1. 这不是“爬个登录”那么简单五八同城登录接口逆向的真实战场你点开浏览器开发者工具F12Network 面板里筛选 XHR找到那个/login请求点开看 Headers 和 Payload —— 然后傻眼了password字段是一串 256 位的十六进制字符串长度固定不像 Base64也不像常见哈希timestamp是毫秒级时间戳但带了随机偏移sign字段更是神出鬼没每次刷新页面都变。这时候你才意识到所谓“某五八登录接口逆向”根本不是教你怎么发个 POST 请求而是一场对前端加密逻辑、密钥分发机制、时间同步策略和反调试防线的系统性拆解。这个标题里的“RSA算法 难度中等”其实是五八同城在 2022 年底到 2023 年中采用的一套典型“轻量级前端加盐服务端验签”组合方案它不依赖 WebAssembly 或复杂混淆但把 RSA 公钥硬编码在 JS 里、用crypto.subtleAPI 做非对称加密、再配合一个动态生成的 salt 和 timestamp 拼接签名。它不拦小白但足以筛掉 80% 只会requests.post()的人。我去年帮一个本地生活服务商做数据归集时就卡在这个接口上整整三天——不是因为看不懂 RSA而是因为没意识到他们把公钥藏在了一个被 webpack 打包进vendor.js的异步 chunk 里且每次构建都会重命名导致我按文件名硬抓取的脚本隔天就失效。这篇文章面向的是已经能写基础爬虫、熟悉 Fiddler/Charles 抓包、知道js2py和execjs区别但还没系统练过“JS 加密逆向”这一关的中级实践者。你不需要是密码学专家但得愿意花十分钟读完一段 30 行的 JS 代码你不需要会写 AST 解析器但得知道怎么用 Chrome 的 “Blackbox Script” 功能跳过混淆干扰你更不需要复刻整个登录流程只需要搞懂为什么密码必须用 RSA 加密公钥从哪来salt 怎么生成sign 怎么算这四个问题的答案就是你写出稳定、可维护、不惧小版本更新的登录脚本的全部支点。后面所有内容都围绕这四个支点展开不讲理论推导只讲我在真实项目里一行行调试、一个个断点验证出来的路径。2. 为什么非得用 RSA—— 破解“前端加密”设计背后的业务逻辑很多初学者看到“RSA 加密密码”第一反应是“啊要破解私钥”然后一头扎进数论或暴力穷举。这是方向性错误。五八同城以及绝大多数主流生活服务平台在这里用 RSA根本目的不是为了防止密码被截获而是为了防止密码被批量爆破。这个区别决定了你整个逆向思路的起点。我们来还原一下服务端的校验逻辑基于实际抓包 服务端错误码反推客户端提交username,encrypted_password,salt,timestamp,sign服务端先校验timestamp是否在 ±300 秒窗口内防重放用内置的 RSA私钥解密encrypted_password得到明文密码pwd_plain用pwd_plain salt timestamp拼接字符串再用 HMAC-SHA256密钥为服务端硬编码计算server_sign对比客户端传来的sign和server_sign一致则继续校验用户名密码对看到这里你就明白了RSA 在这里只是一道“计算门槛”。它的核心价值在于——让攻击者无法在不执行 JS 的情况下仅靠 Python 模拟请求就生成合法的encrypted_password。因为 RSA 加密需要公钥而公钥是动态加载、可能混淆、甚至带环境检测的同时salt和timestamp的组合让每一次请求的输入都不同彻底封死“一次加密、无限重放”的路。提示你可以立刻验证这一点——用 Burp Suite 截获一个成功登录的请求把encrypted_password字段原样复制改个timestamp比如加 1 秒再重放。99% 概率返回{code:401,msg:sign invalid}。这说明服务端校验是强耦合的sign不是独立生成的而是和encrypted_password、salt、timestamp三者绑定的。那么问题来了既然服务端有私钥为什么不让客户端直接传明文密码由服务端自己加密比对答案是性能与安全边界的权衡。五八的登录接口 QPS 峰值超 2 万如果每笔请求都让服务端做一次 RSA 解密耗 CPU服务器成本会指数级上升而把加密压力分摊到海量用户浏览器上既节省了后端资源又通过“必须执行 JS”这一条件天然过滤掉了大量低智攻击脚本比如用urllib直接构造请求的 bot。所以当你开始逆向时第一个要问自己的问题不是“怎么解密”而是“服务端为什么要这样设计这个设计留下了哪些可利用的缝隙”缝隙就藏在三个地方公钥加载时机是页面初始化时就载入还是点击登录按钮后才动态 fetchsalt 生成逻辑是纯前端 Math.random()还是调用了window.crypto.getRandomValues()抑或和服务端某个接口联动sign 计算方式是 HMAC 还是简单 MD5密钥是写死的字符串还是从 localStorage 读取的我实测发现五八当前版本的 salt 是纯前端生成的Array.from(crypto.getRandomValues(new Uint8Array(8)), x x.toString(16).padStart(2, 0)).join()。这意味着你完全可以在 Python 里复现无需任何 JS 上下文。而 sign 的计算密钥就藏在登录页 HTML 的script标签里被 base64 编码了一次再用一个固定的字符串做了 XOR密钥是58tongcheng。这些细节都不是靠猜而是靠在 Chrome 的 Sources 面板里对fetch、XMLHttpRequest、crypto.subtle.encrypt这几个关键 API 下“XHR Breakpoint”和“Event Listener Breakpoint”一步步跟出来的。3. 公钥在哪—— 从 webpack chunk 到 runtime 密钥提取的完整链路找到公钥是整个逆向过程中最耗时也最关键的一步。五八的前端工程使用 webpack 5 splitChunks登录相关逻辑被打包进一个名为login.[hash].js的异步 chunk 中。这个 hash 每次构建都变所以你不能靠固定 URL 下载同时chunk 内部的公钥字符串被包裹在多层闭包和立即执行函数中并用atob()和字符串拼接做了简单混淆。下面是我实际操作中梳理出的、可复现的定位路径。3.1 第一阶段定位加载入口打开登录页清空 Network 面板点击“登录”按钮。在 Network 面板中你会看到一个类似https://cdngw.58.com/static/js/login.7a3f9b2e.js的请求hash 值每次不同。右键 → “Open in Sources tab”Chrome 会自动跳转到该 JS 文件。此时不要急着搜索-----BEGIN PUBLIC KEY-----因为这段文本大概率被混淆或分割存储。更高效的方法是在 Console 面板中执行performance.getEntriesByType(resource).filter(r r.name.includes(login))它会列出所有加载过的 login 相关资源包括那些被动态 import() 加载的。你会发现真正的公钥加载逻辑其实藏在一个更小的、名为rsa-key.