阿里V2滑块小程序版本

白菜__2026-03-17 8:07

本案例中所有内容仅供个人学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关。

请求分析

log1

javascript 复制代码 
let reqBody = {
    "AccessKeyId": "LTAI5tGjnK9uu9GbT9GQw72p",
    "Version": "2020-10-15",
    "SignatureMethod": "HMAC-SHA1",
    "SignatureVersion": "1.0",
    "Format": "JSON",
    "Action": "Log1",
    "Data": log1Data,//可以固定
    "SignatureNonce": Q(),
  };
  let signature = getSignature(reqBody, "fpOKzILEajkqgSpr9VvU98FwAgIRcX&");
  reqBody["Signature"] = signature;

InitCaptcha

javascript 复制代码 
let reqBody = {
    "AccessKeyId": "LTAI5tSEBwYMwVKAQGpxmvTd",
    "SignatureMethod": "HMAC-SHA1",
    "SignatureVersion": "1.0",
    "Format": "JSON",
    "Timestamp": dayjs.utc().format('YYYY-MM-DDTHH:mm:ss[Z]'),
    "Version": "2023-03-05",
    "Action": "InitCaptchaV2",
    "SceneId": SceneId,//固定值
    "Language": "cn",
    "SignatureNonce": Q(),//随机
  };
  let signature = getSignature(reqBody, "YSKfst7GaVkXwZYvVihJsKF9r89koz&");
  reqBody["Signature"] = signature;

log2

javascript 复制代码 
let data = getLog2Data(deviceConfig, fpList);
  let reqBody = {
    "AccessKeyId": "LTAI5tGjnK9uu9GbT9GQw72p",
    "Version": "2020-10-15",
    "SignatureMethod": "HMAC-SHA1",
    "SignatureVersion": "1.0",
    "Format": "JSON",
    "Action": "Log2",
    "Data": data,//环境数组重点
    "SignatureNonce": Q(),
  };
  let signature = getSignature(reqBody, "fpOKzILEajkqgSpr9VvU98FwAgIRcX&");
  reqBody["Signature"] = signature;

VerifyCaptcha接口

javascript 复制代码 
  let reqBody = {
    "AccessKeyId": "LTAI5tSEBwYMwVKAQGpxmvTd",
    "SignatureMethod": "HMAC-SHA1",
    "SignatureVersion": "1.0",
    "Format": "JSON",
    "Timestamp": dayjs.utc().format('YYYY-MM-DDTHH:mm:ss[Z]'),
    "Version": "2023-03-05",
    "Action": "VerifyCaptchaV3",
    "SceneId": SceneId,
    "CertifyId": certifyId,
    "CaptchaVerifyParam": JSON.stringify({
      sceneId: SceneId,
      certifyId,
      deviceToken: getDeviceToken(deviceConfig, certifyId, fpList),
      data: verifyData,//轨迹
    }),
    "SignatureNonce": Q(),
  };
  let signature = getSignature(reqBody, "YSKfst7GaVkXwZYvVihJsKF9r89koz&");
  reqBody["Signature"] = signature;

逆向分析

javascript 复制代码 
Log1的响应:ResultObject这个要解密非常关键
环境数组:第25位有个动态值,这个值通过Log1接口返回的ResultObject解密的sessionId和key运算而来
Log2的Data:这是阿里v系列的常用加密流程,整体来说就是b64+AES,和web版本对比有一个区别就是最外层的数组第三个值的key是WEB_AES_SECRET_KEY和ACCESS_SEC运算而来
DeviceToken:这个基本和web一致,也是b64+AES的反复折磨,会看到经典阿里的"daye,raolewoba!"
InitCaptcha:中返回的CertifyId很重要,会参与验证接口和最终提交接口
VerifyCaptcha:这个接口没啥好说的和基本和web一致,会简单一点没有那些绑定文件的值和vmp

效果

咨询、沟通、合作

2227669390

相关推荐
Mr数据杨2 小时前
【Dv3Admin】FastCRUD富文本编辑器操作
前端·javascript
英俊潇洒美少年2 小时前
react useDeferredValue和useTransition有啥区别
javascript·react.js·ecmascript
灵机一物2 小时前
灵机一物AI智能电商小程序(已上线)-从“帮我买抽纸”到自动下单支付——大模型驱动全链路自动购物系统实战
人工智能·python·elasticsearch·小程序·fastapi·rag·langgraph
CHU7290352 小时前
便捷省心!手机数码租赁小程序前端功能玩法详解
智能手机·小程序
梦想的旅途22 小时前
企业微信自动化操作的高效实现方案
开发语言·javascript·ecmascript
发现一只大呆瓜9 小时前
SSO单点登录:从同域到跨域实战
前端·javascript·面试
发现一只大呆瓜9 小时前
告别登录中断:前端双 Token无感刷新
前端·javascript·面试
Cg1362691597410 小时前
JS-对象-Dom案例
开发语言·前端·javascript
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03OpenClaw 使用和管理 MCP 完全指南04OpenClaw Control UI安全上下文访问配置05本地部署 OpenClaw + DeepSeek-R1 完全指南06UV安装并设置国内源07OpenClaw macOS 完整安装与本地模型配置教程(实战版)08Openclow安装保姆级教程09在 Windows 上配置 Claude Code从安装到解决网络问题10Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services