逆向工程深度解析拼多多滑块验证码的加密机制与轨迹模拟实战第一次遇到拼多多滑块验证码时我像大多数人一样尝试用现成的解决方案绕过它。但当发现这些方案频繁失效后我决定深入其JavaScript混淆代码一探究竟。这次逆向之旅不仅揭示了AES加密与轨迹算法的精妙设计更让我对现代验证码系统的防御机制有了全新认识。本文将带你从零开始逐步拆解这个看似简单的滑块背后复杂的加密逻辑。1. 验证码请求链路全貌拼多多的滑块验证码并非孤立存在而是由三个关键接口组成的完整验证链auth接口- 初始化验证会话obtain_captcha接口- 获取滑块图片资源user_verify接口- 提交验证结果每个接口都有其独特的加密参数而最核心的挑战在于captcha_collect参数的构造。这个参数包含了滑块轨迹信息并经过多层加密处理。1.1 关键加密参数定位通过动态调试和静态分析我们定位到几个关键加密点// RSA加密示例 - auth接口中的password加密 function encryptWithRSA(publicKey, data) { const encryptor new JSEncrypt(); encryptor.setPublicKey(publicKey); return encryptor.encrypt(data); }表验证码接口关键参数分析接口名称关键参数加密方式备注authAnti-Content自定义算法请求头参数authpasswordRSA使用服务端公钥obtain_captchaverify_auth_token无来自auth接口响应user_verifycaptcha_collectAES包含轨迹数据user_verifyverify_code简单计算滑块最终位置2. AES加密核心Key与IV的生成逻辑captcha_collect参数的核心加密在于AES算法而其安全性很大程度上依赖于Key和IV的生成方式。拼多多采用了一种动态生成机制通过U函数实现。2.1 U函数逆向分析function U(e) { var A bN3%cH2$H1*jCo$, W gl3-w^dN)3#h6E1%; var t { aes_key: A, aes_iv: W }; if (!e || 9 ! e.length) return t; // 复杂的Key/IV生成逻辑 var n e.slice(0,1), r e.slice(1); var o r.slice(0,4), i r.slice(4); var a i.split(), s ([a,b].includes(n)?A:W).slice(0,8); var c [a,b].includes(n)?aes_key:aes_iv, u ; switch(n) { case a: case c: t[c] s r; break; case b: case d: for(var l0; l4; l) u a[o[l]]; t[c] s u i; } return t; }这个函数有几个关键特点使用硬编码的初始Key和IV根据输入参数动态修改部分密钥采用多种模式组合生成最终密钥2.2 加密流程拆解完整的AES加密发生在l函数中function l(e, t, n) { return t n ? o.a.encrypt(e, a.a.parse(t), { iv: a.a.parse(n) }).toString() : e; }表AES加密参数来源分析参数来源说明e (明文)轨迹数据包含移动坐标、时间戳等信息t (Key)U函数生成基于vc_pre_ck_b返回的saltn (IV)U函数生成同上3. 轨迹数据的构造与加密滑块验证的核心难点在于生成人类化的移动轨迹同时正确处理其加密流程。3.1 轨迹数据结构原始轨迹数据包含多个维度X/Y坐标序列时间戳序列移动速度变化设备信息指纹这些数据通过G.concat([W, N, D, H, L])组合成一个数组然后进行加密。3.2 拟人化轨迹生成技巧有效的人类轨迹特征初始加速接近目标时减速小幅度的水平抖动±3像素非匀速移动速度变化自然总时间控制在800-1200ms之间包含短暂的停顿10-30ms// 示例轨迹生成函数 function generateTrajectory(distance) { const points []; let currentPos 0; let time 0; // 加速阶段 while(currentPos distance * 0.7) { const speed 8 Math.random() * 3; currentPos speed; time 16 Math.floor(Math.random() * 5); points.push({x: currentPos, y: 0, t: time}); } // 减速阶段 while(currentPos distance) { const remaining distance - currentPos; const speed Math.min(remaining, 3 Math.random() * 2); currentPos speed; time 16 Math.floor(Math.random() * 8); points.push({x: currentPos, y: 0, t: time}); } return points; }3.3 轨迹加密完整流程生成原始轨迹数据序列化为特定格式字符串使用gzip压缩d函数AES加密l函数Base64编码作为captcha_collect参数提交4. 完整验证流程实现将上述分析整合我们可以构建完整的验证流程初始化阶段调用auth接口获取verify_auth_token处理RSA加密的password参数获取验证码使用obtain_captcha接口获取滑块图片识别滑块目标位置需考虑0.85的缩放系数轨迹生成与验证计算滑块需要移动的实际距离生成拟人化轨迹数据按照正确流程加密轨迹提交user_verify接口完成验证// 完整验证示例代码 async function bypassPddSlider() { // 1. 初始化auth const authRes await callAuthApi(); const { verify_auth_token, vc_pre_ck_b } authRes; // 2. 获取滑块图片 const { image, salt } await getCaptcha(verify_auth_token); const targetPos await detectSliderPosition(image); // 3. 生成并加密轨迹 const rawTrajectory generateTrajectory(targetPos * 0.85); const encryptedTrajectory encryptTrajectory(rawTrajectory, salt); // 4. 提交验证 const result await submitVerify( verify_auth_token, encryptedTrajectory, (targetPos 48.75/2).toFixed(2) ); return result.success; }在实际项目中有几个关键点需要特别注意每次会话的salt值不同不能缓存Key/IV轨迹的随机性要控制在合理范围内时间戳的递增必须连续且合理加密前的数据压缩是必要步骤