『瀚思彼岸』» 智能家居技术论坛

 找回密码
 立即注册
查看: 1647|回复: 3

[技术探讨] 【求助】抓包北京自来水小程序

[复制链接]

25

主题

416

帖子

3027

积分

元老级技术达人

积分
3027
金钱
2601
HASS币
40
发表于 2022-6-30 18:40:06 | 显示全部楼层 |阅读模式
本想抓自来水的api, 抓是抓到了,具体地址大概是这样https://www.bjwatergroupkf.com.c ... 9AEC&noEncrypt=
传入的三个参数timestamp、nonce、sign看起来是加密的,有没有大佬有啥办法解决?
screenshot-20220630-183754.png
而且,奇葩的是,返回的数据也加密 ...
回复

使用道具 举报

20

主题

550

帖子

3603

积分

元老级技术达人

积分
3603
金钱
3013
HASS币
210

教程狂人突出贡献

发表于 2022-6-30 19:57:01 | 显示全部楼层
本帖最后由 involute 于 2022-7-1 02:13 编辑

不是加密,第一个是时间戳,第二个是个本地生成的随机序列,第三个是签名,十六进制的串,算法不是md5就是sha,具体你得看网页中的源代码了,估计是用上了时间戳和这个随机数。

而且看这个接口getBindAccountList,又是个Bind和Bound不分的二货,强迫症好难受。

你这个get请求的params里应该不含有认证信息,看看header里是不是有token之类的玩意。
回复

使用道具 举报

2

主题

13

帖子

476

积分

中级会员

Rank: 3Rank: 3

积分
476
金钱
463
HASS币
0
发表于 2022-7-1 10:18:02 | 显示全部楼层
必须要搞到源码才能知道签名和加解密的规则;可以找下微信小程序源码反编译的文档;Windows 上登录微信打开小程序应该会更容易,但是不知道现在还能不能反编译了
回复

使用道具 举报

25

主题

416

帖子

3027

积分

元老级技术达人

积分
3027
金钱
2601
HASS币
40
 楼主| 发表于 2022-7-2 08:54:36 | 显示全部楼层
involute 发表于 2022-6-30 19:57
不是加密,第一个是时间戳,第二个是个本地生成的随机序列,第三个是签名,十六进制的串,算法不是md5就是s ...

header里确实有token 这个已经找到了
问题是这个随机串,回头试试能不能找到算法了
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Hassbian

GMT+8, 2024-11-28 23:32 , Processed in 0.164077 second(s), 30 queries .

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表