【动弹有奖】——OSC登录并发送动弹分析(附python源码)
一、登录流程分析 混 OSC的都知道,想发动弹,首先你带先登录了 才行,那么我们先来看下OSC的登录。 这里我们直接通过chrome查看登录请求,就不分析 网 页form 代码了。打开登陆页,登录后如下: 可以看到登录地址为: https://www.oschina.net/action/user/hash_login, 表单提交了三个字段: email、 pwd、 save_login ,分别对应页面上的账号、密码和记住登录信息。 这个过程似乎很简单,只要用程序提交对应值就可以了。然而,细心的同学可能就会发现,pwd并不是我们填写的密码值,而是一个40位的字符串。那么这个字符串是怎么来的呢?我们来看一下网页源码,会发现表单 form_user绑定了 一个 form-pre-serialize 事件: 可以一眼看到 CryptoJS.SHA1(pwd),真像大白 ! form-pre-serialize实在表单序列化之前触发 ,在方法中将pwd进行SHA1加密(其实如果经验丰富的话,看到字符串基本上就能猜出来,常用的几种加密,SHA1是40位,而MD5是16或32位的,用工具试下就能出来)。 总结一下,我们登陆只需要将账号、SHA1加密的密码、 save_login(0或1,也可不用管)提交到 https://www.oschina.net/action/user/hash