familycloudaccelerate
familycloudaccelerate copied to clipboard
aiyijing
家庭云每天sessionKey都会变
之前反映问题的时候我没弄清楚,好像是我的sessionKey和secret每天都会变化。当天的sessionKey可以跑出状态码400,正常加速的效果;前一天的sessionKey跑的时候打印状态码:200,无提速效果。。。。 然后我看了一下,login那个action它需要的参数好像基本上都是不变的,只有AppSignature会变,也许这个也是和时间相关,找到规则之后也许可以通过调它拿sessionkey和secret。。。
sessionKey和secret每次请求都会变。只不过现在会过期罢了,之前是半年以上的有效期,现在是几个小时。 这个算法你要是都能看出来那就太厉害了。
sessionKey和secret每次请求都会变。只不过现在会过期罢了,之前是半年以上的有效期,现在是几个小时。 这个算法你要是都能看出来那就太厉害了。
之前的老哥好像就是反编译之后找的加密规则?这要是几个小时去手动找一次sessionKey也太麻烦了。。。
是,但新版天翼云开始加固了
public static String getAppSignature(String paramString1, String paramString2, String paramString3, String paramString4, String paramString5) { StringBuilder stringBuilder2 = new StringBuilder(); StringBuilder stringBuilder3 = new StringBuilder("AppKey="); stringBuilder3.append(paramString1); stringBuilder2.append(stringBuilder3.toString()); StringBuilder stringBuilder1 = new StringBuilder("&LoginName="); stringBuilder1.append(paramString3); stringBuilder2.append(stringBuilder1.toString()); stringBuilder1 = new StringBuilder("&Password="); stringBuilder1.append(paramString4); stringBuilder2.append(stringBuilder1.toString()); stringBuilder1 = new StringBuilder("&Date="); stringBuilder1.append(paramString5); stringBuilder2.append(stringBuilder1.toString()); String str = stringBuilder2.toString(); DLog.d("AppSignature:", str); return CodecUtil.hmacsha1(str, paramString2); }
代码找到了,跟那个老哥找的session的secret是在一起的,服了。。。
我刚试了下,现在的sessionKey和secret算法还是可以用的。这个算法应该不会变,变了就会导致APP无法向下兼容。只不过现在sessionKey和secret过期时间非常短。
我刚试了下,现在的sessionKey和secret算法还是可以用的。这个算法应该不会变,变了就会导致APP无法向下兼容。只不过现在sessionKey和secret过期时间非常短。
但是那个申请sessionSecret的cURL暂时没做过期的有效性验证,可以小改下代码,secret失效了就用那个链接给的sessionSecret用0.0
这个算法是没问题的。一个一个抓包分析找secret只能起到辅助作用,关键还是要看逆向的源代码。逆向的源代码又被混淆过。难度又点高,得慢慢来。
它的加密方法都是给好的,偷到appSecret就可以随便拿session那两个参数。但是目前appSecret怎么拿没有思路(它好像令牌输错的时候会给一个openAppID和secret不知道是什么) 然后,现在的情况是appSignature好像不会过期(可能会过期,但是时效挺长),可以用它拿那两个参数继续跑程序。(因为现在secret过期很快,只能用这个权宜之计。。。)