阿里云盘命令刷新Alist妈妈再也不用担心 `invalid X-Device-Id` 错误了。

前言

先放文件 https://github.com/kazutoiris/ali_ecc。
通过 Python 实现的模拟阿里云盘签名算法。可以通过云盘`x-device-id` 和 `x-signature` 校验，妈妈再也不用担心  `invalid X-Device-Id` 了。
欢迎 Star、Issue、Pull Requests！！！

（施工完毕，请放心阅读）

—————————————————————————-

背景

自从阿里云盘2023年2月13日一波大更新，直接把原来调网页版接口的第三方网盘客户端给干爆了。像小白羊、Clouddrive、AList都出现了`invalid X-Device-Id`。其中，Clouddrive通过官方申请API招安的方式勉强能用，其他俩都不能下载文件了。

这使得复习高数的我直接傻眼了，第三方客户端只能上传不能下载，而网页版的在线视频播放功能一坨，只好全部缓存下来再看。。。

这波操作属实有点逆天，晚饭吃撑了研究一下。

——————————————————————————————–

分析

STEP1

通过报错可以发现，阿里云盘请求时候主要使用 `x-device-id` 和 `x-signature` 来进行校验。像列目录之类的可以不用校验，但是取下载链接一定要校验。
（P.S. 这里发现一个小小的漏洞，在列文件目录的时候会携带下载链接，这似乎是油猴脚本至今可用的原因）

如果不带的话就只能收到 `invalid X-Device-Id` 的错误提示了。

STEP2

貌似在不同浏览器上登录，这个 `x-device-id` 会不同。暂时不清楚是怎样随机生成的（准确来说是懒得调了，又不是不能用）。

综上所述，唯一要生成的就是 `x-signature`。

开导逆

STEP1

首先就是要确定 `x-signature` 啥时候生成的。因为在前几条请求中都没有涉及到 `x-signature`，只有在请求目录后，所有的请求都带上了 `x-signature`。
（这里发现一个小小的细节：用开发者工具的”编辑并重新发送“，可以发现，即使是删掉了 `x-signature`，发送时也会自动带上。）

STEP2

随机挑一个请求，查看发起的程序。这个一目了然，发送逻辑必定在 `bundle.js` 中！

一个搜索，一个回车，直达要害！这证明了之前的猜想没错。

STEP3

看了一下请求记录，没有 WASM，那估计不是 WASM，是纯 JS 加密算法。

悲，纯 JS 没得下硬件访问断点，WASM 调试起来可方便多了。。

不管了，直接一个断，一个刷新，欸，直接就断下了。

这不比调 WASM 爽，环境不用补，连反调试都没有。

仔细观察，createSession 中 `x-signature` 是通过外部调用传参进来的，并不是这个函数内部产生的。
所以，这就需要根据调用堆栈来找是谁生成了这个值，是哪个函数传递进来的。

但是看了一圈，似乎在调用前就有了签名值。这就意味着必须要换一种方法了。

STEP4

直接开搜 `createSession`，很快啊，就找到了引用位置。

看了一下，整体代码似乎是状态机结构，总的来说还是通俗易懂的，比起恶心的 ollvm 确实正常了不少。

整体代码是自上而下运行的，是一种流水线式的运行方式。打个比方，A切肉，B把切完的肉拿去腌，C把腌完的肉拿去烤，D把烤完的拿去出餐。

这个函数先生成签名，然后生成会话。生成会话过程的签名就是上一级产生的。
当然，这里有很多其他函数，用以处理不同流水线段之间的数据传递，感兴趣的可以研究下，不感兴趣的倒也没啥关系，毕竟不影响抽象实现。
所以这个函数两个部分既可以分成多段运行，也可以直接合并起来。

而这种流水线的方式会导致前面找堆栈的时候，没有办法找到原始签名字符串是啥时候传进来的，就像是写在了全局变量一样（这也是没办法下硬件写入断点的槽点，不然早找到了）。

STEP5

找准了函数，下一步就简单了。创建签名是在 `genSignature` 中，直接一个 Ctrl+F 直达。

整体就很清晰了：

• 先生成字符串 appId:deviceId:userId:nonce，然后 sha256 编码一下。
• 交付给下一段流水线，用 privateKey 去签名。
• 签名值后面加上 01。（这里的 1 是代码中 concat(u)，因为 u 来自 recovered 的值，也就是图上蓝色的下一行。这个 1 的来源后续慢慢讲）

