【验证码系列】某用平台滑块-加密流程分析rsa、base64

最新推荐文章于 2026-06-22 23:38:57 发布
原创 最新推荐文章于 2026-06-22 23:38:57 发布 · 172 阅读 · 3 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
GEO检测
标签
#验证码 #python #爬虫 #rsa #base64

文章目录

某用平台滑块-加密流程分析rsa、base64

声明
本文章中所有内容仅供学习交流使用,不用于其他任何目的,不提供完整代码,抓包内容、敏感网址、数据接口等均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关!

本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请在主页联系作者立即删除!

目标和接口

**目标:**滑动拼图验证成功
接口:aHR0cHM6Ly94eGdzLmNoaW5hbnBvLm1jYS5nb3YuY24vZ3N4dC9uZXdsaXN0

1. 请求流程分析

整个验证流程分为四个步骤:

  1. 获取验证码信息 接口请求
  2. 识别滑动距离 本地图像识别
  3. 构建加密参数 (RSA + Base64)
  4. 提交验证并获取业务数据 接口请求

2. 请求参数分析

2.1 第一步:获取验证码图片与盐值信息

直接向接口 c2xpZGVDYXB0Y2hh 发起 GET 请求,注意携带cookie。

响应结构分析:

{
    "code": 200,
    "result": {
        "a": "Base64String...", // 随机盐值或标识 A
        "b": "Base64String...", // 随机盐值或标识 B
        "c": {
            "oriImage": "Base64String...", // 背景大图
            "cutImage": "Base64String...", // 滑块小图
            "cutImageWidth": 40,           // 滑块宽度
            "xpos": 0,                     // 初始X坐标
            "ypos": 7                      // 初始Y坐标
        }
    }
}

2.2 第二步:图像预处理与距离识别

前端返回的图片是 Base64格式,需要将其转换为本地图片文件,以便进行识别。

关键点:

  • oriImage 是包含缺口的背景图。
  • cutImage 是需要移动的滑块图。
  • 使用 ddddocr 方法可以自动计算滑块需要移动的距离,注意计算距离时要考虑滑块宽度的偏移量。

代码实现:

def base64_to_image(base64_str, output_path):
    if "," in base64_str:
        base64_str = base64_str.split(",")[1]
    image_data = base64.b64decode(base64_str)
    image = Image.open(BytesIO(image_data))
    image.save(output_path)
    return image

# 在 run 函数中调用
base64_to_image(captcha_info["c"]["cutImage"], "cut_image.png")
base64_to_image(captcha_info["c"]["oriImage"], "ori_image.png")

# 识别距离
slide_info = get_real_slide_distance(
    "ori_image.png", 
    "cut_image.png", 
    captcha_info["c"]["cutImageWidth"]
)
slide_distance = slide_info["slide_distance"]

2.3 第三步:参数加密构造 (核心难点)

2.3.1 加密逻辑分析

在这里插入图片描述

根据全局搜索代码,分析加密逻辑如下:

  1. 参数 a: Base64( UTF8(原始a) )
    • 对接口返回的 a 字符串进行 UTF-8 编码,再做一次 Base64 编码。
  2. 参数 b: Base64( UTF8(原始b) )
    • 对接口返回的 b 字符串进行 UTF-8 编码,再做一次 Base64 编码。
  3. 参数 c: Base64( UTF8( RSA_Encrypt(滑动距离) ) )
    • Step 1: 将滑动距离(整数/字符串)转换为字符串。
    • Step 2: 使用 RSA 公钥对字符串进行加密。填充模式为 PKCS1_v1_5
    • Step 3: 将加密后的二进制数据转为 Base64 字符串。
    • Step 4: 注意! 代码中对该 Base64 字符串又做了一次 UTF8编码 -> Base64编码 的处理(双重 Base64)。
2.3.2 RSA 公钥提取

从 JavaScript 源码或网络请求中可以提取到 RSA 公钥:

-----BEGIN PUBLIC KEY-----
****************替换真实公钥***************
-----END PUBLIC KEY-----

Python 实现 RSA 加密

# 构建以上真实的公钥,使用标准rsa和base64即可

2.4 第四步:提交验证

将构造好的参数发送给验证接口 c2xpZGVfY2FwdGNoYV9jaGVjaw==

参数: a, b, c

如果验证成功,服务器会返回 code: 200。此时,这些参数a, b, c可以用于后续的业务数据查询。

3. 总结

这个案例还是很简单了,大家快动手做起来吧!

