前言

据上次玩球球大作战已经有几个月了，最近看到它又出了个龙蛋获取分享链接，又想试着分析一下。

刚开始看到这个，还挺复杂了，什么混淆啊，捉迷藏啊。

龙蛋分享页面index.js

分析过程

当我拿到我的分享链接：

http://t.cn/RSBFXMR

一看就知道是个短网址，真实URL需要访问过才看得到。

这个就是我访问后的到的URL

http://www.battleofballs.com/share/index.html?b=aWQ9OTkxNjE4NDUmQWNjb3VudD0lRTYlODglOTElRTYlODElOEIlRTUlQkQlQkMlRTYlODElOEImMD10ZW1wJkxldmVsPTYmU2NvcmVzPTEmSWNvbj00JlBhc3NJY29uPSZ0eXBlPTM=

我通过谷歌浏览器的开发者工具看到：

发出的获取龙蛋请求

http://cn.battleofballs.com/share?type=3&id=99161845

这个应该是获取龙蛋的请求，可是我应该到哪里去找id呢？

如果需要给出用户信息的话，应该是url中的b参数了。

学过信息安全这门课，这个b的值应该是base64编码过的。

在这个页面中的index.js也给出了答案：

解码过程

atob不是base64解码的吗？

你要问我是怎么看到的？我将它的一个数组输出了：

_0xa5cf数组

数组元素有135个，这里我列出我认为必要重要的：

前几个元素

他们（开发人员）为什么要这么做，为了不让我们通过关键字查找来破解提取出id。

可是id等信息已经放到了url上了。

aWQ9OTkxNjE4NDUmQWNjb3VudD0lRTYlODglOTElRTYlODElOEIlRTUlQkQlQkMlRTYlODElOEImMD10ZW1wJkxldmVsPTYmU2NvcmVzPTEmSWNvbj00JlBhc3NJY29uPSZ0eXBlPTM=

我将此字符串用base64解码得到：

加密后

id=99161845&Account=%E6%88%91%E6%81%8B%E5%BD%BC%E6%81%8B&0=temp&Level=6&Scores=1&Icon=4&PassIcon=&type=3

我的id已经看到了。

然后就可以用

http://cn.battleofballs.com/share?type=3&id=99161845

来获取龙蛋了。当你把type=3，改成type=1就是获取棒棒糖的，很简单吧。

这里给出我用Python写的代码，如果要实现每天自动点击的话，可以设置定时任务。当然也不要忘了使用代理ip来请求。

作者：赵晓天

来源：http://www.jianshu.com/p/20550529d49f

————广告时间————

《马哥Linux云计算及架构师》课程，由知名Linux布道师马哥创立，经历了8年的发展，联合阿里巴巴、唯品会、大众点评、腾讯、陆金所等大型互联网一线公司的马哥课程团队的工程师进行深度定制开发，课程采用 Centos7.2系统教学，加入了大量实战案例，授课案例均来自于一线的技术案例，培养过20%的学员月薪超过3万。

开课时间：11月06号

扫描二维码领取学习资料

感谢您抽出  · 来阅读此文

更多Linux好文请点击【阅读原文】哦

↓↓↓

• 双师课堂榜样在你身边——优秀学员学习经验分享（一）
• 赵孟頫《洛神赋》单字35
• 赵孟頫《洛神赋》单字36
• 健身4个月分享个人成果，腹肌和胸肌练的都不错，你感觉如何？
• 【花园洋房】上海静安稀缺450平独栋花园洋房分享（JAMJ-248）
• 【住宅用地】安徽宣城100亩稀缺商住用地项目分享（NGZL-247）
• 事实上中国就算拥有远程轰炸机,作战半径也一样受到限制
• 1文读懂：你脱发的所有原因，从根开始治，生发速度才快！分享！
• 兴宁人，其实你很富有,你知道吗?
• 每日分享丨女赛车手假装学员整蛊教练，防不胜防的漂移好过瘾