STEP6

签名是找到了，但是是拿啥算法签名的呢？

可以看到，阿里云盘有请求一个 `get_public_key` 的地址，而且返回了一个 RSA 密钥。前面代码又有公私钥加密的，这不就是 RSA 签名嘛！

哎哎哎，可别高兴太早，RSA 签名有个显著的特点，就是 e 基本都是 65537。但是调了这么久，似乎从来也没看到过 65537？
而且，根据上面的代码，这个私钥可以直接转换成公钥？RSA 双向转换都是不可以的。就算是调用私钥，最起码也得带上俩个数吧。

这波属实是半场开香槟——给爷整笑了。

STEP7

兄弟们，干就完事了。

现在有两种可能，一是魔改的 RSA 算法，存在一个常数，这样就只需要提供另一个数就行了；二是，这压根不是 RSA 算法。

不过这两种路子殊途同归，直接一个断点，打到 `getPublicKey` 里面。如果是魔改，必定有常数，如果不是，那也有提示。

可以看到这是一个乘法运算。RSA 中我怎么记得是没有乘法的呢？

放狗搜一下常数，哦哦哦哦哦哦.jpg

来了兄弟们，ecc-secp256k1 算法，也是非对称算法。这是用椭圆曲线做的，难怪怎么只需要一个常数就可以了。

一把梭，直接开搞。

STEP8

别高兴太早。

出来的是 3e2a3bbd2dfe8675bc40b0b0af6a558421b827b5ad022c8d305eb861b9bfdcc48aea1243df77a6298dfd5cf692a407852b3fd996ea5a13ae213c4380bb7b8d0d，
而发送的却是 043e2a3bbd2dfe8675bc40b0b0af6a558421b827b5ad022c8d305eb861b9bfdcc48aea1243df77a6298dfd5cf692a407852b3fd996ea5a13ae213c4380bb7b8d0d

奇怪，算法搞错了？

别急，这不还没调完嘛。。。

是吧，04 是后续转 HEX 的时候手动加上的。这证明算法已经掌握了。

(( 经坛友提醒，04 指的是未压缩 ECC 公钥，细节可以看这篇文章 https://asecuritysite.com/ecc/js_ethereum2 ))

STEP9

算法搞完了，回过头看看公私钥对是咋生成的，这玩意不会有啥稀奇古怪的限制吧。

现在有两点已经掌握：

• 只需要提供私钥，就可以求解得到公钥。
• 私钥每次登陆时都会变。

大致可以分析出来，只需要生成私钥就可以了，而且是在初始化的时候。

没有限制，随机生成，完美收官。

STEP10

搞完了生成、算法，但是签名呢？哎，没想到吧，前面已经提到了哦！

• 先生成字符串 appId:deviceId:userId:nonce，然后 sha256 编码一下。
• 交付给下一段流水线，用 privateKey 去签名。
• 签名值后面加上 01。（这里的 1 是代码中 concat(u)，因为 u 来自 recovered 的值，也就是图上蓝色的下一行。这个 1 的来源后续慢慢讲）

那你肯定要问了，楼主楼主，nonce 一开始是 0，后面会不会变捏？

简单，友谊手套，Ctrl + F 一搜 nonce 赋值，很快奥，就定位到了。

目测是超时后生成新的 nonce。

更新时间随机的。

这里 nonce 只起限位作用，每次更新 +1，初始值为零，更新时间随机。

那你肯定又要问了，楼主楼主，appId、deviceId、userId 捏？
自己去 GitHub 项目看一下捏，这个抓包都有的，这里就不多做解释了，写文章太累了。。。

开积写

把前面导完的东西积一下，首先生成密钥对，发送公钥至阿里云盘，后续则使用这个密钥对进行签名。

STEP1 生成密钥对

STEP2 生成并处理公钥

STEP3 签名

至于发送这种小事，完整代码直接见仓库吧，贴完文章太长没眼看了。

这里有个坑点，非对称签名每次签同样的内容产生的签名是不一样的，但是似乎阿里云盘直接简单处理了。
create_session 时候用的 `x-signature` 必须原封不动的传递到其他 API 的调用上，否则就算是密钥对一致、内容一致，也只会报无效。

后记

• 似乎油猴脚本下载不受影响。
• AList通过分享创建的也不受影响。
• 盲猜一波断更小白羊估计这次应该是彻底淘汰了，作者不管，第三方作者也不太好做，不知道有没有接盘侠接个盘。
• 有啥问题建议直接 GitHub 项目下提交 Issue，秒级回复。论坛估计是得按天起步了。。。
• Star、Follow、CB 任一大于 1145，胱速整个有意思小活。