2020年9月10日更新:腾讯在9月9日,再次对签到系统进行了大幅度的更新,整个实现思路失效!
本篇文章仅记录实现思路,原文,并不放置源代码,不喜绕道~
腾讯在8月12日,对QQ群进行了大幅度的更新,24小时全程自动登录签到脚本失效,脚本弃用。
新的脚本是通过php手动更新加密值到数据库,java多线程执行签到,并随时监测会话是否失效,失效则通知管理员进行数据更新。
其实实现过程很简单,我把整个思路记录下来。
本篇文章开放评论,有问题可以随时交流。
一、前因后果
之前的QQ是所有的cookie通用的,比如QQ空间跟QQ群跟手机app,都是同一套加密值。我之前就是通过登录QQ空间,获取到cookie,来实现自动的群签到。当时是纯java实现的,自动滑块验证登录QQ
在8月12之前,签到只需要skey即可,也可以携带p_skey。
经过8月12日更新之后,必须携带p_skey,QQ空间跟群的加密数据完全分离开了,也就是两者的数据并不通用了,qq空间的p_skey跟qq群的p_skey并不通用。
举个例子来说,之前登录QQ空间,就可以查看你的群信息,进行一系列群操作,反之登录Q群,同样可以进行Q空间的一系列操作,现在就不能了。
8月12日到8月13日这两天,看了下旧的脚本,犹豫要不要写个新的。
写个新的可能就要手动更新了,一想就很麻烦,果断放弃了。
如果说加密值不一样,那肯定就是服务器对session处理逻辑不一样了,服务器的自然没法看。但是,手机apk上面可以反编译来查看它的加密算法啊,这是我的下意识。
说干就干,反编译QQ。
先找pskey,找到了方法getPskey
然后根据里面逻辑,继续找getLocalTicket
再找getLocalSig
此时看到这里,已经接近崩溃了,我整了一上午毫无进度,尝试用别的方法(MT管理)进行编译,但是还是失败了。
我有种直觉,pskey的生成逻辑,apk的源码里就有,只不过太麻烦
二、实现原理
具体流程
- php:手动更新cookie(加密值)到数据库
- java:多线程监测会话是否失效,失效则下发邮件通知
- java:多线程定时签到->随机地点、随机图片、自增天数
通过手机或者电脑,将数据更新到服务器数据库(数据库采用触发器,更新之前,将数据库的time更改为当前时间)
java取出数据,然后开启线程,进行每隔10分钟的访问,如果出错,就会下发邮件通知(通过一个类的成员变量errorTime,判断errorTime与数据库中的时间是否相同,如果相同就是没有更新数据,不会再次下发通知)
访问时,需要携带bkn。通过chrome开发者工具全局ctrl+shift+f搜索bkn,可以找到加密算法。
Account account = QQSkey.getAccount();
String skey=account.getSkey();
int t=5381;
for(int n=0,o=skey.length();n<o;n++) {
t+=(t<<5)+(int)skey.charAt(n);
}
int bkn=2147483647&t;//即所求
接下来,只要cookie有效,就可以签到咯