阿里V2滑块小程序版本

白菜__2026-03-17 8:07

本案例中所有内容仅供个人学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关。

请求分析

log1

javascript 复制代码 
let reqBody = {
    "AccessKeyId": "LTAI5tGjnK9uu9GbT9GQw72p",
    "Version": "2020-10-15",
    "SignatureMethod": "HMAC-SHA1",
    "SignatureVersion": "1.0",
    "Format": "JSON",
    "Action": "Log1",
    "Data": log1Data,//可以固定
    "SignatureNonce": Q(),
  };
  let signature = getSignature(reqBody, "fpOKzILEajkqgSpr9VvU98FwAgIRcX&");
  reqBody["Signature"] = signature;

InitCaptcha

javascript 复制代码 
let reqBody = {
    "AccessKeyId": "LTAI5tSEBwYMwVKAQGpxmvTd",
    "SignatureMethod": "HMAC-SHA1",
    "SignatureVersion": "1.0",
    "Format": "JSON",
    "Timestamp": dayjs.utc().format('YYYY-MM-DDTHH:mm:ss[Z]'),
    "Version": "2023-03-05",
    "Action": "InitCaptchaV2",
    "SceneId": SceneId,//固定值
    "Language": "cn",
    "SignatureNonce": Q(),//随机
  };
  let signature = getSignature(reqBody, "YSKfst7GaVkXwZYvVihJsKF9r89koz&");
  reqBody["Signature"] = signature;

log2

javascript 复制代码 
let data = getLog2Data(deviceConfig, fpList);
  let reqBody = {
    "AccessKeyId": "LTAI5tGjnK9uu9GbT9GQw72p",
    "Version": "2020-10-15",
    "SignatureMethod": "HMAC-SHA1",
    "SignatureVersion": "1.0",
    "Format": "JSON",
    "Action": "Log2",
    "Data": data,//环境数组重点
    "SignatureNonce": Q(),
  };
  let signature = getSignature(reqBody, "fpOKzILEajkqgSpr9VvU98FwAgIRcX&");
  reqBody["Signature"] = signature;

VerifyCaptcha接口

javascript 复制代码 
  let reqBody = {
    "AccessKeyId": "LTAI5tSEBwYMwVKAQGpxmvTd",
    "SignatureMethod": "HMAC-SHA1",
    "SignatureVersion": "1.0",
    "Format": "JSON",
    "Timestamp": dayjs.utc().format('YYYY-MM-DDTHH:mm:ss[Z]'),
    "Version": "2023-03-05",
    "Action": "VerifyCaptchaV3",
    "SceneId": SceneId,
    "CertifyId": certifyId,
    "CaptchaVerifyParam": JSON.stringify({
      sceneId: SceneId,
      certifyId,
      deviceToken: getDeviceToken(deviceConfig, certifyId, fpList),
      data: verifyData,//轨迹
    }),
    "SignatureNonce": Q(),
  };
  let signature = getSignature(reqBody, "YSKfst7GaVkXwZYvVihJsKF9r89koz&");
  reqBody["Signature"] = signature;

逆向分析

javascript 复制代码 
Log1的响应:ResultObject这个要解密非常关键
环境数组:第25位有个动态值,这个值通过Log1接口返回的ResultObject解密的sessionId和key运算而来
Log2的Data:这是阿里v系列的常用加密流程,整体来说就是b64+AES,和web版本对比有一个区别就是最外层的数组第三个值的key是WEB_AES_SECRET_KEY和ACCESS_SEC运算而来
DeviceToken:这个基本和web一致,也是b64+AES的反复折磨,会看到经典阿里的"daye,raolewoba!"
InitCaptcha:中返回的CertifyId很重要,会参与验证接口和最终提交接口
VerifyCaptcha:这个接口没啥好说的和基本和web一致,会简单一点没有那些绑定文件的值和vmp

效果

咨询、沟通、合作

2227669390

相关推荐
lijgvnns1 分钟前
个人AI编程工具的vibe coding实践:从爬虫到导出Excel的全流程
开发语言·javascript·ecmascript
এ慕ོ冬℘゜8 分钟前
jQuery 高可用多图上传组件(企业级封装 + 踩坑全解 + 可直接上线)
前端·javascript·jquery
kymjs张涛14 分钟前
一个月,纯VibeCoding,全平台云笔记APP
前端·javascript·后端
快乐的哈士奇27 分钟前
Gmail-邮件自动处理系统
node.js·自动化·excel
狗头大军之江苏分军28 分钟前
前端路由是怎么来的
前端·javascript·后端
阿猫的故乡1 小时前
Vue + Axios 从入门到封装:拦截器、错误处理、请求取消、接口管理全搞定
前端·javascript·vue.js
在放️1 小时前
Python 爬虫 · 模拟浏览器跳转 - 防盗链处理
爬虫·python
葡萄皮sandy1 小时前
SSE和WebSocket
网络·websocket·网络协议
hyunbar7772 小时前
配置 Cloudflare Tunnel:把 Mac 上的 Web 服务变成安全域名
网络协议
wuxia21182 小时前
在5种环境中编写点击元素改变内容和颜色的JavaScript程序
javascript·微信小程序·vue·jquery·react
热门推荐
01HTTP 与 HTTPS 的区别:从原理到实战详解022026 AI 编程工具终极实战指南:Cursor vs Claude Code vs Copilot,开发者该怎么选?032026年6月AI行业全景:从百模大战到Agent元年,这30天发生了什么?04【AI】2026 年具身智能模型和世界模型总结052026 年 AI 编程工具终极横评:Cursor vs Claude Code vs Copilot vs Windsurf06AI科技热点日报 | 2026年6月1日07GitHub 镜像站点08Claude Code、Codex、Cursor三分天下:2026年AI编程Agent生态全景剖析09《置身钉内》原文-可播放阅读10AI一周事件 · 2026-06-03 至 2026-06-09