本帖最后由 9yingle 于 2021-12-28 09:50 编辑
抓包小程序商标查询记录,但最后我放弃了
最近一直在用fidder抓包,最近发现可以抓小程序的,打算试试水。
抓包图片
想起别人发我的某个商标查询小程序
小程序图片
开始抓包
成功抓取aip
[Asm] 纯文本查看 复制代码 GET HTTP://******.cn/tmapi/wechatapp/default.do?method=queryTM&cxkey=%25E9%25B8%25BF%25E8%2592%2599&cxtype=0&tmtypeid=0&openid=*******&userid=10001 HTTP/1.1
Host: www.*****.cn
Connection: keep-alive
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/53.0.2785.143 Safari/537.36 MicroMessenger/7.0.9.501 NetType/WIFI MiniProgramEnv/Windows WindowsWechat
content-type: application/json
Referer: https://servicewechat.com/wxdbe76344549d9ed0/3/page-frame.html
Accept-Encoding: gzip, deflate, br
分析出两个参数
一个key是查询的内容 utf8编码在转换usc2编码即可
一个是openid 开始分析没把这个当回事 事实证明年轻的我太自以为是了。
放到分析软件里 提交post得到json代码 然后对json解析
解析图片
发现这个自己可以搞定。疯狂输出代码
小程序点击某一个查询到的商标会提示更详细的信息 继续抓包发现是通过返回内容中的ftmid提交返回数据 那么就继续json解析
此时自己偷偷暗喜,难道就是两个json就可以搞定吗?
搞成这样应该差不多了吧
然后对最开始的提交地址进步分析,发现了翻页页码还有商标类别 果断更新代码使工具可以翻页也可以专门对商标类别进行查询
到了此时已经过去了两三个小时,回到家里继续想让图片在列表中显示,测试了一下读取图片有些卡,但如果加入多线程应该问题不到,
然鹅,对然鹅出现了,再次提交几次发现无法查询数据了换了微信取得openid则可以考虑应该是失效了,
几经折腾原来微信还是不可以,至此我发现了问题的严重性
这才明白 最初提交地址userid=10001 这个以为是统一散户id 然而后期我在提交发现自己已经变成了userid=10002 估计是黑名单了
到此时,我还抱有希望,因为openid如果可以伪装一个构建一个还是可以解决的,但百度一圈之后发现这个是微信进入小程序的唯一合法id
可以通过code什么的换取 但是很麻烦,有可能需要小程序官方的什么id 也有说微信hook也可以获取,但对于这些我的评估是可能需要很费解,
算了放弃了,打算试试水,最后发现自己啥也不是,有知道怎么弄这个的给我评论吧,最后的最后无奈只能在软件上加入自动填写openid内容。
如果需要自己填写,我觉得这个软件是个弱智产品。
无论怎么样最后还是发一个成品把:
蓝奏地址:https://anki.lanzouw.com/ira16y1zkqb |