|
一、起首我们打开Fiddler抓包工具 然后按照正常流程举行下单
在结帐之前我们举行抓包
可以看到在吊起付出的时间他们会将订单的一些信息通报给第三方的付出网站,这部门内容我们是修改不了的,由于它们这边有一个sign举行验签。 检察一些付出的平台发现他们的sign天生是由全部的参数举行a-z的排序然后加上商户的密钥举行md5。 现在我们拿到的信息是 金额、商品名称、关照地点、订单号、商户pid、返回地点、sign(MD5值)、加签方式。 我们现在就差一个密钥,这个密钥一样平常环境下我们是拿不到的。 在四月多的时间我注册过一次他们使用的平台,发现他们天生的密钥只有8位。 即便是只有8位数那么也须要62的8次方也就是218340105584896 才华猜出来 既然知道了参数信息-密钥的长度-md5值,那么md5的天生就是(参数+密钥)的MD5,通过穷举密钥,然后拿着天生的md5和终极的md5作比力。 假如雷同的话做一下测试,可以正常使用就是精确的密钥,不精确的话就是md5出现了碰撞的环境。
本帖潜伏的内容下面是靶站https://www.zhenye.life/这个是我写的一个对靶站举行关照的demo https://sw.qingyuge.top/ 订单时点击结账前获取的订单号
源码地点:https://wwi.lanzoup.com/ikmTR0xt9mti
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!193fz辅助论坛 |
|