[hash].js的文件里——它甚至不在 HTML 的 script 标签中而是由login.[hash].js里的import(./rsa-key. hash .js)动态引入的。3.2 第二阶段解混淆与提取打开rsa-key.[hash].js内容类似这样已简化const keyData [ LS0tLS1CRUdJTiBQVUJMSUMgS0VZLS0tLS0K, MGFjYzE5NzIyMmYxZDQ1YzQ1ZTc1ZjQ1ZjQ1ZjQ1, ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1, ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1, LS0tLS1FTkQgUFVCTElDIEtFWS0tLS0tCg ].map(atob).join();这是一个典型的“数组分片 base64 解码”混淆。你不需要写正则去匹配直接在 Console 里粘贴这段代码回车它就会输出完整的 PEM 格式公钥。但注意这个keyData变量名是混淆过的可能是a,_0x1a2b,n等。所以你要用 Chrome 的 “Search across all files” 功能CtrlShiftF搜索关键词BEGIN PUBLIC KEY它会高亮所有匹配项包括被注释掉的、被字符串拼接隐藏的。3.3 第三阶段验证与固化拿到 PEM 公钥后别急着塞进 Python 代码。先做两件事验证其有效性用 OpenSSL 验证格式echo -----BEGIN PUBLIC KEY-----\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA... | openssl rsa -pubin -text -noout如果输出类似RSA Public-Key: (2048 bit)说明格式正确。用 Python 尝试加密一个测试密码from cryptography.hazmat.primitives.asymmetric import padding from cryptography.hazmat.primitives import hashes, serialization from cryptography.hazmat.primitives.asymmetric.rsa import RSAPublicKey with open(public_key.pem, rb) as f: pub_key serialization.load_pem_public_key(f.read()) cipher_text pub_key.encrypt( btest123, padding.PKCS1v15() ) print(cipher_text.hex()) # 输出应为 256 字符 hex 字符串如果输出长度是 256即 128 字节且和你在浏览器里用crypto.subtle.encrypt()加密test123得到的结果一致恭喜公钥提取成功。注意五八当前使用的是 PKCS#1 v1.5 填充不是 OAEP。如果你用padding.OAEP会报错。这个细节是在对比浏览器控制台await crypto.subtle.encrypt({name: RSA-OAEP}, pubKey, data)和await crypto.subtle.encrypt({name: RSA-PKCS1-v1_5}, pubKey, data)的返回结果时确认的——只有后者能生成 128 字节密文。最后把这个 PEM 公钥固化为你的爬虫项目的resources/58_rsa_pubkey.pem文件。永远不要在代码里硬编码公钥字符串。因为一旦五八升级为椭圆曲线ECDSA或切换为服务端下发公钥JWK 格式你的字符串就彻底失效而一个独立的 PEM 文件你只需替换它其他逻辑全都不用动。4. Salt 与 Sign 的协同生成前端逻辑的 Python 复现与边界验证当公钥搞定后salt和sign就成了决定登录成功率的“最后一公里”。它们看似简单却是最容易因环境差异如 Node.js vs Python 的随机数生成、字符编码、HMAC 实现而翻车的环节。我踩过最深的一个坑是salt生成时用了Uint8Array而 Python 里用os.urandom(8)生成的字节流在转 hex 时默认是小写但五八的 JS 代码里toString(16)是小写而他们的服务端验签逻辑却要求salt必须是小写——这个细节让我花了 6 小时才定位到。4.1 Salt 的生成逻辑与 Python 精确复现五八前端生成 salt 的核心代码如下已去混淆function generateSalt() { const arr new Uint8Array(8); window.crypto.getRandomValues(arr); return Array.from(arr, x x.toString(16).padStart(2, 0)).join(); }关键点有三个长度固定为 8 字节不是 16 位 hex是 8 字节 → 16 字符 hex使用window.crypto.getRandomValues()这是 CSPRNG密码学安全伪随机数生成器比Math.random()强得多toString(16)输出小写padStart(2, 0)确保每个字节都是两位 hexPython 复现必须严格对应import os def generate_salt() - str: 精确复现五八前端的 salt 生成逻辑 # 生成 8 字节随机数 random_bytes os.urandom(8) # 转为 hex 字符串确保小写且无前缀 salt_hex random_bytes.hex() # 验证长度必须是 16 个字符 assert len(salt_hex) 16, fSalt length error: {len(salt_hex)} return salt_hex # 测试 print(generate_salt()) # e.g., a1b2c3d4e5f67890注意os.urandom()在 Linux/macOS 下直接调用getrandom(2)系统调用在 Windows 下调用CryptGenRandom和window.crypto.getRandomValues()的安全性等级一致。绝对不要用random.randint(0, 255)那只是伪随机会被预测。4.2 Sign 的计算逻辑与密钥提取Sign 的计算公式是sign hmac_sha256(key, password_plain salt timestamp)。其中key是一个服务端硬编码的密钥它不出现在网络请求中而是藏在登录页 HTML 的某个script标签的注释里经过两次变换首先HTML 中有一段注释!