JS逆向 | 某购物网站加密参数破解

本文属于爬虫进阶教程，对小白不友好。

网址：

找到数据接口

找到加密参数

找到加密sign的网址

点击触发器

或者在console中搜h5api

断点调试

判断d.token和g是不是固定值，可以刷新后重新断点调试，看是否变化；判断出d.token和g是固定值

j = h(d.token + "&" + i + "&" + g + "&" + c.data)

Python生成js需要的参数signkey

import time
token = '46d65c2c2114827394aac29a82d22dcf'
g = '12574478'
i = int(time.time() * 1000)
data = r'{"cid":"TpFacRecommendService:TpFacRecommendService","methodName":"execute","params":"{"query":"mainCate=&leafCate=","sort":"mix","pageNo":"1","pageSize":"20","from":"PC","trafficSource":"pc_index_recommend"}"}'
signkey = token + "&" + str(i) + "&" + g + "&" + data

Python调用js文件解密

加密的h函数，将其保存为"D:\4 公众号\Python爬虫\js逆向\阿里巴巴sign加密.js"

import execjs

with open(r"D:\4 公众号\Python爬虫\js逆向\阿里巴巴sign加密.js",'r') as file:  # 打开js文件
    cxt = execjs.compile(file.read())  # 导入js文件
sign = cxt.call('h', signkey)  # 调用js文件
print(sign)

校验

将网页的参数带入，看是否生成一样的j

image-20230705170232822

请求参数

其中，i为时间戳，sign为加密参数。

params = {
    'jsv': '2.6.1',
    'appKey': '12574478',
    't': i,
    'sign': sign,
    'v': '1.0',
    'type': 'jsonp',
    'isSec': '0',
    'timeout': '20000',
    'api': 'mtop.taobao.widgetService.getJsonComponent',
    'dataType': 'jsonp',
    'jsonpIncPrefix': 'mboxfc',
    'callback': 'mtopjsonpmboxfc3',
    'data': '{"cid":"TpFacRecommendService:TpFacRecommendService","methodName":"execute","params":"{\"query\":\"mainCate=&leafCate=\",\"sort\":\"mix\",\"pageNo\":\"1\",\"pageSize\":\"20\",\"from\":\"PC\",\"trafficSource\":\"pc_index_recommend\"}"}',
}

请求数据

import requests

headers = { 
    'cookie': 'cookie2=1e543e14a61d543d9971b18cd2a09485; t=3a5d6c90f9f24a00d0d25199fe22270a; _tb_token_=f33645fe6630b; __cn_logon__=false; _m_h5_tk=46d65c2c2114827394aac29a82d22dcf_1688549844020; _m_h5_tk_enc=5f4783338b74900aa592f6be4c333122; xlly_s=1; isg=BIOD9p_3409u66-7uCTfv7iMEkct-Bc6L1B4x7VgyOJZdKOWPcgLimKl7gQ6VG8y; l=fBgHziAnN-JyilvYBOfwPurza77tbIRAguPzaNbMi9fP_Q1B5-XfW1s5_d86CnGVFsi9R3lDK4dwBeYBq_C-nxvtjsx8SkHmnmOk-Wf..; tfstk=d3rkDPbEQzuShSbHwbn52ffFfx7YFQiINWKK9DhFujlX2TNdFrmqIYRE8_i8xSVgtuKK22IUiWPHvzE-22SEi7-KyWE3lH2_duBSvTi7FDiF61Itx8wSA7AC6Gh_84iiY1COXEpqP_nUvroyVTA5PeiKpIDKzs40iq5kK40o_-b6YH4JX4caGjxF_oXZrE8ZyYxI39E2Regrhxc9Aq9Z2',
    'referer': 'https://sale.1688.com/',  
    'user-agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/114.0.0.0 Safari/537.36',
}

params = {
    'jsv': '2.6.1',
    'appKey': '12574478',
    't': i,
    'sign': sign,
    'v': '1.0',
    'type': 'jsonp',
    'isSec': '0',
    'timeout': '20000',
    'api': 'mtop.taobao.widgetService.getJsonComponent',
    'dataType': 'jsonp',
    'jsonpIncPrefix': 'mboxfc',
    'callback': 'mtopjsonpmboxfc3',
    'data': '{"cid":"TpFacRecommendService:TpFacRecommendService","methodName":"execute","params":"{\"query\":\"mainCate=&leafCate=\",\"sort\":\"mix\",\"pageNo\":\"1\",\"pageSize\":\"20\",\"from\":\"PC\",\"trafficSource\":\"pc_index_recommend\"}"}',
}

response = requests.get(
    'https://h5api.m.1688.com/h5/mtop.taobao.widgetservice.getjsoncomponent/1.0/',
    params=params,
    headers=headers,
)
print(response.text)

注意时间戳和sign都需要，否则是非法请求。

# JS逆向 | 1688网站加密参数破解（1688平台商品API接口）