将4.2.0到4.7.4打成了一个docker镜像,包括一个小程序版本的4.7.1,tg已经跑了一段时间了,没啥问题了。
算法均为纯本地版本的,不请求algo接口获取token
没源码,手机不太方便,图片可以后续再贴
找始皇重新touch了一下日期,补一下新版本vmp的逆向纯算的思路。
【H5ST4.7 解 VMP 示例-哔哩哔哩】 H5ST4.7 解 VMP 示例_哔哩哔哩_bilibili
大佬带一手偷撸 
4.7.3是不是更新好几个版本了?
京东H5ST是什么? 
强啊!
强啊
求大佬带带偷撸
目前最新的就是4.7.3吧
京东的一个接口签名算法
4.7.4了
强啊,目前看到的都是algo获取的,是不是内部人员泄露的接口
昨天更了,不保真
algo接口是获取token的,这个一直有两部分,纯本地的和接口获取。
它们之间的差别是接口是通过算法fv和环境信息直接下发token,可以远程更新,但是纯本地是js算出来的,无法远程更新,这里在4.4的时候开始产生具体区别,远程更新到tk03版本而js依然保持在tk02版本。
至于使用他们两都可以,再进入页面的时候js会查询本地有没有缓存token,没有的话为无影响会先走本地内置的token算法生成一个进行使用同时通过接口获取远程下发的token。后续因为已经拿过远程token进行缓存,会优先使用远程下发token进行生成h5st
可以看出来,algo是官方算法流程的。当然镜像都是纯本地的版本,把远程下发token的步骤剥离了
又可以撸豆了?
Mark 一下
唯独缺少了我想要的4.7版本,好可惜啊
你可能没有点进去看一眼
大佬,有个版本就是4.7,不是4.7.1之类的,这样的:h5st=20240810083209709%3B6tgnt6ngyzmi5nt2%3B35fa0%3Btk03wc96a1cda18nh09uzwKQlEvRvmy_BKrtRJJYnUMhWPfWWTNdQ036FBcM6nSBqnOQX0zNXcTjvLQpSZl783Itttih%3Bcf0412c3e627b345cc59d261752c079e%3B4.7%3B1723249929709%3BV2Ep9b43mtyf1YVumKTHUcQLGLn5MobJh9CsXpMosn_aE_yRO7kgf43in7STZVNP8mdsvov-aWgqMSDzQ6vTwVVYBubgDXPiJT0Wd9zZsPfBwd4OyD3OP30Ve0bJ0Tz2ExeQl3HZpftF0dFPgm2HH2F_gmjdREcJUD6sLW5f-_kX8GVaQHgrz1HOaV06ljh47tX34gRpNxn0f8zpwLmQcO2GyApwE8-sqBMl3F04_oRXw-6adT_lUsz4xhvrbQpr_KpEThhB2DtsY3qgO8nwhLmZsBnlDMc7xCGX-R6d1mlHCnVgQ1H1bmxEtzNCfG7kX80On4jHKL_ZLd9hlR9b_XjdnsDGsQBhrPnR3gR0wj-lc0ijAeCOOq9JXoJJ7NHVeUk0wJ3Rj3KXDmt-dBqf0Qgn9rWO8RdkkD5dM98m3kV1X8tO68R1fAiknKGGdvPnFGgbgsAfa2fV3NG9kLVKbTrkcgaaP5sOLg17qAArrj5Gt46lZt-I04Cz-3MzWk2-CdGmYOeJ1j5Ok_tadIckFg4CY53VYs6qiz_Kv1PhWs5RggE7nDk8PeheJO0dl8zjLad9Prk3hGJ0DQIeqffFGvzEemLTD52YgeDqWQHLXbk3%3Be33d9e6edf862ce8319fcc74c44fe09c&x-api-eid-token=jdd03QFTUYSCLFON74DJFS3ZAQMKMDXDZQ7VDBL6XQYY57XRU6DJUIZQYRBXUJEVFX47GSQNN7BVXNEDH6CIPKR5FCWIQJMAAAAMRHA3PMTAAAAAAC2K7XV4XB652IMX
签名字符串是拼接的大版本,业务实装的其实是小版本,具体可以清空缓存观察xhr请求,有一个request接口的payload内有
清空localstorage,刷新页面,xhr搜索request,能看到一个获取token的接口