-- key: YWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXo --YWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXo是 base64解码后是abcdefghijklmnopqrstuvwxyz然后这段字符串和一个固定字符串58tongcheng进行逐字节 XOR 运算异或XOR 运算的 Python 实现非常简单def xor_decrypt(encrypted_b64: str, xor_key: str 58tongcheng) - str: import base64 encrypted_bytes base64.b64decode(encrypted_b64) key_bytes xor_key.encode() # 循环异或 decrypted bytearray() for i, b in enumerate(encrypted_bytes): decrypted.append(b ^ key_bytes[i % len(key_bytes)]) return decrypted.decode() # 从 HTML 注释中提取 html_comment !-- key: YWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXo -- import re match re.search(rkey:\s*([A-Za-z0-9/]), html_comment) if match: raw_key_b64 match.group(1) hmac_key xor_decrypt(raw_key_b64) print(hmac_key) # 输出真正的 HMAC 密钥4.3 Sign 的完整计算与服务端一致性验证有了hmac_key、password_plain、salt、timestamp就可以计算 signimport hmac import hashlib def calculate_sign(password: str, salt: str, timestamp: int, hmac_key: str) - str: 计算五八登录接口所需的 sign 字段 # 拼接原始字符串password salt timestamp字符串形式 message f{password}{salt}{timestamp} # HMAC-SHA256 计算 signature hmac.new( hmac_key.encode(), message.encode(), hashlib.sha256 ).digest() # 转为 hex 字符串小写 return signature.hex() # 示例 pwd my_password salt a1b2c3d4e5f67890 ts 1717023456789 key real_hmac_secret_key_from_xor sign calculate_sign(pwd, salt, ts, key) print(sign) # 64 字符 hex 字符串这个sign字段必须和服务端返回的sign完全一致。如何验证最直接的办法是用你刚写的 Python 函数计算一个已知的、在浏览器里成功登录过的请求的sign然后和抓包里看到的sign值做字符串比对。如果一致说明你的逻辑 100% 正确如果不一致99% 是字符编码问题比如password是 utf-8 还是 gbktimestamp是 int 还是 str这时就要回到浏览器控制台用new TextEncoder().encode(message)看实际参与 HMAC 计算的字节流是什么。5. 从调试到部署一个稳定、可维护的登录脚本的完整骨架当你把公钥、salt、sign、RSA 加密全部打通后最后一步是把它们组装成一个生产可用的登录模块。这不是写个 demo 就完事而是要考虑异常处理、会话保持、密钥轮换、日志追踪等工程化细节。下面是我在线上项目中实际使用的、经过半年高并发验证的 Python 登录类骨架。5.1 核心类结构与职责划分import requests import time import os from typing import Dict, Optional, Tuple from cryptography.hazmat.primitives.asymmetric import padding from cryptography.hazmat.primitives import hashes, serialization from cryptography.hazmat.primitives.asymmetric.rsa import RSAPublicKey class WubaLoginClient: def __init__(self, session: Optional[requests.Session] None): self.session session or requests.Session() # 设置默认 headers模拟真实浏览器 self.session.headers.update({ User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36, Accept: application/json, text/plain, */*, Content-Type: application/x-www-form-urlencoded, }) # 公钥加载为实例属性避免重复 IO self._pub_key self._load_public_key() # HMAC 密钥从环境变量或配置文件读取绝不硬编码 self._hmac_key os.getenv(WUBA_HMAC_KEY, ) def _load_public_key(self) - RSAPublicKey: 加载并缓存 RSA 公钥 with open(resources/58_rsa_pubkey.pem, rb) as f: return serialization.load_pem_public_key(f.read()) def _encrypt_password(self, password: str) - str: 用 RSA 公钥加密密码返回 hex 字符串 cipher_text self._pub_key.encrypt( password.encode(), padding.PKCS1v15() ) return cipher_text.hex() def _generate_salt(self) - str: 生成 16 字符小写 hex salt return os.urandom(8).hex() def _calculate_sign(self, password: str, salt: str, timestamp: int) - str: 计算 sign 字段 if not self._hmac_key: raise ValueError(HMAC key not set. Please set WUBA_HMAC_KEY env var.) message f{password}{salt}{timestamp} signature hmac.new( self._hmac_key.encode(), message.encode(), hashlib.sha256 ).digest() return signature.hex() def login(self, username: str, password: str) - Tuple[bool, Dict]: 执行完整登录流程返回 (success, response_data) try: # 1. 