客户端无参数请求服务端，服务端却返回动态数据

小南跑

是这样的：

一款网络验证，可可，它有自己的服务端API验证函数（是所有网络验证的标配吧）

客户端向服务端发起请求，函数的参数每次都是固定的，比如：ks(“v_LoveYou”)

但是但是！！！

服务端每次的返回值都不一样 , 是动态数据。（一段加密文本）

我感觉这有点不科学，那客户端怎么解析这种动态数据呢。
它也没有解密用到的key，本地客户端真的能解析么？

楼楼也是刚开始学逆向，比较菜（汗）
辅助就不发了，避免违规求破。


希望看到帖子的大佬能指点一二，非常感谢！！！

遇到这种情况应该怎么往下研究呀？
实在是没思路了

i20089521

固定他的时间戳，不让变可以不！我见到过不对称验证的，客户端请求后就建立一个通道，同时有时间验证，再返加密的数据

zhuxiangyu1024

他要是每次返回值都一样，这服务端的意义在哪里呢，你 写死不就行了。。

小南跑

zhuxiangyu1024 发表于 2023-8-18 11:15
他要是每次返回值都一样，这服务端的意义在哪里呢，你 写死不就行了。。

哥，写死不中啊，尝试过正版补码。

也就是固定它的动态数据，这条路走不通的:

飞机一键

你怎么知道他客户端没有解密呢？

举世无双燕归人

动态不是很正常吗，肯定要加时间戳验证的啊

小南跑

飞机一键 发表于 2023-8-18 12:08
你怎么知道他客户端没有解密呢？

也就是说，客户端可以通过某种手段，就算是动态的数据，依然可以计算出固定结果

小南跑

举世无双燕归人 发表于 2023-8-18 12:13
动态不是很正常吗，肯定要加时间戳验证的啊

动态是正常，奇就奇在它的这些动态数据，你没办法固定，而且客户端肯定有办法解析或者是验证。
这就不知道怎么破了

举世无双燕归人

i20089521 发表于 2023-8-18 12:37
固定他的时间戳，不让变可以不！我见到过不对称验证的，客户端请求后就建立一个通道，同时有时间验证，再返 ...

时间戳都写在加密数据里面你怎么固定

小南跑

i20089521 发表于 2023-8-18 12:37
固定他的时间戳，不让变可以不！我见到过不对称验证的，客户端请求后就建立一个通道，同时有时间验证，再返 ...

老哥一开口就知道是过来人，那些有参数的，大部分可以固定数据来解决。一张正版卡通杀。

就是这种无参请求的，返回动态数据，客户端肯定要解密，要么就逆算法（基本不可能，一般作者都会VM的）

要么就爆破（我感觉也不可能，原因还是因为VM）

感觉这种保护方式真就近乎无解了。

我回头再分析分析时间戳，感觉这是个不错的思路。
因为时间戳不需要作为参数就能传递，只要控制延迟，就能作为一种验证手段。