__dyn 是一个动态数据,包含一些关于页面状态的信息。
在请求接口的参数中,会看到一个叫做 __dyn 的参数。
先全局搜索一下,看看会有什么结果。
这里找到一个 StaticSiteData 模块,建立了一个对象,__dyn 对应的键名是 jsmod_key。再根据找到的结果再搜索看看有没有其它的线索。
这里找到了 jsmod_key 的赋值方式 c("ServerJSDefine").getLoadedModuleHash()
把开头的 c 换成 require,尝试在 Console 调用一下 ServerJSDefine 模块,实验一下结果是否和 __dyn 参数一致。
看起来找对地方了,接下来再看看 · 这个函数是怎么实现的。
getLoadedModuleHash 这里面又调用了 toCompressedString 函数,那么再接着往下找,看看这个函数是怎么实现的。
这里就找到了 toCompressedString 的实现方法。
不过看起来都是从 $1 这个变量里面的内容进行计算,但是这里并没有提供什么内容,是一个空数组。
function a () { this.$1 = [], this.$2 = null } 不过我在网页的模块里面找到了模块的标识或者索引,例如截图里的例子
IntlCurrentLocale: 5954 CookieDomain: 6421 JSSelfProfilerTrackedInteractions: 6918 CurrentAdAccountInitialData: 6828 只需要筛选出每个模块的标识或者索引就可以了,有可能会在 body 里面,也有可能会在 head 里面,所以合并成一个数组
const bodyData = document.body.innerHTML.match(/\},([0-9])+\]/gi) const headData = document.head.innerHTML.match(/\},([0-9])+\]/gi) const combinedData = bodyData.concat(headData) const arr = [] for (const item in combinedData) { if (combinedData[item] != null) { const extractedNumber = combinedData[item].replace(/\},|]/g, '') if (parseInt(extractedNumber) >= 7) { arr.push(parseInt(extractedNumber)) } } } 然后再遍历 数组 中的每个数字,将 bitMap 中对应索引的位置设置为 1,表示该数字存在于 数组中。这样,bitMap 就成为了一个简单的表示数字存在性的位图。后续的压缩过程利用了这个 bitMap 来计算连续相同值的数量。
const bitMap = [] for (const item in arr) { bitMap[arr[item]] = 1 } 将刚才写入的 `bitMap` 数组压缩数据,并且转换成文本值的二进制数据。 ```Javascript const compressedBits = [] let count = 1 let currentBit = bitMap[0] || 0 const currentBitString = currentBit.toString(2) for (let i = 1; i < bitMap.length; i++) { const nextBit = bitMap[i] || 0 if (nextBit === currentBit) { count++ } else { compressedBits.push(convertToBinaryString(count)) currentBit = nextBit count = 1 } } 最后再将二进制转换成 base64 结果就出来了。
function convertToBase64String (binaryString) { const list = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ-_' const sixBitChunks = (binaryString + '00000').match(/[01]{6}/g) let base64String = '' for (let i = 0; i < sixBitChunks.length; i++) { base64String += list[parseInt(sixBitChunks[i], 2)] } return base64String } 和 getLoadedModuleHash 对比后结果是一致的,那么 __dyn 的参数就已经还原出来了。
在开头收集模块的标识或者索引的时候,这个数据也可以随机生成伪造参数。经过我的测试发现这个数据的长度大概在 115 到 265 之间,而且是大于 7 的,那么就可以根据下面的代码随机生成一段数据
const arr = [] const count = Math.floor(Math.random() * (265 - 115 + 1)) + 115 const allNumbers = Array.from({ length: 7331 - 7 + 1 }, (_, i) => i + 7) for (let i = 0; i < count; i++) { const randomIndex = Math.floor(Math.random() * allNumbers.length) const randomNumber = allNumbers[randomIndex] arr.push(randomNumber) allNumbers.splice(randomIndex, 1) } 