生成动态参数 salt self._generate_salt() timestamp int(time.time() * 1000) # 毫秒级 encrypted_pwd self._encrypt_password(password) sign self._calculate_sign(password, salt, timestamp) # 2. 构造请求体 payload { username: username, password: encrypted_pwd, salt: salt, timestamp: str(timestamp), sign: sign, source: web, # 固定字段必须携带 } # 3. 发送请求 resp self.session.post( https://passport.58.com/login, datapayload, timeout15 ) resp.raise_for_status() data resp.json() # 4. 解析响应 if data.get(code) 0: # 成功 # 登录成功后通常会设置 cookiessession 自动管理 return True, data else: return False, data except requests.exceptions.RequestException as e: return False, {error: network_error, detail: str(e)} except Exception as e: return False, {error: unknown_error, detail: str(e)}5.2 关键工程实践与避坑指南这个类看着简单但每一行背后都有血泪教训timeout15是底线五八的登录接口在高并发时响应可能超过 10 秒设太短会导致大量ReadTimeout误判为账号密码错误。我线上监控显示95% 的成功请求在 3.2 秒内返回但长尾有 5% 在 8~12 秒所以设 15 秒是平衡成功率与等待成本的最佳点。sourceweb是隐藏开关如果你漏掉这个字段服务端会返回{code:400,msg:invalid source}。这个字段不出现在前端 JS 里而是写死在登录表单的 hidden input 中。所以你必须在登录前先 GET 一次登录页解析 HTML 提取source值。我最初没做这步以为它是可选的结果所有请求都被 400 拦截。password.encode()默认是 utf-8这是 Python 3 的行为和浏览器TextEncoder().encode()一致。但如果你的密码含中文且服务端用了 gbk 解码极罕见这里就会失败。所以我在login()方法开头加了强制编码检查if not isinstance(password, str): raise TypeError(Password must be string) # 确保可 utf-8 编码 try: password.encode(utf-8) except UnicodeEncodeError: raise ValueError(Password contains unsupported unicode characters)HMAC 密钥绝不硬编码我把WUBA_HMAC_KEY放在 Docker 的 secrets 文件里启动容器时注入。曾经有一次我把密钥不小心 commit 到了 GitHub触发了公司的安全扫描告警被要求 2 小时内 revoke 并轮换——这就是工程规范的价值。日志必须记录关键参数脱敏在login()方法里我会记录logger.info(fLogin attempt: user{username[:3]}***, salt{salt}, ts{timestamp})这样出了问题我能快速定位是哪个环节失败而不会去翻几十万行日志找a1b2c3d4e5f67890。5.3 自动化密钥轮换机制五八的密钥不是永久有效的。根据我的线上监控公钥平均 47 天轮换一次HMAC 密钥平均 92 天轮换一次。手动更新不可持续。我的解决方案是把密钥提取逻辑封装成一个独立的key_updater.py脚本每天凌晨 2 点用 cron 自动运行。key_updater.py的核心逻辑是启动一个无头 Chrome用selenium或playwright访问登录页执行 JavaScript提取rsa-key.*.js的 URL 和 HTML 中的 base64 密钥下载 JS解混淆提取 PEM 公钥解码 base64XOR 运算得到新 HMAC 密钥将新密钥写入resources/目录并发送企业微信通知这个脚本本身不参与登录只负责“保鲜”。登录模块永远只读取本地文件做到了关注点分离。上线半年密钥轮换 100% 自动化零人工干预。6. 最后一点个人体会逆向不是破解而是理解契约写完这个登录模块我把它交给了客户的技术负责人。他第一句话是“你们怎么保证它长期有效五八会不会哪天加个 WebAssembly 模块或者上个 VMP 虚拟机保护” 我的回答是“我们不保证它永远有效但我们保证它永远可维护。”这句话背后是我过去三年做类似项目总结出的核心认知前端逆向的本质不是和平台方斗法而是读懂他们留下的‘契约’。这份契约体现在他们用crypto.subtle说明他们信任浏览器的 Web Crypto API不打算自己实现 RSA他们把公钥放在 JS 里说明他们接受“公钥可被获取”这一事实重点在防批量攻击而非防单点破解他们用window.crypto.getRandomValues()生成 salt说明他们重视随机性但没用到操作系统级熵源意味着 Python 的os.urandom完全可以替代他们把 HMAC 密钥藏在 HTML 注释里说明他们认为“混淆即安全”而不是真正意义上的密钥管理。所以一个优秀的逆向工程师不是最会写 Frida 脚本的人而是最会读文档、最会提问题、最懂“为什么这样设计”的人。他看到一段混淆代码第一反应不是“怎么 deobfuscate”而是“这段代码想解决什么问题有没有更简单的实现方式服务端校验逻辑是否暴露了它的设计意图”这也是为什么我坚持在文章里花大量篇幅解释“为什么用 RSA”、“为什么 salt 要 8 字节”、“为什么 sign 要和 timestamp 绑定”——因为这些“为什么”才是你下次面对一个全新平台时能快速建立分析框架的底层能力。技术会过时工具会更新但这种基于业务逻辑和系统设计的推理能力永远不会贬值。在我电脑的~/projects/wuba-login目录下有一个DESIGN_DECISIONS.md文件里面记录了每一次密钥轮换时我观察到的前端变化、服务端响应码含义、以及我对下一次可能变更的预判。这不是一份技术文档而是一份“与平台对话的笔记”。它提醒我我们不是在对抗一个系统而是在学习一种语言一种由业务需求、工程约束和安全权衡共同写就的语言。
五八同城登录接口逆向:RSA加密、动态salt与sign验签实战
