QQ post系列之 QQ账号登录吾爱汇编论坛

今儿做一个用QQ号登录论坛的  首先开始之前要感谢一个人    @Desire 师傅  我在做这个的时候遇到了一个特别蹩脚的问题，什么问题就不说了，怪丢人的 对亏Desire   我才明白问题出在哪  这也是以后要注意的。。好了 下面开始吧虽然说是DZ论坛登录  但是他的登录核心还是跟QQ登录是一样的  在没有登录上QQ  关联到论坛之前  所有的步骤跟QQ登录还是一样的
我们先来抓包


这是QQ登录成功的包 和返回数据  是不是和上次我写QQ登录的时候一样呢  由于是get方式 我们复制他的地址看看都有哪些参数  

http://ptlogin2.qq.com/login?u=XXXX账号&verifycode=验证码&pt_vcode_v1=0&pt_verifysession_v1=获取验证码数据&p=XXX密码&pt_randsalt=0&u1=http%3A%2F%2Fopenapi.qzone.qq.com%2Foauth%2Flogin_jump&ptredirect=0&h=1&t=1&g=1&from_ui=1&ptlang=2052&action=2-17-1439613661140&js_ver=10131&js_type=1&login_sig=登录必要的参数&pt_uistyle=33&aid=716027609&pt_3rd_aid=310666040&
只有这么多了 剩下的都是些常量和固定的了  我们来获取这些参数
u=XXXX账号   不用说 QQ号
verifycode=验证码   下面会讲到如何获取
pt_verifysession_v1=获取验证码数据   下面也会讲到
p=XXX密码  QQ密码呗
login_sig=登录必要的参数  没他登不上去的
首先账号就不说了   这里verifycode=验证码 他提交的是这四个字符 可是我们登陆的时候并没有输入验证码  那么!IIJ   是咋回事呢  
其实 不管是QQ登录  还是百度啊 什么的  都有一个共同点 就是判断你的账号是否需要验证码的方法  都是在当你输入完你的账号  将焦点切换到密码输入框的时候  服务器都会返回一个封包  来判断你的账号 要不要输入验证码  我们就来找一下这个包

毫无疑问  这个包就是了 有人问了你是怎么知道返回的内容在这个包了面  怎么知道这个包是验证是不是需要验证码的包呢   很简单刚才说过了 当你将输入焦点切换到密码输入框的时候 你打开httpwatch  点击密码输入框 就会看到这个包了  既然参数实在这个包里面获取的 那么我们再来看看这个包的这地址
http://check.ptlogin2.qq.com/check?regmaster=&pt_tea=1&pt_vcode=1&uin=QQ号&appid=716027609&js_ver=10131&js_type=1&login_sig=这里也有个sig&u1=http%3A%2F%2Fopenapi.qzone.qq.com%2Foauth%2Flogin_jump&r=0.5307843450387483
初步分析 就这两个参数了  QQ号不用说  那么这个sig  刚才的登录包我们就看见他了  现在还是他   说明他是很重要的一个参数  那么具体我们该怎么获取到他呢   我们先用最常用 最有效的办法  httpwatch搜索他得值


ok  搜索到了 又在一个新的地址里 而且是在他的返回协议里面  我们再来看 这个包
http://xui.ptlogin2.qq.com/cgi-bin/xlogin?appid=716027609&style=23&login_text=%E6%8E%88%E6%9D%83%E5%B9%B6%E7%99%BB%E5%BD%95&hide_title_bar=1&hide_border=1&target=self&s_url=http%3A%2F%2Fopenapi.qzone.qq.com%2Foauth%2Flogin_jump&pt_3rd_aid=310666040&pt_feedback_link=http%3A%2F%2Fsupport.qq.com%2Fwrite.shtml%3Ffid%3D780%26SSTAG%3Dwww.xuepojie.com.appid310666040
appid=716027609  常量 不管他
login_text=%E6%8E%88%E6%9D%83%E5%B9%B6%E7%99%BB%E5%BD%95   解码后 授权并登录   不用管他
这段地址都是固定的参数 我们直接访问它 把他的返回协议输出一下看看有没有我们需要的sig
   
