微信小程序-**北国的接口分析求助

chihonjian

在今天，我想对 微信小程序的一个程序进行分析——**北国

首先，如果想使用自动化接口登入，那么我必定需要捕捉接口，我采用抓包的方式，抓取到了以下接口

接口请求

但是我发现了他使用了sign验签的方式，我也是抓包的请求数据才能够成功，我并不知道sign的具体生成方式
我猜想，sign符合【大写32位md5】的形式，所以我做了如下尝试
排错了以下加密方式:
1.对json的value值拼接字符串加密失败
2.对json的value值基于ascill加密失败

经过测试，我对其中除sign任意一个参数进行修改，均会报sign不通过，截图如下：

失败

经过测试，我删除其中参数也会报仇，增加其他参数也会报仇，所以我怀疑，可能是基于json的数据以某种形式进行加密，我猜想可能使用了循环

并且我手中有微信小程序的源码，我是基于wxapkg进行反编译得到，不是完整，我没有找到生成sign的方式，可能是我功力不足，有大佬的话，我可以发给你们

补充：sign是32位     符合MD5大写形式

可能存在一个匿参数appid参与验签

因为图中有一个appkey


功力不足，发帖求助，希望能够有专业方面老哥帮助我，

83815962

虽然混淆的比较厉害,但还是写出来了,但是不打算免费出
可以求求8381595交流
nonce_str==>i44ipxwsqmtzklr3gy685lze1cewdy6u
获取大写sign | 传入参数==>{'cid': '', 'nonce_str': 'u10xkvd0bszs2whk7t6jz98d7h4ao1ud', 'appkey': 'zbxcxzs', 'timestamp': 1622862639, 'ucuid': 123456, 'openid': 'test', 'ut': '123456'}
sign==>85E422C4F6FE20BEE65752290CB4E187
获取小写sign | 传入参数==>1622862497
sign==>862b374e5e022406f6080b54a6287b2d
WXMP加密 | 传入参数==>{'cid': '', 'nonce_str': 'u10xkvd0bszs2whk7t6jz98d7h4ao1ud', 'appkey': 'zbxcxzs', 'timestamp': 1622862639, 'ucuid': 123456, 'openid': 'test', 'ut': '123456'}
加密后==>KG0nfoBB9332+o5duZNgtt68mH13CnS2SdVgbZ/FAzmSn7+s7cfTBeXIAOb6hWZ++Y+ViTqKtS+5Ys2XjrIblKDAF26QnutWdZdUajCAr3Nc/Yh5QHTvkOHXxKkg/HFVC+ziCF+7Xs5YOL7YiLqBcWh48E9l7WZWOkAlJkOn8hCkUqmoAq02d6dx+Y9A4qLwmvT7Y5Y69E8n3kBYqErsNg==
WXMP解密 | 传入参数==>KzaTmOTHh4eGveZ+5pfxCoqH1IQG7sp2qZEcswv87ubmpkblw7G3b4t8XOYPzpos2koSi3ETPTHz5DiAMnRioG0X5i3P9Xc4vNa6kGFlifLqjqrX1qtX9PLADa1sWo/wmztGW/DHsf04PWo0M3cXOK8gTWEhpdgn79jnvU3WjpA=
解密后==>{"errcode":111,"errmsg":"请注册后登录","data":{"openid":"o3lP20JaFQrtTups6CIjTdnHNbwY"},"runTime":"0.143522s"}

chihonjian

掌尚-北国，愿意尝试的老哥可以试试

涛之雨

算法肯定不能猜啊。。。
用论坛里的wpkg解包那个小程序，然后通过关键词找算法

chihonjian

涛之雨 发表于 2021-4-19 08:38
算法肯定不能猜啊。。。
用论坛里的wpkg解包那个小程序，然后通过关键词找算法

源码太乱了，我找不到