2026年Funcaptcha：核心验证流程简述

hello大家好，本期内容咱们讲一下funcaptcha。刘大佬说Funcaptcha、Recaptcha、Hcaptcha是验证码领域的三大巨头。从加密参数方面来说，我感觉Funcaptcha是比Recaptcha跟Hcaptcha都要简单很多的。后期我是小编先简单讲一下Funcaptcha，然后咱们就先带大家看一下什么是Funcaptcha。

Funcaptcha的多元表现形式

就是这种的圣诞老人样式验证码，不知道大家遇到过没有？还有一些其他网站，它还有一些别的形式，不单是圣诞老人的。咱们看看它的官网上有没有写别的，你看比如说这种，还有这种看到没有？

它是这样的一个验证形式，你看这边相当于是从低难度到高难度的梯度设计，对吧？官网的这个验证，它是一直展示的是圣诞老人的，所以咱们这个就用圣诞老人做一个素材。咱们第一节的话就带大家简单看一下它的一个发包流程，这个其实很好弄，大家第一节的话跳过也不碍事儿。

核心发包与验证流程拆解

来，咱们直接刷新一下，这边是我之前下的断点，我现在先都给他删了，然后带大家再断一遍。咱们点这个串，还有断点再删了，还有断点再删了。Ok然后咱们点这个开始答题。首先的话咱们就是先得让这个请求图片的这个流程出来，咱们得看这玩意儿是从哪请求出来的，然后咱们简单看一下它的整个包，然后看到这边是有一个发包，然后发包里面呢，它是这里看到没有？它有图片。

咱们怎么去定位到它呢？可以先去找图片，你看这边预览出来是不是图片，然后这个图片实际上应该是从这个网址加载过来的，咱们可以去单拎出来看一眼，看到没有？这就是它的图片的网址。然后咱们可以通过这个图片搜索，发现他在这个ECT接口，并且呢你看到没有，它是第一个，它是第一条的这个图片。后面还有两条图片，看到没有？那为什么它这里有三个图片呢？咱们注意这里看到没有？共三项对吧？所以很明显它这个后面两个图片，就是你点提交之后的下一张图片，再点提交的再下一张图片是这样的。GFCT是图片请求的发包接口，CA是验证提交接口。

那这个发包的地方，咱们看看有什么加密参数呢？看起来什么都没有，只有一个这个token，咱们来搜索一下这个token，你发现这个token是从一个接口里返回的，是它的这个token的前半部分。而对于这个发包的话，看到这里边了吗？它是有一些验证流程的，它这有一个很长的一个加密参数。这个的话咱们一看，是不是像一个random随机值的意思？然后这个public key应该是一个固定值，UA是固定的，那剩下的只有这一个加密参数。你一旦看到它头部是EYG这三个字母的时候，它大概率就是一个Btoa进行加密的，所以咱们用AtoB进行解密。为什么说它是Btoa加密的呢？就是因为大括号这个东西你一旦利用Btoa加密的话，它开头的三个字母就是EYG这几个字母。所以咱们注意，看到EYG的时候，它大概率就是Btoa进行的加密。咱们可以自己去试验一下，比如说这个MD等于，这样吧，MZ等于1个什么呢？等于MZ1。然后咱们给MZ进行一个字符串转换，那咱们给这个东西进行一个Btoa加密，看到没有？它前三个字母还是EYG，所以就是说你一旦看到这个EYG，就要先想到Btoa加密。然后最终还有一个验证包，所以咱们只需要解决这三个地方就可以了。咱们先看这个请求session token的地方，这个第一讲就六分钟，很轻松的结束，然后咱们下一节正式开始搞这个东西。

继续浏览有关 验证码逆向funcaptcha 的文章