果然有  文本取中间取出来放进变量 sig找到了 我们就网页访问判断是否需要验证的包 也就是刚才的check包  看看返回的是不是跟httpwatch返回的一样

对比一下 是不是一样的  返回的那四个字母不一样 每次访问返回的都不一样 包括后面那一串数字
check包我们要的内容都返回了 证明没错   下面就该是登录包了 方便理解 再说一遍这个登录包把
http://ptlogin2.qq.com/login?u=QQ号 已解决&verifycode=验证码  check包返回的那几个字母 &pt_vcode_v1=0&pt_verifysession_v1=这个参数 注意你看是不是跟check包字母后面那一串一样的 没错就是他 &p=密码  加密后的密码  怎么加密的这里就不说了 看看我的QQpost登录教程就明白了&pt_randsalt=0&u1=http%3A%2F%2Fopenapi.qzone.qq.com%2Foauth%2Flogin_jump&ptredirect=0&h=1&t=1&g=1&from_ui=1&ptlang=2052&action=2-17-1439613661140&js_ver=10131&js_type=1&login_sig=已解决  第一个包&pt_uistyle=33&aid=716027609&pt_3rd_aid=310666040&
ok   参数获取完整  我们就测试是否会登录成功 看效果图

OMG   登录成功了 但是这只是把QQ登陆成功了 怎么把它关联到登录的论坛呢  我们继续看封包

在这个包里面我们看到了论坛的返回信息  这个就是关联到论坛的一个包  复制出来分析
https://www.52hb.com/connect.php?receive=yes&mod=login&op=callback&referer=index.php&code=41BE465E1A6045834F2039BA5033A85A&state=2e47be892292aba5c1d5b718197a3717
这里我们有两个参数是动态的 需要获取
code=41BE465E1A6045834F2039BA5033A85A
state=2e47be892292aba5c1d5b718197a3717
我们继续搜索code的值  效果图如下


我们在这个包的返回协议里找到了 但是这个包有几点需要注意  1.  他是post方式提交的  2.看见地址前那个返回的小箭头图标了吗 他代表是重定向的意思 如果你要获取他本身的地址返回的内容  就必须禁止他的重定向  否则你获取到的就是他重定向之后那个地址的返回内容了  将光标移动到小箭头上看看他定向到哪个地址上了
https://www.52hb.com/connect.php?mod=login&op=callback&referer=index.php&code=41BE465E1A6045834F2039BA5033A85A&state=2e47be892292aba5c1d5b718197a3717   他定向到这个地址了  自己看看是不是就是他下面的地址呢  既然没有大范围定向 我们就顺便看看这个包

注意看他的返回内容  分别有个code  和stste的 值   这时你会发现这两个参数值不就是我们关联到论坛的那个包里面的值吗？这样的意思是不是我们就可以不用禁止他的重定向了呢 答案是正确的 我们不需要禁止他的重定向了   他是post方式的我们就看下他的提交数据把
response_type=code&client_id=310666040&redirect_uri=http%3A%2F%2Fwww.xuepojie.com%2Fconnect.php%3Fmod%3Dlogin%26op%3Dcallback%26referer%3Dindex.php&scope=get_user_info%2Cadd_share%2Cadd_t%2Cadd_pic_t%2Cget_repost_list&state=2e47be892292aba5c1d5b718197a3717&src=1&update_auth=1&openapi=80901010_2010&g_tk=1054175477&auth_time=1439613664562&ui=8CCAA8BC-F6AF-4FE1-9E5A-6A852AB0DF7E  这是他的提交数据  分析一下
state=2e47be892292aba5c1d5b718197a3717
g_tk=1054175477  这个G_tk很重要
ui=8CCAA8BC-F6AF-4FE1-9E5A-6A852AB0DF7E
首先   搜索state


又是在返回协议里找到的 而且 注意 这个的地址也是重定向的  这里我们就必须禁止他的重定向了 不然你获取不到你需要的数据的



网页访问这个地址   禁止他的重定向  输出返回协议  文本取出来  还有个G_tk  这个就不多讲了  QQ登录里面讲了  这里用我模块里的一个命令来计算他  至于ui的值 我怀疑他是js脚本加密来的  貌似QQ密码一样的道理 但是我把它设为固定尝试了一下同样成功了  就不费那劲解密了   参数找全post提交吧

他反回了code和setea的值 痛httpwatch里一样  那么到这里基本就算成功了  我们把关联到论坛的地址带上这两个参数 基本就成功了

在图片里 看到了 返回了我的论坛账户名  用户组等一些信息  同时 QQ安全提示我登录了吾爱汇编论坛
ok 到此结束了  小菜要去歇会了  最后再次感谢@Desire   师傅

学习下易语言，感谢大大

还没接触过这个，来看看，看的云里雾里，慢慢学了，楼主支持

可以做视频吗？  图文懒得看

支持小七大大

小七烤地瓜? 发表于 2015-8-15 15:53
支持小七大大

九幽大大好

楼主  好强大  支持一下

不错不错哦

我艹阿斯顿

有机会可以交流一下