其实刚开始让我破解的时候我是拒绝的……因为你不能让我破解我就破解,至少你应该让我试一下……我不想你说我破解的时候加了很多特效,说我破解有多厉害,视频能直接可以解析,还不需要验证码等等……出来之后同学一定会骂我,根本没有这么厉害的黑客,证明上面那个是假的……后来我知道他们破解是有计划有可能的,那么试了一下以后,觉得还不错……我自己现在还每天都用这个api,还介绍给你一起用,来来来,大家一起来破解。
好了,不闹了。本身是不想去破解的。无奈看到硕鼠的奋斗网络公司说不和个人开发者合作那么没办法,只能顺手破解掉了。好东西光自己用是不可以的。要大家一起分享。
破解过程很简单,一个抓包外加一个反编译。硕鼠的移动端还没有混淆(不知道是不是故意没有混淆方便我们调用)。总之就是很简单的过程吧。
下面是接口
http://m.flvcd.com/parse.php?url=你需要的url
但是这个接口的结果是加密过的。加密方式是循环异或加密。密钥长度256。密钥通过反编译获得,随手写了一个c程序转换密钥。
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
解析出的结果是xml
回复层级太深了,新开个楼
没听懂,什么漏洞?
的确是可以正常解析的,已经写出了app,自己正在用
(汗,修了好多NPE的BUG…前几次报错看了st,还没发现到底哪错了,丢人啊…)
不常用乌云(不太研究漏洞啥的),骗邀请码是啥?…能吃么 :P
好吧…我弄了一下还是没搞明白…我写了个Java的,却每次都乱码
我反编译apk也证实你说的是对的,的确是循环异或加密的
但是解密好像不对,随手试了个网址
http://m.flvcd.com/parse.php?url=http://v.youku.com/v_show/id_XOTMxMjg1OTg0.html
开头: 6f3d ed02 34eb 0568…
密钥: 3f79 d436 56bc 720f…
解析: 50e9 bb70 58a6 5cc7…
50是P,但是XML开头应该是'<'
而且e9已经超过ASCII的范围了吧
求指点
你自己算错了啊……0x3d xor 0x79 怎么能等于0xe9啊,明明是44啊
噗…我也不知道为什么…电脑算的,肯定是程序打错了
不应该吧…这么残的错误…我就手算检查了第一个字符,没想到后面会错,P开头,难道是PK的压缩包=..=
我去检查下,多谢点醒…
手残了,有一段i忘了除2了…以此证明单元测试有多重要=..=
另外不能直接解出xml,还要Base64解码…
我一直纠结在首字符不是'<'的问题上了
觉得一定是解码的步骤有问题,没仔细检查算法
如果知道是Base64编码过的可能就能想到检查别的地方了…唉…
再次感谢OP提点,另外弱弱的祷告一下硕鼠不要改API…
上次用了flvxz提供的服务,结果他们网站都打不开了,群里管理员都不上线了…硕鼠是我坚持用这么多年一直不出问题的
其实看见OP说是xml的,觉得简单才拿来用,本来打算直接解析html的
而且我有个想法,分析硕鼠windows版的下载器,应该能获得别的API吧
手边没windows系统,啥时候有空再说喽~
好像不能控制清晰度,加参数不管用,
每次都是标清受不鸟…不知道你有没有遇到这个问题.
然后大致扫了一眼反编译的东西,好像最新版换API了,
换到parse_m3u8了,能获取到m3u的播放列表文件,
不过还要自己再解析一次,麻烦,不知有没有别的API.
Windows的硕鼠还有专辑直接一键下载的API,移动端好像没
最近忙项目没时间呢。等闲下来我逆向一下好了。逆向之后我会及时告诉你的
我正在逆向他网站的JS代码…
有时候解析的地址是明文的,有时候就提示要启用JS…正在琢磨这个原理…
如果能直接从网页解析就方便多了,直接找就行了
TL;DR:直接分析网页即可,不用走m.flvcd.com解密,老API不能走高清,新API要分析XML还要分析m3u8(要合并),麻烦.
唉…果然像我这样的脑残不适合做程序猿…我一直有洁癖,喜欢代码卡的死死的,不加”没用的”错误检查(而且我根本没想到那个地方会出错…看来边界函数调多了也是病…),而且还会在调试通过后删掉很多转换,检查的语句,让代码更简洁…这次坑逼了…根本不是人家有反盗链(我靠要是真有技术也太牛逼了,我弄了半天搞不定,一会有包一会没包,Header的各种组合我TM都试了一遍!),根本不是人家能发现我用了客户端(最后我实在气不过,直接自己写了个Http请求器走包,我琢磨了半天都想不明白他怎么能发现我的,Header啥的全都一样)…结果和上次的错误一样…单元检查只检查了开头…有一个地方调encodeURIComponent调了两次…结果网站也”很好心”的没告诉我其实是参数不对,就直接返回个白板,带上了一句”请启用js”…还以为是多高明的反盗链…哪里都检查了,偏偏URL没检查,唉…致我浪费掉的生命…
这种漏洞都可以直接发到乌云上骗邀请码了吧(趴
This info is invaluable. When can I find out more?
I don’t know whether you are a robot .I do not know what’s your mean.
Do you really know what is this passage in Chinese talking about ?
If you can understand Chinese ,you should know this passage is about some hack skill.