硕鼠移动端解析api

其实刚开始让我破解的时候我是拒绝的……因为你不能让我破解我就破解,至少你应该让我试一下……我不想你说我破解的时候加了很多特效,说我破解有多厉害,视频能直接可以解析,还不需要验证码等等……出来之后同学一定会骂我,根本没有这么厉害的黑客,证明上面那个是假的……后来我知道他们破解是有计划有可能的,那么试了一下以后,觉得还不错……我自己现在还每天都用这个api,还介绍给你一起用,来来来,大家一起来破解。


好了,不闹了。本身是不想去破解的。无奈看到硕鼠的奋斗网络公司说不和个人开发者合作那么没办法,只能顺手破解掉了。好东西光自己用是不可以的。要大家一起分享。

破解过程很简单,一个抓包外加一个反编译。硕鼠的移动端还没有混淆(不知道是不是故意没有混淆方便我们调用)。总之就是很简单的过程吧。

下面是接口
http://m.flvcd.com/parse.php?url=你需要的url

但是这个接口的结果是加密过的。加密方式是循环异或加密。密钥长度256。密钥通过反编译获得,随手写了一个c程序转换密钥。

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

解析出的结果是xml

 

 

12 thoughts on “硕鼠移动端解析api

  1. 回复层级太深了,新开个楼
    没听懂,什么漏洞?
    的确是可以正常解析的,已经写出了app,自己正在用
    (汗,修了好多NPE的BUG…前几次报错看了st,还没发现到底哪错了,丢人啊…)
    不常用乌云(不太研究漏洞啥的),骗邀请码是啥?…能吃么 :P

  2. 好吧…我弄了一下还是没搞明白…我写了个Java的,却每次都乱码
    我反编译apk也证实你说的是对的,的确是循环异或加密的
    但是解密好像不对,随手试了个网址
    http://m.flvcd.com/parse.php?url=http://v.youku.com/v_show/id_XOTMxMjg1OTg0.html
    开头: 6f3d ed02 34eb 0568…
    密钥: 3f79 d436 56bc 720f…
    解析: 50e9 bb70 58a6 5cc7…
    50是P,但是XML开头应该是'<'
    而且e9已经超过ASCII的范围了吧
    求指点

    • 你自己算错了啊……0x3d xor 0x79 怎么能等于0xe9啊,明明是44啊

      • 噗…我也不知道为什么…电脑算的,肯定是程序打错了
        不应该吧…这么残的错误…我就手算检查了第一个字符,没想到后面会错,P开头,难道是PK的压缩包=..=
        我去检查下,多谢点醒…

      • 手残了,有一段i忘了除2了…以此证明单元测试有多重要=..=
        另外不能直接解出xml,还要Base64解码…
        我一直纠结在首字符不是'<'的问题上了
        觉得一定是解码的步骤有问题,没仔细检查算法
        如果知道是Base64编码过的可能就能想到检查别的地方了…唉…
        再次感谢OP提点,另外弱弱的祷告一下硕鼠不要改API…
        上次用了flvxz提供的服务,结果他们网站都打不开了,群里管理员都不上线了…硕鼠是我坚持用这么多年一直不出问题的
        其实看见OP说是xml的,觉得简单才拿来用,本来打算直接解析html的
        而且我有个想法,分析硕鼠windows版的下载器,应该能获得别的API吧
        手边没windows系统,啥时候有空再说喽~

      • 好像不能控制清晰度,加参数不管用,
        每次都是标清受不鸟…不知道你有没有遇到这个问题.
        然后大致扫了一眼反编译的东西,好像最新版换API了,
        换到parse_m3u8了,能获取到m3u的播放列表文件,
        不过还要自己再解析一次,麻烦,不知有没有别的API.
        Windows的硕鼠还有专辑直接一键下载的API,移动端好像没

      • 最近忙项目没时间呢。等闲下来我逆向一下好了。逆向之后我会及时告诉你的

      • 我正在逆向他网站的JS代码…
        有时候解析的地址是明文的,有时候就提示要启用JS…正在琢磨这个原理…
        如果能直接从网页解析就方便多了,直接找就行了

      • TL;DR:直接分析网页即可,不用走m.flvcd.com解密,老API不能走高清,新API要分析XML还要分析m3u8(要合并),麻烦.

        唉…果然像我这样的脑残不适合做程序猿…我一直有洁癖,喜欢代码卡的死死的,不加”没用的”错误检查(而且我根本没想到那个地方会出错…看来边界函数调多了也是病…),而且还会在调试通过后删掉很多转换,检查的语句,让代码更简洁…这次坑逼了…根本不是人家有反盗链(我靠要是真有技术也太牛逼了,我弄了半天搞不定,一会有包一会没包,Header的各种组合我TM都试了一遍!),根本不是人家能发现我用了客户端(最后我实在气不过,直接自己写了个Http请求器走包,我琢磨了半天都想不明白他怎么能发现我的,Header啥的全都一样)…结果和上次的错误一样…单元检查只检查了开头…有一个地方调encodeURIComponent调了两次…结果网站也”很好心”的没告诉我其实是参数不对,就直接返回个白板,带上了一句”请启用js”…还以为是多高明的反盗链…哪里都检查了,偏偏URL没检查,唉…致我浪费掉的生命…

      • 这种漏洞都可以直接发到乌云上骗邀请码了吧(趴

  3. uggs classic mini short

    This info is invaluable. When can I find out more?

    • I don’t know whether you are a robot .I do not know what’s your mean.
      Do you really know what is this passage in Chinese talking about ?
      If you can understand Chinese ,you should know this passage is about some hack skill.

发表评论

电子邮件地址不会被公开。 必填项已用*标注