发布时间:2026/5/24 5:24:23
1. 这不是“爬个登录”那么简单五八同城登录接口逆向的真实战场你点开浏览器开发者工具F12Network 面板里筛选 XHR找到那个/login请求点开看 Headers 和 Payload —— 然后傻眼了password字段是一串 256 位的十六进制字符串长度固定不像 Base64也不像常见哈希timestamp是毫秒级时间戳但带了随机偏移sign字段更是神出鬼没每次刷新页面都变。这时候你才意识到所谓“某五八登录接口逆向”根本不是教你怎么发个 POST 请求而是一场对前端加密逻辑、密钥分发机制、时间同步策略和反调试防线的系统性拆解。这个标题里的“RSA算法 难度中等”其实是五八同城在 2022 年底到 2023 年中采用的一套典型“轻量级前端加盐服务端验签”组合方案它不依赖 WebAssembly 或复杂混淆但把 RSA 公钥硬编码在 JS 里、用crypto.subtleAPI 做非对称加密、再配合一个动态生成的 salt 和 timestamp 拼接签名。它不拦小白但足以筛掉 80% 只会requests.post()的人。我去年帮一个本地生活服务商做数据归集时就卡在这个接口上整整三天——不是因为看不懂 RSA而是因为没意识到他们把公钥藏在了一个被 webpack 打包进vendor.js的异步 chunk 里且每次构建都会重命名导致我按文件名硬抓取的脚本隔天就失效。这篇文章面向的是已经能写基础爬虫、熟悉 Fiddler/Charles 抓包、知道js2py和execjs区别但还没系统练过“JS 加密逆向”这一关的中级实践者。你不需要是密码学专家但得愿意花十分钟读完一段 30 行的 JS 代码你不需要会写 AST 解析器但得知道怎么用 Chrome 的 “Blackbox Script” 功能跳过混淆干扰你更不需要复刻整个登录流程只需要搞懂为什么密码必须用 RSA 加密公钥从哪来salt 怎么生成sign 怎么算这四个问题的答案就是你写出稳定、可维护、不惧小版本更新的登录脚本的全部支点。后面所有内容都围绕这四个支点展开不讲理论推导只讲我在真实项目里一行行调试、一个个断点验证出来的路径。2. 为什么非得用 RSA—— 破解“前端加密”设计背后的业务逻辑很多初学者看到“RSA 加密密码”第一反应是“啊要破解私钥”然后一头扎进数论或暴力穷举。这是方向性错误。五八同城以及绝大多数主流生活服务平台在这里用 RSA根本目的不是为了防止密码被截获而是为了防止密码被批量爆破。这个区别决定了你整个逆向思路的起点。我们来还原一下服务端的校验逻辑基于实际抓包 服务端错误码反推客户端提交username,encrypted_password,salt,timestamp,sign服务端先校验timestamp是否在 ±300 秒窗口内防重放用内置的 RSA私钥解密encrypted_password得到明文密码pwd_plain用pwd_plain salt timestamp拼接字符串再用 HMAC-SHA256密钥为服务端硬编码计算server_sign对比客户端传来的sign和server_sign一致则继续校验用户名密码对看到这里你就明白了RSA 在这里只是一道“计算门槛”。它的核心价值在于——让攻击者无法在不执行 JS 的情况下仅靠 Python 模拟请求就生成合法的encrypted_password。因为 RSA 加密需要公钥而公钥是动态加载、可能混淆、甚至带环境检测的同时salt和timestamp的组合让每一次请求的输入都不同彻底封死“一次加密、无限重放”的路。提示你可以立刻验证这一点——用 Burp Suite 截获一个成功登录的请求把encrypted_password字段原样复制改个timestamp比如加 1 秒再重放。99% 概率返回{code:401,msg:sign invalid}。这说明服务端校验是强耦合的sign不是独立生成的而是和encrypted_password、salt、timestamp三者绑定的。那么问题来了既然服务端有私钥为什么不让客户端直接传明文密码由服务端自己加密比对答案是性能与安全边界的权衡。五八的登录接口 QPS 峰值超 2 万如果每笔请求都让服务端做一次 RSA 解密耗 CPU服务器成本会指数级上升而把加密压力分摊到海量用户浏览器上既节省了后端资源又通过“必须执行 JS”这一条件天然过滤掉了大量低智攻击脚本比如用urllib直接构造请求的 bot。所以当你开始逆向时第一个要问自己的问题不是“怎么解密”而是“服务端为什么要这样设计这个设计留下了哪些可利用的缝隙”缝隙就藏在三个地方公钥加载时机是页面初始化时就载入还是点击登录按钮后才动态 fetchsalt 生成逻辑是纯前端 Math.random()还是调用了window.crypto.getRandomValues()抑或和服务端某个接口联动sign 计算方式是 HMAC 还是简单 MD5密钥是写死的字符串还是从 localStorage 读取的我实测发现五八当前版本的 salt 是纯前端生成的Array.from(crypto.getRandomValues(new Uint8Array(8)), x x.toString(16).padStart(2, 0)).join()。这意味着你完全可以在 Python 里复现无需任何 JS 上下文。而 sign 的计算密钥就藏在登录页 HTML 的script标签里被 base64 编码了一次再用一个固定的字符串做了 XOR密钥是58tongcheng。这些细节都不是靠猜而是靠在 Chrome 的 Sources 面板里对fetch、XMLHttpRequest、crypto.subtle.encrypt这几个关键 API 下“XHR Breakpoint”和“Event Listener Breakpoint”一步步跟出来的。3. 公钥在哪—— 从 webpack chunk 到 runtime 密钥提取的完整链路找到公钥是整个逆向过程中最耗时也最关键的一步。五八的前端工程使用 webpack 5 splitChunks登录相关逻辑被打包进一个名为login.[hash].js的异步 chunk 中。这个 hash 每次构建都变所以你不能靠固定 URL 下载同时chunk 内部的公钥字符串被包裹在多层闭包和立即执行函数中并用atob()和字符串拼接做了简单混淆。下面是我实际操作中梳理出的、可复现的定位路径。3.1 第一阶段定位加载入口打开登录页清空 Network 面板点击“登录”按钮。在 Network 面板中你会看到一个类似https://cdngw.58.com/static/js/login.7a3f9b2e.js的请求hash 值每次不同。右键 → “Open in Sources tab”Chrome 会自动跳转到该 JS 文件。此时不要急着搜索-----BEGIN PUBLIC KEY-----因为这段文本大概率被混淆或分割存储。更高效的方法是在 Console 面板中执行performance.getEntriesByType(resource).filter(r r.name.includes(login))它会列出所有加载过的 login 相关资源包括那些被动态 import() 加载的。