攻克腾讯 TCaptcha 滑块验证码:纯 HTTP 协议逆向实战
本文记录了一次对腾讯 TCaptcha 滑块验证码的完整逆向工程实践,以粉笔教育登录流程为研究对象,目标是通过纯 HTTP 协议实现全自动化破解,不依赖 Selenium 或 Playwright 等浏览器自动化工具,最终实现 100% 通过率。
核心挑战包括:完整还原 TCaptcha 三阶段协议、优化 NCC 模板匹配算法计算拼图块亚像素级位置、高效求解 PoW 工作量证明,以及执行高度混淆的 TDC.js 虚拟机并仿真真实用户轨迹。
文章首先通过 HAR 抓包分析业务风控流程:发送短信接口触发 430 状态码返回 contextId,前端弹出腾讯验证码 iframe,用户验证后获取 ticket 和 randstr,提交 captcha/check 接口解除风控。验证码系统与业务系统解耦,可独立破解后提交凭证。
随后还原了前端 RSA/ECB/PKCS#1 v1.5 加密逻辑(手机号+时间戳),并用纯 Python 实现兼容的加密函数。
整体方案涵盖协议分析、图像处理、算法优化、PoW 求解和 JS 虚拟机执行等多环节,构建出一套稳定、可工程化的纯 HTTP 自动化破解解决方案。
代码
未读
Python爬虫 | 淘票票评论抓取
利用Python解密 sign及自动获取Cookies和Token的评论抓取实现 背景:评论数据抓取的挑战 淘票票作为一个知名的电影票务平台,其评论数据往往对用户公开,但为了防止未经授权的数据抓取,淘票票引入了多重反爬机制,比如sign加密、cookies验证以及复杂的token生成机制等。因此,实