关键参数: v: luobidamidi001

以下是运行效果演示:

在这里插入图片描述

感谢关注【遇事不決洛必達】!欢迎点赞收藏和交流指正,我会持续分享我的学习经验和心得。

360滑块验证码逆向分析
Dark_orange的博客
09-28 1164
本文分析了360验证码demo页面的滑块验证流程,主要包括以下步骤: 初始化请求/auth获取验证码RSA公钥 解密并拼接打乱的底图 识别图片中的数字及坐标 生成模拟轨迹数据 使用RSA加密构建提交参数 发送/check请求验证结果 文章指出该demo流程较为简单,仅需解密混淆JS代码后即可分析加密逻辑。其中关键点是使用获取的公钥加密轨迹数据,最后提醒仅供学习交流使用,并附上解混淆代码获取方式。
全国社会组织信用信息公式平台(试运行)爬虫记录
m0_46094187的博客
05-14 7304
全国社会组织信用信息公式平台(试运行)爬虫记录 1. 列表页面请求解析 输入关键词搜索 会出现滑块验证码 验证码过了之后,这个请求就是最后的数据请求 有abc三个参数需要关注 1.1获取验证码 请求很简单 返回两个图片base64数据(背景图片,和滑块图片)和ab两个参数 1.2校验验证码 请求中带有abc三个参数,初步断定和获取验证码中返回的3个数据有所关联 对比a参数看看: 获取验证码中返回的a参数: Y1UwZfTHwuyTJ/g5lyfiAUgc+P1BC7ANC79B67oUlTL2OxM
逆向案例二十七——某社会信用平台滑块分析,简单滑块
m0_57265868的博客
07-20 1335
可以看出,验证包里的a,b是对第一个包里的a,b进行encodedata加密得来的。我们发现验证滑块有没有成功的包有a,b,c三个加密参数,注意a,b是不同于第一个包返回的a,b的值的。一般来说,两个包最重要,一个是返回图片的包,一个是进行滑动验证的包。通过验证码之后,我们需要得到数据,找到数据包,发现数据包有三个参数,刚好是a,b,c就是滑动好的a,b,c。再看看这个包的请求头和载荷,发现没有什么加密,因此写代码获取滑块图和a,b的值。万事俱备,我们现在去看查验包有哪些参数,滑动滑块,但不要成功。
pdd登录滑块分析,PASS_ID值的获取
m0_64987760的博客
05-08 3281
如图为平台登录页面,这里我们选择使用手机号登录,同时打开抓包对网络请求进行拦截分析,这里账号密码随便输入就可以可以看到,登录只有一个请求名为auth,简单分析一下这个请求,首先负载携带了大量的参数,这里简单介绍几个关键的参数,就是pdd的系列参数,username是明文账号,是 加密的密码,采用的RSA加密,官方库就是还原,是账号密码时间戳的一个加密值,加密方式和password同理,字典中有一些关于时间戳的参数,基本围绕了输入账号密码的时间间隔,模拟一下就行。
Python图片压缩方法全解:从入门到进阶
得塔云的博客
06-19 514
本文总结了Python中六种主流的图片压缩方法:1)Pillow作为通用首选,支持质量调整、尺寸缩放和格式转换;2)TinyPNG API提供最高压缩率但有限额;3)WebP格式在保持画质下体积最小;4)PyVips适合大图处理,内存占用低;5)OpenCV针对视频帧和实时流优化;6)K-means聚类实现算法级色彩压缩。文章通过对比表格和决策树,建议根据场景需求选择工具,日常使用Pillow即可满足大多数需求,并附赠了一个可直接使用的批量压缩脚本。
Unity PICO4 学习记录8: WebRTC
m0_63485455的博客
06-22 290
这一篇和PICO本身没什么关系,只是记录一下开发过程我们要做一个“从超声设备采集影像数据,一对多地传给XR眼镜终端以及其他可能的设备”应用。发送端是Jetson,由同事负责;接收端XR眼镜端由我负责。同事说视频采集卡例程里给了两种通信协议:RSTP和WebRTC.一开始我尝试用HoloLens2,因为老师和医生们似乎更喜欢OST而不是VST;但是UWP ARM64 媒体栈对 RTSP 支持弱、MixedReality-WebRTC 停更,所以 HL2 不适合当主验证平台
24-Django请求全链路-WSGI到数据库响应的完整旅程
weixin_44081096的博客
06-15 1576