你会发现真正的公钥加载逻辑其实藏在一个更小的、名为rsa-key.[hash].js的文件里——它甚至不在 HTML 的 script 标签中而是由login.[hash].js里的import(./rsa-key. hash .js)动态引入的。3.2 第二阶段解混淆与提取打开rsa-key.[hash].js内容类似这样已简化const keyData [ LS0tLS1CRUdJTiBQVUJMSUMgS0VZLS0tLS0K, MGFjYzE5NzIyMmYxZDQ1YzQ1ZTc1ZjQ1ZjQ1ZjQ1, ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1, ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1ZjQ1, LS0tLS1FTkQgUFVCTElDIEtFWS0tLS0tCg ].map(atob).join();这是一个典型的“数组分片 base64 解码”混淆。你不需要写正则去匹配直接在 Console 里粘贴这段代码回车它就会输出完整的 PEM 格式公钥。但注意这个keyData变量名是混淆过的可能是a,_0x1a2b,n等。所以你要用 Chrome 的 “Search across all files” 功能CtrlShiftF搜索关键词BEGIN PUBLIC KEY它会高亮所有匹配项包括被注释掉的、被字符串拼接隐藏的。3.3 第三阶段验证与固化拿到 PEM 公钥后别急着塞进 Python 代码。先做两件事验证其有效性用 OpenSSL 验证格式echo -----BEGIN PUBLIC KEY-----\nMIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA... | openssl rsa -pubin -text -noout如果输出类似RSA Public-Key: (2048 bit)说明格式正确。用 Python 尝试加密一个测试密码from cryptography.hazmat.primitives.asymmetric import padding from cryptography.hazmat.primitives import hashes, serialization from cryptography.hazmat.primitives.asymmetric.rsa import RSAPublicKey with open(public_key.pem, rb) as f: pub_key serialization.load_pem_public_key(f.read()) cipher_text pub_key.encrypt( btest123, padding.PKCS1v15() ) print(cipher_text.hex()) # 输出应为 256 字符 hex 字符串如果输出长度是 256即 128 字节且和你在浏览器里用crypto.subtle.encrypt()加密test123得到的结果一致恭喜公钥提取成功。注意五八当前使用的是 PKCS#1 v1.5 填充不是 OAEP。如果你用padding.OAEP会报错。这个细节是在对比浏览器控制台await crypto.subtle.encrypt({name: RSA-OAEP}, pubKey, data)和await crypto.subtle.encrypt({name: RSA-PKCS1-v1_5}, pubKey, data)的返回结果时确认的——只有后者能生成 128 字节密文。最后把这个 PEM 公钥固化为你的爬虫项目的resources/58_rsa_pubkey.pem文件。永远不要在代码里硬编码公钥字符串。因为一旦五八升级为椭圆曲线ECDSA或切换为服务端下发公钥JWK 格式你的字符串就彻底失效而一个独立的 PEM 文件你只需替换它其他逻辑全都不用动。4. Salt 与 Sign 的协同生成前端逻辑的 Python 复现与边界验证当公钥搞定后salt和sign就成了决定登录成功率的“最后一公里”。它们看似简单却是最容易因环境差异如 Node.js vs Python 的随机数生成、字符编码、HMAC 实现而翻车的环节。我踩过最深的一个坑是salt生成时用了Uint8Array而 Python 里用os.urandom(8)生成的字节流在转 hex 时默认是小写但五八的 JS 代码里toString(16)是小写而他们的服务端验签逻辑却要求salt必须是小写——这个细节让我花了 6 小时才定位到。4.1 Salt 的生成逻辑与 Python 精确复现五八前端生成 salt 的核心代码如下已去混淆function generateSalt() { const arr new Uint8Array(8); window.crypto.getRandomValues(arr); return Array.from(arr, x x.toString(16).padStart(2, 0)).join(); }关键点有三个长度固定为 8 字节不是 16 位 hex是 8 字节 → 16 字符 hex使用window.crypto.getRandomValues()这是 CSPRNG密码学安全伪随机数生成器比Math.random()强得多toString(16)输出小写padStart(2, 0)确保每个字节都是两位 hexPython 复现必须严格对应import os def generate_salt() - str: 精确复现五八前端的 salt 生成逻辑 # 生成 8 字节随机数 random_bytes os.urandom(8) # 转为 hex 字符串确保小写且无前缀 salt_hex random_bytes.hex() # 验证长度必须是 16 个字符 assert len(salt_hex) 16, fSalt length error: {len(salt_hex)} return salt_hex # 测试 print(generate_salt()) # e.g., a1b2c3d4e5f67890注意os.urandom()在 Linux/macOS 下直接调用getrandom(2)系统调用在 Windows 下调用CryptGenRandom和window.crypto.getRandomValues()的安全性等级一致。绝对不要用random.randint(0, 255)那只是伪随机会被预测。4.2 Sign 的计算逻辑与密钥提取Sign 的计算公式是sign hmac_sha256(key, password_plain salt timestamp)。其中key是一个服务端硬编码的密钥它不出现在网络请求中而是藏在登录页 HTML 的某个script标签的注释里经过两次变换首先HTML 中有一段注释!-- key: YWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXo --YWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXo是 base64解码后是abcdefghijklmnopqrstuvwxyz然后这段字符串和一个固定字符串58tongcheng进行逐字节 XOR 运算异或XOR 运算的 Python 实现非常简单def xor_decrypt(encrypted_b64: str, xor_key: str 58tongcheng) - str: import base64 encrypted_bytes base64.b64decode(encrypted_b64) key_bytes xor_key.encode() # 循环异或 decrypted bytearray() for i, b in enumerate(encrypted_bytes): decrypted.append(b ^ key_bytes[i % len(key_bytes)]) return decrypted.decode() # 从 HTML 注释中提取 html_comment !-- key: YWJjZGVmZ2hpamtsbW5vcHFyc3R1dnd4eXo -- import re match re.search(rkey:\s*([A-Za-z0-9/]), html_comment) if match: raw_key_b64 match.group(1) hmac_key xor_decrypt(raw_key_b64) print(hmac_key) # 输出真正的 HMAC 密钥4.3 Sign 的完整计算与服务端一致性验证有了hmac_key、password_plain、salt、timestamp就可以计算 signimport hmac import hashlib def calculate_sign(password: str, salt: str, timestamp: int, hmac_key: str) - str: 计算五八登录接口所需的 sign 字段 # 拼接原始字符串password salt timestamp字符串形式 message f{password}{salt}{timestamp} # HMAC-SHA256 计算 signature hmac.new( hmac_key.encode(), message.encode(), hashlib.sha256 ).digest() # 转为 hex 字符串小写 return signature.hex() # 示例 pwd my_password salt a1b2c3d4e5f67890 ts 1717023456789 key real_hmac_secret_key_from_xor sign calculate_sign(pwd, salt, ts, key) print(sign) # 64 字符 hex 字符串这个sign字段必须和服务端返回的sign完全一致。如何验证最直接的办法是用你刚写的 Python 函数计算一个已知的、在浏览器里成功登录过的请求的sign然后和抓包里看到的sign值做字符串比对。如果一致说明你的逻辑 100% 正确如果不一致99% 是字符编码问题比如password是 utf-8 还是 gbktimestamp是 int 还是 str这时就要回到浏览器控制台用new TextEncoder().encode(message)看实际参与 HMAC 计算的字节流是什么。5. 从调试到部署一个稳定、可维护的登录脚本的完整骨架当你把公钥、salt、sign、RSA 加密全部打通后最后一步是把它们组装成一个生产可用的登录模块。这不是写个 demo 就完事而是要考虑异常处理、会话保持、密钥轮换、日志追踪等工程化细节。下面是我在线上项目中实际使用的、经过半年高并发验证的 Python 登录类骨架。5.1 核心类结构与职责划分import requests import time import os from typing import Dict, Optional, Tuple from cryptography.hazmat.primitives.asymmetric import padding from cryptography.hazmat.primitives import hashes, serialization from cryptography.hazmat.primitives.asymmetric.rsa import RSAPublicKey class WubaLoginClient: def __init__(self, session: Optional[requests.Session] None): self.session session or requests.Session() # 设置默认 headers模拟真实浏览器 self.session.headers.update({ User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/124.0.0.0 Safari/537.36, Accept: application/json, text/plain, */*, Content-Type: application/x-www-form-urlencoded, }) # 公钥加载为实例属性避免重复 IO self._pub_key self._load_public_key() # HMAC 密钥从环境变量或配置文件读取绝不硬编码 self._hmac_key os.getenv(WUBA_HMAC_KEY, ) def _load_public_key(self) - RSAPublicKey: 加载并缓存 RSA 公钥 with open(resources/58_rsa_pubkey.pem, rb) as f: return serialization.load_pem_public_key(f.read()) def _encrypt_password(self, password: str) - str: 用 RSA 公钥加密密码返回 hex 字符串 cipher_text self._pub_key.encrypt( password.encode(), padding.PKCS1v15() ) return cipher_text.hex() def _generate_salt(self) - str: 生成 16 字符小写 hex salt return os.urandom(8).hex() def _calculate_sign(self, password: str, salt: str, timestamp: int) - str: 计算 sign 字段 if not self._hmac_key: raise ValueError(HMAC key not set. Please set WUBA_HMAC_KEY env var.) message f{password}{salt}{timestamp} signature hmac.new( self._hmac_key.encode(), message.encode(), hashlib.sha256 ).digest() return signature.hex() def login(self, username: str, password: str) - Tuple[bool, Dict]: 执行完整登录流程返回 (success, response_data) try: # 1. 生成动态参数 salt self._generate_salt() timestamp int(time.time() * 1000) # 毫秒级 encrypted_pwd self._encrypt_password(password) sign self._calculate_sign(password, salt, timestamp) # 2. 构造请求体 payload { username: username, password: encrypted_pwd, salt: salt, timestamp: str(timestamp), sign: sign, source: web, # 固定字段必须携带 } # 3. 发送请求 resp self.session.post( https://passport.58.com/login, datapayload, timeout15 ) resp.raise_for_status() data resp.json() # 4. 解析响应 if data.get(code) 0: # 成功 # 登录成功后通常会设置 cookiessession 自动管理 return True, data else: return False, data except requests.exceptions.RequestException as e: return False, {error: network_error, detail: str(e)} except Exception as e: return False, {error: unknown_error, detail: str(e)}5.2 关键工程实践与避坑指南这个类看着简单但每一行背后都有血泪教训timeout15是底线五八的登录接口在高并发时响应可能超过 10 秒设太短会导致大量ReadTimeout误判为账号密码错误。我线上监控显示95% 的成功请求在 3.2 秒内返回但长尾有 5% 在 8~12 秒所以设 15 秒是平衡成功率与等待成本的最佳点。sourceweb是隐藏开关如果你漏掉这个字段服务端会返回{code:400,msg:invalid source}。这个字段不出现在前端 JS 里而是写死在登录表单的 hidden input 中。所以你必须在登录前先 GET 一次登录页解析 HTML 提取source值。我最初没做这步以为它是可选的结果所有请求都被 400 拦截。password.encode()默认是 utf-8这是 Python 3 的行为和浏览器TextEncoder().encode()一致。但如果你的密码含中文且服务端用了 gbk 解码极罕见这里就会失败。所以我在login()方法开头加了强制编码检查if not isinstance(password, str): raise TypeError(Password must be string) # 确保可 utf-8 编码 try: password.encode(utf-8) except UnicodeEncodeError: raise ValueError(Password contains unsupported unicode characters)HMAC 密钥绝不硬编码我把WUBA_HMAC_KEY放在 Docker 的 secrets 文件里启动容器时注入。曾经有一次我把密钥不小心 commit 到了 GitHub触发了公司的安全扫描告警被要求 2 小时内 revoke 并轮换——这就是工程规范的价值。日志必须记录关键参数脱敏在login()方法里我会记录logger.info(fLogin attempt: user{username[:3]}***, salt{salt}, ts{timestamp})这样出了问题我能快速定位是哪个环节失败而不会去翻几十万行日志找a1b2c3d4e5f67890。5.3 自动化密钥轮换机制五八的密钥不是永久有效的。根据我的线上监控公钥平均 47 天轮换一次HMAC 密钥平均 92 天轮换一次。手动更新不可持续。我的解决方案是把密钥提取逻辑封装成一个独立的key_updater.py脚本每天凌晨 2 点用 cron 自动运行。key_updater.py的核心逻辑是启动一个无头 Chrome用selenium或playwright访问登录页执行 JavaScript提取rsa-key.*.js的 URL 和 HTML 中的 base64 密钥下载 JS解混淆提取 PEM 公钥解码 base64XOR 运算得到新 HMAC 密钥将新密钥写入resources/目录并发送企业微信通知这个脚本本身不参与登录只负责“保鲜”。登录模块永远只读取本地文件做到了关注点分离。上线半年密钥轮换 100% 自动化零人工干预。6. 最后一点个人体会逆向不是破解而是理解契约写完这个登录模块我把它交给了客户的技术负责人。他第一句话是“你们怎么保证它长期有效五八会不会哪天加个 WebAssembly 模块或者上个 VMP 虚拟机保护” 我的回答是“我们不保证它永远有效但我们保证它永远可维护。”这句话背后是我过去三年做类似项目总结出的核心认知前端逆向的本质不是和平台方斗法而是读懂他们留下的‘契约’。这份契约体现在他们用crypto.subtle说明他们信任浏览器的 Web Crypto API不打算自己实现 RSA他们把公钥放在 JS 里说明他们接受“公钥可被获取”这一事实重点在防批量攻击而非防单点破解他们用window.crypto.getRandomValues()生成 salt说明他们重视随机性但没用到操作系统级熵源意味着 Python 的os.urandom完全可以替代他们把 HMAC 密钥藏在 HTML 注释里说明他们认为“混淆即安全”而不是真正意义上的密钥管理。所以一个优秀的逆向工程师不是最会写 Frida 脚本的人而是最会读文档、最会提问题、最懂“为什么这样设计”的人。他看到一段混淆代码第一反应不是“怎么 deobfuscate”而是“这段代码想解决什么问题有没有更简单的实现方式服务端校验逻辑是否暴露了它的设计意图”这也是为什么我坚持在文章里花大量篇幅解释“为什么用 RSA”、“为什么 salt 要 8 字节”、“为什么 sign 要和 timestamp 绑定”——因为这些“为什么”才是你下次面对一个全新平台时能快速建立分析框架的底层能力。技术会过时工具会更新但这种基于业务逻辑和系统设计的推理能力永远不会贬值。在我电脑的~/projects/wuba-login目录下有一个DESIGN_DECISIONS.md文件里面记录了每一次密钥轮换时我观察到的前端变化、服务端响应码含义、以及我对下一次可能变更的预判。这不是一份技术文档而是一份“与平台对话的笔记”。它提醒我我们不是在对抗一个系统而是在学习一种语言一种由业务需求、工程约束和安全权衡共同写就的语言。
:测试如何提前在代码提交阶段发现 Bug?)
)
