球球大作战分享链接自动点击之龙蛋获取

前言

据上次玩球球大作战已经有几个月了，最近看到它又出了个龙蛋获取分享链接，又想试着分析一下。

刚开始看到这个，还挺复杂了，什么混淆啊，捉迷藏啊。

龙蛋分享页面index.js

分析过程

当我拿到我的分享链接：

http://t.cn/RSBFXMR

一看就知道是个短网址，真实URL需要访问过才看得到。

这个就是我访问后的到的URL

http://www.battleofballs.com/share/index.html?b=aWQ9OTkxNjE4NDUmQWNjb3VudD0lRTYlODglOTElRTYlODElOEIlRTUlQkQlQkMlRTYlODElOEImMD10ZW1wJkxldmVsPTYmU2NvcmVzPTEmSWNvbj00JlBhc3NJY29uPSZ0eXBlPTM=

我通过谷歌浏览器的开发者工具看到：

发出的获取龙蛋请求

http://cn.battleofballs.com/share?type=3&id=99161845

这个应该是获取龙蛋的请求，可是我应该到哪里去找id呢？

如果需要给出用户信息的话，应该是url中的b参数了。

学过信息安全这门课，这个b的值应该是base64编码过的。

在这个页面中的index.js也给出了答案：

解码过程

atob不是base64解码的吗？

你要问我是怎么看到的？我将它的一个数组输出了：

_0xa5cf数组

数组元素有135个，这里我列出我认为必要重要的：

前几个元素

他们（开发人员）为什么要这么做，为了不让我们通过关键字查找来破解提取出id。

可是id等信息已经放到了url上了。

aWQ9OTkxNjE4NDUmQWNjb3VudD0lRTYlODglOTElRTYlODElOEIlRTUlQkQlQkMlRTYlODElOEImMD10ZW1wJkxldmVsPTYmU2NvcmVzPTEmSWNvbj00JlBhc3NJY29uPSZ0eXBlPTM=

我将此字符串用base64解码得到：

加密后

id=99161845&Account=%E6%88%91%E6%81%8B%E5%BD%BC%E6%81%8B&0=temp&Level=6&Scores=1&Icon=4&PassIcon=&type=3

我的id已经看到了。

然后就可以用

http://cn.battleofballs.com/share?type=3&id=99161845

来获取龙蛋了。当你把type=3，改成type=1就是获取棒棒糖的，很简单吧。

这里给出我用Python写的代码，如果要实现每天自动点击的话，可以设置定时任务。当然也不要忘了使用代理ip来请求。

作者：赵晓天 来源：http://www.jianshu.com/p/20550529d49f