你点了浏览器的"刷新"按钮,0.5 秒后页面渲染完毕。这 0.5 秒里发生了什么?本文把 Django 处理一个 HTTP 请求的完整链路拆为六个步骤:WSGI Server 接收 TCP 连接 → 中间件栈的洋葱模型逐层处理 → URL 路由匹配 → View 执行业务逻辑 → ORM 生成 SQL 并发送到数据库 → Template 渲染或 JSON 序列化返回响应。每一步都配有对应的源码位置和关键代码片段,读完你能对一个请求的全生命周期建立起清晰的空间模型。穿插真实调试经历——一个中间件错误导致所有
AI Infra 硬件体系与编程模型:18. CUDA编程基础:使用 PyTorch CUDA Extension 实现自定义算子
basketball616的博客
06-17 473
本文详细介绍了PyTorch CUDA扩展的开发方法与架构。主要内容包括: 开发动机:解决原生算子不足、Python实现性能差、需要算子融合和硬件特性定制等问题 三层架构: CUDA核函数层:纯GPU计算逻辑 C++封装层:连接PyTorch与CUDA,处理张量转换 Python层:提供用户接口 核心依赖:ATen张量库作为基础,通过torch/extension.h头文件提供统一接口 关键技术: 使用pybind11实现Python-C++绑定 支持即时编译(JI
Hermes Agent 中 Skills 与 Tools 的关系分析
LOUISLIAOXH的专栏
06-16 322
Hermes Agent 中 Skills 与 Tools 的关系分析 Hermes Agent 将 Skills 功能通过 3 个独立 tool(skills_list、skill_view、skill_manage)暴露给大模型,而非单一工具。这些工具注册在 skills toolset 下,并在系统初始化时加载。 内容装载采用三级机制: 系统提示注入:初始化时在 system prompt 中嵌入紧凑的技能索引(仅名称和简介); 工具 Schema 描述:每次 API 调用携带详细功能说明; 按需加载
衣览无余测试报告
XU_very_NB的博客
06-16 241
本次测试工作以 AIWear Web 系统为对象,结合手工测试用例设计与 Python + Selenium 自动化测试脚本,对系统的登录认证、图片编辑、图片合并、图片管理、文搜图和历史记录等核心链路进行验证,重点关注页面功能正确性、登录态 token 传递、输入校验、图片选择及结果展示的稳定性。AIWear 项目围绕“衣览无余”的业务目标,提供基于 Web 的图片编辑、图片合并、我的图片、历史记录等功能,帮助用户通过简单的页面操作完成图片生成与管理。测试过程中重点关注登录态 token 的复用。
Odoo 19开发教程之视图控件开发
智能化技术分享
06-22 235
本文详细介绍了Odoo 19中自定义视图控件的开发方法,通过一个销售订单列表视图的弹窗控件案例,展示了完整的实现流程。该控件由四部分组成:基于OWL框架的JavaScript组件(包含弹窗和主控件)、XML模板文件(定义界面元素)、Python模型(提供计算字段)和视图XML定义(嵌入控件)。开发要点包括使用usePopover钩子实现弹窗交互、OWL组件与模板的绑定方式、计算字段的高效实现,以及控件在视图中的注册与调用。该方案可灵活扩展,为Odoo视图提供丰富的交互功能。
JUC 总结:从 Java 内存模型到线程池的并发核心梳理
2301_80821045的博客
06-15 665
本文总结了Java并发编程(JUC)的基础知识要点: 进程与线程:进程是资源分配的最小单位,线程是调度的最小单位,线程更轻量级且切换成本低; 线程创建方式:继承Thread类、实现Runnable/Callable接口、使用线程池(推荐); Runnable与Callable区别:Callable有返回值且可抛异常,需通过FutureTask适配; 线程状态:新建、可运行、阻塞、等待、定时等待和终止6种状态; 线程控制:start()启动新线程,run()同步执行;join()实现顺序执行,CountDow
为什么Python不用var或let声明变量?
这家伙很懒,什么都没有留下
06-18 340
语言声明关键字作用域规则需要类型吗?Python无(赋值即声明)函数级作用域否(注解可选)JavaScriptvarletconstletconst是块级,var是函数级否Java类型在前块级是C类型在前块级是Govar:=块级是Rustletlet mut块级是C++类型在前/auto块级是没有任何声明关键字。为什么Python不用var或let?设计哲学:赋值即声明,简洁明了,减少冗余语法历史因素:Python从一开始就这么设计,没有历史包袱避免复杂。
