js逆向-某东验证码逆向分析

声明

本文仅供学习参考，如有侵权可私信本人删除，请勿用于其他途径，违者后果自负！ 如果觉得文章对你有所帮助，可以给博主点击关注和收藏哦！

插句个人内容：本人最近正在找工作，工作城市：广州。如果有合适的机会，希望有大佬可以内推，感激不尽。
js逆向马马虎虎，app会弱一些。感兴趣的大佬可以私信本人要简历。

流程分析

网站:

aHR0cHM6Ly9wYXNzcG9ydC5qZC5jb20vbmV3L2xvZ2luLmFzcHg/UmV0dXJuVXJsPWh0dHBzJTNBJTJGJTJGd3d3LmpkLmNvbSUyRg==

点击短信登录，就会弹出验证码，识别成功后就会发送短信验证码。

那么目标显而易见了。
打开F12进行抓包分析。

首先会初始化一个接口，返回后面所需要的内容。

字段	含义
bg	含有缺口的base64背景图片
challenge	后面需携带
patch	缺口base64图片
y	固定即可（感觉没啥用）

接口参数没有任何加密，直接携带内容请求即可。
第二个接口：

字段	含义
d	轨迹加密
c	第一个接口的challenge
e	和第一个接口保持一致
s	从其他接口处返回，变化值。

其中s通过全局搜索即可定位。

通过正则匹配即可得到内容。

逆向分析

轨迹加密比较简单，但是检验比较严格，搞了好久才成功。
直接搜索'/slide/s.html'。

b就是轨迹。

接着把a['getCoordinate']函数扣下来即可。

其他的就没有难度了。

然后就是构建轨迹了，在这里说明一下，轨迹不用完全按照它的去搞，其实就对x进行了校验，而且也是实际的滑行轨迹。
轨迹网上也有很多，可以自行搜索，这里不做赘述。

最后

最近开通了个人公众号，有一些被博客下架的文章后续也会同步上去。
大佬们可以关注一波。