馅饼。你觉得可能吗？

Light紫星 · 发表于 2021-2-20 16:00

大概说一下现在的抢购流程，先是获取token，地址是https://api.m.jd.com/client.action?functionId=genToken，请求体内容包含了要跳转的url，然后返回一个json，其中的tokenKey和url是下一步要跳转到的地址，这一步叫appjmp，appjmp返回301，取响应头的Location，再次访问，这一步是getDivide，getDivide返回的也是301，再次取Location，再次访问，还是个301，叫getCaptcha，获取到captchaurl，接下来就和之前的差不多了，访问https://marathon.jd.com/seckillnew/orderService/init.action获取到地址，然后请求https://marathon.jd.com/seckilln ... Order.action?skuId=，带上captcha和地址，就是最后的提交订单了。

dqss · 发表于 2021-2-19 04:08

想要模拟操作抢可以找我。

任务平台都一样，抢茅台最关键的是账号，抢得快不一定能抢到，用户的账号更加关键。

Light紫星 · 发表于 2021-2-18 10:01

新版软件已经写好了，但是还没抢到过，还在尝试

haoxi1353551 · 发表于 2021-2-22 16:45

黑号就是没用咯

qiucx · 发表于 2021-2-14 23:43

wecoco 发表于 2021-2-14 23:27
有没有出个网易的

网易、京东、小米、苏宁安全性都很好，真快乐还用了梆梆企业版！

网易那个还用了io.netty，frida的脚本都要重新写。太麻烦了。有没有谁这几个有进展的，一起搞搞。呵呵呵。现在连会员费都还没赚回来。

wecoco · 发表于 2021-2-14 23:46

qiucx 发表于 2021-2-14 23:43
网易、京东、小米、苏宁安全性都很好，真快乐还用了梆梆企业版！网易那个还用了io.netty，frid ...

网易京东都不要会员的好吧

xy0225 · 发表于 2021-2-14 22:03

这个厉害了，不知道会不会被京东封号

烟花非易冷 · 发表于 2021-2-14 22:16

现在电脑端的已经不能用了吗？

pdc9911 · 发表于 2021-2-14 22:19

用的人多了自然就没什么用了

taijizsf666 · 发表于 2021-2-14 23:05

有没有淘宝天猫的？

wecoco · 发表于 2021-2-14 23:27

有没有出个网易的

netpeng · 发表于 2021-2-14 23:29

大家都用工具来抢，那又是谁能抢到呢？茅台就那么几瓶

qiucx · 发表于 2021-2-14 23:34

烟花非易冷发表于 2021-2-14 22:16
现在电脑端的已经不能用了吗？

还能用吗？我好像是seckiller的作者博客里看到这样说的。

帐号		自动登录	找回密码
密码			注册[Register]

[Android 讨论] 京东秒杀商品抢购-茅台抢购工具的说明和下一步探讨

免费评分

本帖被以下淘专辑推荐:

点评

免费评分

个人中心