计算机二级Python备考资料
m0_67097444的博客
06-17 249
操作:append()、extend()、insert()、remove()、pop()、sort()、reverse()基本数据类型:int(整数)、float(浮点数)、str(字符串)、bool(布尔值)操作:keys()、values()、items()、get()、update()序列操作:len()、max()、min()、sum()、sorted()操作:add()、remove()、并集(|)、交集(&)、差集(-)打开模式:r(读)、w(写)、a(追加)、r+(读写)、b(二进制)
如何使用鳄鱼线做股票交易(下):量化代码实现与避坑指南
weixin_73631017的博客
06-17 480
本文介绍了如何用Python实现鳄鱼线量化交易策略,重点解析了趋势判断、入场逻辑和常见陷阱。文章首先阐述了鳄鱼线的三大核心交易规则:通过三条均线的排列识别趋势方向,用价差扩散判断趋势强度,并设置多条件过滤无效信号。特别强调了均线平移(shift)的正确用法,指出错误的平移会导致未来函数问题,使回测结果失真。随后提供了完整的Python代码实现,包括SMMA计算、信号生成、回测框架和可视化功能。最后建议读者通过实践掌握时序数据处理、多条件组合等量化技能,并指出鳄鱼线的核心价值在于趋势过滤而非涨跌预测。全文突出
第5篇_Python文件操作与异常处理:程序与外界交互的桥梁
最新发布
Lenyiin
06-22 286
学到这里,你的 Python 代码已经能在自由运转了——变量、函数、类、对象,全都在 RAM 里运行,程序结束就消失。但真实世界的程序,不能只活在内存里。这就需要掌握和——这是 Python 程序与外界交互的两座桥梁。本篇我们就来系统学习这两个主题。
基于卷积神经网络的图像分类系统
wyh293的博客
06-18 300
随着人工智能技术的快速发展,图像分类作为计算机视觉领域的核心任务之一,在智能安防、医疗影像诊断、工业质检、自动驾驶等场景中展现出巨大应用价值。传统机器学习方法依赖人工特征提取,泛化能力弱、鲁棒性差;而深度学习,尤其是卷积神经网络(CNN),凭借其强大的局部感知、权值共享与层次化特征学习能力,已成为图像分类任务的事实标准。本文围绕构建一个高精度、可部署、易扩展的端到端图像分类系统展开研究,基于PyTorch框架设计并实现了一套完整的CNN图像分类系统,涵盖数据预处理、模型构建(ResNet-...
AI掘金头条新闻系统 (Toutiao News)-获取浏览历史列表
2402_84971234的博客
06-17 271
本文描述了实现用户新闻浏览历史功能的三个核心模块:1) 定义历史记录数据模型HistoryNewsItemResponse和分页响应模型HistoryListResponse;2) 通过CRUD操作实现分页查询历史记录,包含联表查询新闻详情并按浏览时间倒序排列;3) 提供API路由接口,支持分页参数验证并返回格式化响应。整个实现采用Pydantic进行数据验证和序列化,支持字段别名映射,确保接口返回包含历史ID、浏览时间等信息的新闻列表,同时附带分页元数据(总数、是否有更多数据)。
Segearth-R2-03
xiaokui6的博客
06-15 501
下面进入。dataset.py。
004 Pandas 相比传统数据分析方法的优势
未来已来,AI时代,学AI编程,做AI量化,就来大鹏AI教育。
06-17 180
借助 DataFrame 和 Series 这样的数据结构,我们可以更方便地完成筛选、排序、统计和分组这些操作,不需要大量手写循环。面对缺失值、重复数据、数据合并、数据转换这些常见问题,Pandas 都提供了现成的方法,可以大大减少数据预处理的复杂度。只要数据和时间有关,比如销售额变化、访问量变化、股票价格变化,Pandas 都能很好地按时间进行整理、统计和分析。但是 Pandas 提供了很多专门的方法,可以帮助我们完成数据清洗、数据转换、数据合并和数据整理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

遇事不決洛必達

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值