admin管理员组

文章数量:1656449

1.前言

最近无事玩王者,发现某些租号平台可以直接通过自身的APP打开腾讯的游戏进行登录,于是对这一登录过程做了简单的分析

2.QQ打开游戏的简单分析

发现不管是IOS还是Android都可以在QQ里面的游戏中心直接打开腾讯相关的游戏,然后通过抓包发现QQ打开游戏的时候会访问的URL请求地址,在JEB里面对这个地址进行搜索找到相关代码

伪造王者荣耀包名,使用QQ打开伪造的王者荣耀APP对参数进行截取,对比代码分析发现,登录所使用的参数atoken ptoken等参数是可以通过官方SDK获取的

对IOS也通过伪造包名发现登录参数的格式是这样的

tencentlaunch1104466820://startapp?atoken=CB6CE0E7C75849189FFD0D692576C67E&openid=24B0EFBBE7FD07941C6BD452CD6E9E32&ptoken=1D044410A43724E932DEB12CB31A5190&platform=qq_m&current_uin=24B0EFBBE7FD07941C6BD452CD6E9E32&launchfrom=sq_gamecenter

3.使用QQ SDK获取登录参数测试APP打开

使用QQ SDK获取的登录参数,发现打开的王者荣耀 APP账号并没有登录上去,所以怀疑,通过QQ SDK获取的参数有问题,想到腾讯手游里面是可以直接通过QQ网页登录游戏的,于是我就在伪造的包名的APP里面通过调用SDK发现这个登录请求是带了APPID的

https://ssl.ptlogin2.qq/check?pt_tea=2&uin=392469882&appid=716027609&ptlang=2052&regmaster=&pt_uistyle=35&r=0.5246853942298563

然后使用返回的参数测试登录王者荣耀APP成功

https://xui.ptlogin2.qq/cgi-bin/xlogin?appid=716027609&pt_3rd_aid=1104466820&daid=381&pt_skey_valid=0&style=35&s_url=http%3A%2F%2Fconnect.qq&refer_cgi=m_authorize&ucheck=1&fall_to_wv=1&status_os=13.3.1&redirect_uri=auth%3A%2F%2Fwww.qq&client_id=1104466820&response_type=token&scope=get_user_info%2Cget_simple_userinfo%2Cadd_t&sdkp=i&sdkv=3.3.8_lite&state=test&status_machine=iPhone9%2C1&switch=1&traceid=NjM1ODQ2RjUtMEUwMC00RjgyLTkxNTktQjU5OEJFQTQwQzA0_1587467997

然后又打开了这个地址发现就是个JS的QQ的网页登录

然后通过网上搜索发现这个网页的QQ登录分析文章挺多的,我这里随便找了个分析的连接,感兴趣的朋友可以自行学习 https://blog.hidove/post/713

4.后记

作为一个约不到妹子程序员,整个5.20都在孤单中度过,于是就无聊的整理了一篇文章

本文标签: androidqq

版权声明:本文标题:android qq登录分析,[原创]对QQ手游授权登录的一点分析 内容由热心网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:https://www.elefans.com/dianzi/1729739830a1211656.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。