前言
最近看到有很多小伙伴在搞某Q音乐,我也特意来水一篇,因为pc端的限制排行榜只能出现20首歌曲,但是我发现其实简单的修改一个参数就能显示跟app端一样的百首歌曲
如有侵犯贵司权益,请通知删除
一、sign解密
这个参数其实破解网上都已经都烂大街了,简单地说一下吧。
我们直接暴力一点,也不慢慢追了,直接从连接的最后一次js文件调用进去,然后直接搜sign这个字段,如下图所示
我们可以直观的看到sign是由getSecuritySign(r.data.data)来的,那到底是不是,我们console出来呗,结果就直接出来了。
那我们直接进入getSecuritySign()这个方法里面看下
点击进去以后,如下图
push了,那我们就找下n(),如下图
这样看的话,__sign_hash_20200305就是sign的加密算法了,还有个小妙招就是所有js代码copy下来放到node中运行,其实也不报错,自己打断点debugger一下js代码就能看见跳转。
二、修改js,修改传参,获取全量数据
代码如下:
为了看最后结果,我们随便定义一个xx,参数就是r.data.data,其实就是post传的data参数的值,如下代码打印一下
console.log(xx('{"detail":{"module":"musicToplist.ToplistInfoServer","method":"GetDetail","param":{"topId":27,"offset":0,"num":20,"period":"2021-03-26"}},"comm":{"ct":24,"cv":0}}'))
最终加密结果如下
我没有用py直接调js代码,而是写了个接口
var express = require('express');
var bodyParser = require('body-parser');
var app = express();
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: true }));
app.post('/sign', function (req, res) {var data = req.body['data'];var sign = xx(data);res.send({'sign':sign});
});var server = app.listen(3000, function () {console.log('Listening on port %d', server.address().port);});
python代码如下:
注意点:
QQ音乐的pc端只显示20条数据,想查看更多数据就必须下载客户端,这边我们只需要看python代码中的datas这个参数中的num,改成100后就跟手机端显示的数据量是一致的,offset这个参数其实也可以修改,有兴趣的小伙伴可以试试。
总结
难度不难,主要是发现了修改了接口参数给的小惊喜,水一篇冒个泡。
