Python

知乎--Python模拟登录

2018-05-15  本文已影响900人  52_St

运行环境

Python:python 3.6.5
IDE:PyCharm 2018.1.2
抓包工具:Charles 4.2.1
操作系统:Windows 7 (32 bit)
浏览器:Chrome

抓包

首先先进行登录抓包,打开Chrome浏览器(无痕模式),清空所有的缓存,打开Charles,然后再浏览器中输入www.zhihu.com,打开知乎登录界面。

知乎登录界面
点击登录,输入邮箱账号和密码,进行登录。
可能会出现验证码,出现的验证码分两种情形,一种是英文的由英文字母和数字组成的四个字符,一种是中文的点击图中倒立的文字
英文验证码 中文验证码

这里我用了错误的账号和密码进行尝试登录,主要是为了查看并分析多次请求流程。综合多次的分析,发现验证码的获取是不一样的,其他的流程都相同。

一般情况下,可以尝试输入错误的密码和验证码,多查看几次登录的请求流程。

登录分析

登录请求

通常情况下,登录请求都是POST请求。在这个请求中,找到了username和password,可以确定这个就是登录请求,分析就从这里开始。
从红框中看到出现了两个字段:Authentication和Multipart,在其他的网站登录没有遇到过,Multipart是一个多部分编码数据格式,Authentication是一种认证。


Authentication

先搜索一下,发现是在一个main.app.xxxx.js的脚本中,打开看一下,都是固定值。而实际上,经过多次请求分析,可以发现Authentication就是固定不变的。
Authentication = 'C3cef7c66a1843f8b3a9e6a1e3160e20'
与此同时,也可以确定其他的固定参数。

Authentication 登录请求的参数

通过观察,只有signature还未知,client_id就是上面Authentication的值,timestamp是时间戳(13位),captcha是输入的验证码,其余为固定值。

上面我们说过,验证码分为英文和中文两种,请求的URL如下

(英文)https://www.zhihu.com/api/v3/oauth/captcha?lang=en
(中文)https://www.zhihu.com/api/v3/oauth/captcha?lang=ch

验证码请求的GET方法

可以看出,验证码请求方法有三种方式

对验证码这块,有一个小技巧,我们只使用英文格式的验证码,利用GET方法的返回值,判断是否为True,不为True,重新GET,直到返回值为True。

这样就避免了,较为复杂的中文验证码的识别和操作。

重点说明一下,图片的验证请求是在登录请求之前完成的。
到此,所有的提交参数都搞定了,接下来看一看headers

authorization的值是固定的,与clien_id的值一样。

搜索一下这个值


搜索X-Xsrftoken
X-Xsrftoken的源

来自于

首页的请求response中设置的cookies值

可以直接从cookies中提取_xsrf值,加入headers即可。

也来自

首页的请求response中设置的cookies值

可以直接从cookies中提取d_c0值,加入headers即可。

分析到这里,基本就完成了,可以发送请求了。

发送请求

Multipart

这种表单也是第一次提交,查资料找到一个requests_toolbelt,可以提交这种类型的数据。(使用MultipartEncoder类)。

boundary

boundary 就是一个Multipart数据分界线,大小写英文字母和数字组成,共16位。

import base64
import hmac
import random
import time
from hashlib import sha1

import requests
import urllib3
from requests_toolbelt import MultipartEncoder

urllib3.disable_warnings()


class ZhihuLogin:

    def __init__(self, username, password):
        if username.isdigit():
            self.username = '+86{}'.format(username)
        if '@' in username:
            self.username = username
        self.password = password
        self.s = requests.session()
        self.s.headers = {
            'User-Agent': 'Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3239.132 '
                          'Safari/537.36'
        }
        self.s.verify = False

    @staticmethod
    def signature(timestamp):
        key = b'd1b964811afb40118a12068ff74a12f4'
        r = hmac.new(key, digestmod=sha1)
        r.update(b'password')
        r.update(b'c3cef7c66a1843f8b3a9e6a1e3160e20')
        r.update(b'com.zhihu.web')
        r.update(timestamp.encode())
        return r.hexdigest()

    @staticmethod
    def random_boundary():
        temp = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'
        boundary = '----WebKitFormBoundary{}'.format(''.join(random.choices(temp, k=16)))
        return boundary

    def cookie_from_home(self):
        self.s.get('https://www.zhihu.com')
        cookie = self.s.cookies
        if cookie.get('_xsrf'):
            self.s.headers['X-Xsrftoken'] = cookie.get('_xsrf')
        if cookie.get('d_c0'):
            self.s.headers['X-UDID'] = cookie.get('d_c0').strip('"').split('|')[0]

    def captcha(self):
        url = 'https://www.zhihu.com/api/v3/oauth/captcha'
        params = {
            'lang': 'en',
        }
        self.s.headers['Authorization'] = 'oauth c3cef7c66a1843f8b3a9e6a1e3160e20'
        result = self.s.get(url, params=params).json()
        if not result.get('show_captcha'):
            self.captcha()
        else:
            result = self.s.put(url, data=params).json()
            with open('captcha.bmp', 'wb') as f:
                f.write(base64.b64decode(result.get('img_base64')))

            code = input('请输入验证码:')
            multipart = MultipartEncoder(
                fields={
                    'input_text': code,
                },
                boundary=self.random_boundary()
            )
            self.s.headers['Content-Type'] = multipart.content_type
            result = self.s.post(url, data=multipart.read(), params=params).json()
            if result.get('success'):
                print('验证码正确')
            return code

    def login(self):
        code = self.captcha()
        timestamp = str(int(time.time() * 1000))
        multipart = MultipartEncoder(
            fields={
                'client_id': 'c3cef7c66a1843f8b3a9e6a1e3160e20',
                'grant_type': 'password',
                'timestamp': timestamp,
                'source': 'com.zhihu.web',
                'signature': self.signature(timestamp),
                'username': self.username,
                'password': self.password,
                'captcha': code,
                'lang': 'en',
                'ref_source': 'homepage',
                'utm_source': '',
            },
            boundary=self.random_boundary()
        )
        self.s.headers['Content-Type'] = multipart.content_type

        url = 'https://www.zhihu.com/api/v3/oauth/sign_in'
        result = self.s.post(url, data=multipart.read()).json()
        if 'user_id' in result:
            print('登陆成功!')


if __name__ == '__main__':
    zhihu = ZhihuLogin('知乎邮箱(手机)账号', '知乎密码')
    zhihu.cookie_from_home()
    zhihu.login()

下面贴上两张 运行结果图(邮箱登录和手机号码登录)

邮箱登录 手机号码登录

最后更新于 2018-05-15 18:39:23

上一篇下一篇

猜你喜欢

热点阅读