V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
caianran
V2EX  ›  程序员

小程序 signkey 算法求解,困扰我五天了,感觉自己好蠢啊,是不是不适合做逆向。

  •  
  •   caianran · 2022-04-30 22:43:37 +08:00 · 2306 次点击
    这是一个创建于 946 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近抖音跟微信都很火的一款小程序游戏,地下城割草,玩了几天太肝了想试一下能不能通过通过 fiddler 修改游戏的金币钻石目前把加密算法搞定了,剩下的疑点感觉我目前的技术水平搞不定了,求大佬帮忙啊。

    我发现修改自己的游戏数据和修改其他人的完全不同,试了 N 次没搞明白怎么弄,例如,通过 fiddler 抓 prefetch/unifiedfetch 这个包服务器返回的 signkey 跟用 post 测试返回来的数据完全不同。

    猜想可能与 code 这类变化值有关,而 code 也只能用一次,用过之后再用相同值发送就失效了。

    显然,post 返回的 signkey 是错误的,但是要怎么调试才能使服务器返回正确的结果呢?

    是否需要提前拦截下 code 再发送出去吗?还是有什么方法获取到这个 signkey 呢,例如微信 hook? signkey 的获取至关重要,因为是解密算法的参数之一,修改自己的很简单,直接抓包自己的数据即可,怎么样才可以做到修改别人的数据咧?

    5 条回复    2022-05-03 19:38:36 +08:00
    610915518
        1
    610915518  
       2022-05-01 00:40:13 +08:00
    一般都是 md5(data),可以自己多试一下。实在不行就逆向大法
    learningman
        2
    learningman  
       2022-05-01 01:56:50 +08:00 via Android
    小程序又不保护 js ,本地清空缓存重新加载下就拿到混淆过的源码了。
    而且网游你琢磨抓包意义不大吧,加减可能都是在服务端跑的逻辑,还是你打算搞 sql 注入这种?👀
    LifStge
        3
    LifStge  
       2022-05-01 09:14:23 +08:00
    其实我想说 当然不做保护的游戏一大堆 但是这游戏都做这样的防护了 难道还会做这种不严谨的设计吗(客户端计算数据 服务端改)? 小游戏有没啥计算量 又不会给服务器带来很大的消耗...
    这种最多也就搞搞 模拟挂机吧.....
    py2ex
        4
    py2ex  
       2022-05-03 19:38:14 +08:00
    去看了,发现是盗版 vampire survivors
    音效都直接拿别人的素材。
    SEO 一波
    账号主题:广州考拉信息技术有限公司
    账号原始 id: gh_3b88bcdd9779
    AppID: wx8d06a624c1242a78
    py2ex
        5
    py2ex  
       2022-05-03 19:38:36 +08:00
    账号主题→账号主体
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   915 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 31ms · UTC 20:28 · PVG 04:28 · LAX 12:28 · JFK 15:28
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.