小程序 signkey 算法求解,困扰我五天了,感觉自己好蠢啊,是不是不适合做逆向。

2022-04-30 22:43:37 +08:00
 caianran

最近抖音跟微信都很火的一款小程序游戏,地下城割草,玩了几天太肝了想试一下能不能通过通过 fiddler 修改游戏的金币钻石目前把加密算法搞定了,剩下的疑点感觉我目前的技术水平搞不定了,求大佬帮忙啊。

我发现修改自己的游戏数据和修改其他人的完全不同,试了 N 次没搞明白怎么弄,例如,通过 fiddler 抓 prefetch/unifiedfetch 这个包服务器返回的 signkey 跟用 post 测试返回来的数据完全不同。

猜想可能与 code 这类变化值有关,而 code 也只能用一次,用过之后再用相同值发送就失效了。

显然,post 返回的 signkey 是错误的,但是要怎么调试才能使服务器返回正确的结果呢?

是否需要提前拦截下 code 再发送出去吗?还是有什么方法获取到这个 signkey 呢,例如微信 hook? signkey 的获取至关重要,因为是解密算法的参数之一,修改自己的很简单,直接抓包自己的数据即可,怎么样才可以做到修改别人的数据咧?

2332 次点击
所在节点    程序员
5 条回复
610915518
2022-05-01 00:40:13 +08:00
一般都是 md5(data),可以自己多试一下。实在不行就逆向大法
learningman
2022-05-01 01:56:50 +08:00
小程序又不保护 js ,本地清空缓存重新加载下就拿到混淆过的源码了。
而且网游你琢磨抓包意义不大吧,加减可能都是在服务端跑的逻辑,还是你打算搞 sql 注入这种?👀
LifStge
2022-05-01 09:14:23 +08:00
其实我想说 当然不做保护的游戏一大堆 但是这游戏都做这样的防护了 难道还会做这种不严谨的设计吗(客户端计算数据 服务端改)? 小游戏有没啥计算量 又不会给服务器带来很大的消耗...
这种最多也就搞搞 模拟挂机吧.....
py2ex
2022-05-03 19:38:14 +08:00
去看了,发现是盗版 vampire survivors
音效都直接拿别人的素材。
SEO 一波
账号主题:广州考拉信息技术有限公司
账号原始 id: gh_3b88bcdd9779
AppID: wx8d06a624c1242a78
py2ex
2022-05-03 19:38:36 +08:00
账号主题→账号主体

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/850267

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX