缘由
这两天看空间各种发【我的2019年终报告】,然后我也去测了一下,没想到啥也不用填,申请获取个人信息的权限,报告就出来了。
然而弹出一个遮罩层让你先看个15s的广告……
超想吐槽,包括页面下面的广告。。
然后看完广告,终于出来了。
正当我截了图返回之后,噫换个性别试试。
好,这回不一样了呀!
然后再来一次,噫,又不一样了……这让我怀疑他就是假的几张图片而已吧。
我兴趣来了,不如来折腾一下,分析一下这个小程序吧。
(不折腾会死……
开始折腾
1
先来看一看这个小程序的设置,发现只获取了用户信息。看一眼更多资料——
先确定了这是个个人开发的小程序,看相关的域名除了Tencent家的,主要就是wxa.game-a1.cn 和free-api.heweather.com。
查了一下,后者是一个查天气的API(需要的话可以用一波)(就是很迷惑为啥这里会有这个
前者是一个个人的域名吧,看样子是用的一个开发小程序的平台。根域名还是个博客,里面还有搭建微信小程序的经历。
2
ping了一下这个域名,得到IP:47.105.42.112
然后抓了个包,过滤只看关于这个IP的数据包。发现有两个。
前面一个不懂什么鬼填了个表,估计收集了一波使用数据,先不管。重点是后面这个。
很明显是访问了http://wxa.game-a1.cn/wxa/qqnz2019/index.php这个网址。
3
浏览器启动,F12大法好呀。
好一个JSON字符串,来分析一下吧。
qrcode很明显是二维码啦,下载下来解码发现调用了qq小程序的接口吧,访问会跳转到这个小程序。
url和url1都是一样的,指向了一个阿里云的对象存储。↓
https://oos-pic.oss-cn-beijing.aliyuncs.com/2019%E5%B9%B4%E7%BB%88%E6%80%BB%E7%BB%93/1.png
多次刷新发现好像的确就那几张图片,改变了一下x.png而已。
而且的确这就是假的图啦。(不然哪来的用户数据可以分析
4
既然都知道是几张图片而已了,那顺便就爬下来吧。
PyCharm 启动,来写一写jio本。
写range是因为随便试了一下,本来就没有几张图片而已,然而懒得手动下载。
看结果的确就7张图片。。
呐就这几张了↓
5
看样子小程序获取个人头像,然后再和二维码、上面的任意一张图拼接在一起而已吧。
就是这个form.php,看样子是用来统计使用数据的吧emmm问题不大。
小结
哇呜折腾了一个中午好气啊,(有毒 不折腾会死
不管怎么说这个小程序还是有点意思的,至少做的那几张图片还挺不错的哈哈哈。
不过要吐槽这个广告超级讨厌emmm
就这样吧。
爬取图片的源码 和 爬到的图片放到了Github上了,有需要的可以去看看吧。
URL:这是网址
