Android逆向分析案例——某点评APP登陆请求数据解密

最新推荐文章于 2024-02-16 21:29:05 发布
VIP文章 最新推荐文章于 2024-02-16 21:29:05 发布
阅读量1.7w 收藏 49
点赞数 15
分类专栏: Android逆向分析案例 文章标签: 逆向分析 android 反编译 解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18870023/article/details/52151148
版权

今天,七夕,单身23载的程序汪,默默地写着博客~

上一次的逆向分析案例中讲了如何去分析某酒店的APP登陆请求,为了进一步学习如何逆向分析以及学习其他公司的网络传输加解密,本次案例将继续就登陆请求的数据加密进行分析,实现从网络抓包的密文到明文的转换,这次成为炮灰的是某点评的APP~

首先,分析的步骤还是和上一次分析某酒店的APP那样:

反编译-->找关键代码-->分析请求代码加解密原理-->验证密文到明文准确性

分析步骤的重点主要是第3步和第4步,而且这两步往往是相互结合的,就有点像软件上的单元测试一样,每分析完一个加解密的地方就编写相应的测试代码去验证是否是分析中得到的加解密原理。

本次用到的工具有:APKTool(反编译),Sublime Text(smali阅读器),Xposed(hook方法,验证是否调用),Cydia Substrate(hook方法),Android Studio(编写Xposed和Cydia的hook模块),Eclipse(编写测试代码验证加解密原理),wireshark(抓包),IDA PRO(看so库),测试机。

说明:1、和上次不同,之后的分析我基本不会再用dex2jar和jd-gui这两个工具,为什么呢?因为它从smali转java不可靠,错的地方很多,只能辅助用,而且现在对smali语法已经比较熟悉,所以一般会直接看smali文件进行分析,嗯,这是进步~

2、为什么用了Xposed进行hook了,还要用Cydia来hook?因为APK反编译后,若体积较大,往往会分割成几个smali子文件夹,Xposed只能hook第一个smali文件夹下的smali文件,第二个smali文件夹下的smali文件是无法hook得到的,原因不明;其次,Cydia还能hook本地方法,也就是标记为native的方法。那为什么还用Xposed呢?这个我表示实在惭愧,Cydia最近才用,还不是很熟悉。。。

3、Xposed和Cydia都需要手机root过,而且最好不要同时安装在同一部手机,因为有可能会死机,或者发生日志输出冲突等情况。       

明确需求:分析登陆请求数据的加密原理。

开始:

----------------------------------------------------------

利用APKTool对目标APK反编译,并用Sublime Text打开:


   我们可以看到在整个反编译的工程文件夹下有三个smali的文件夹,其中第二个和第三个smali文件夹下的smali文件是无法用Xposed工具来hook的,所以需要用到Cydia Substrate。

通过关键字符串找关键代码,我们可以从登陆请求的网络抓包观察,输入账号密码后,在wireshark的过滤器输入“login”,按登陆的那一瞬间看看wireshark:


我们可以抓到一个TCP包,那么打开这个TCP流看看:


从抓包的TCP流可以看到有一段明文头(json格式)和拼接了一大段密文,很好,那段密文就是我们要解密的~

这里,我们可以推断,登陆没有用HTTP协议,所以我们可以推测登陆请求是用Sock

最低0.47元/天 解锁文章
拍码屁
关注
  • 15
    点赞
  • 49
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
python破解大众点评的字体加密,经典的字体反爬教程
Python免费教程
12-26 1455
前言 文的文字及图片来源于网络,仅供学习、交流使用,不具有任何商业用途,版权归原作者所有,如有问题请及时联系我们以作处理。 大家爬取分析XX点评数据,最常见的无非两种: 1、分析所有店铺的各类评分和推荐菜等 2、获得店铺里的评论数据大众点评最大的难题就是字体加密,也就是这样 很明显点评网宁可错杀一万,也不肯放过一个,干脆使用了自己定义的字体。不过既然自定义了字体,那么网页肯定需要加载字体文件...
大众点评数据的抓取
weixin_45342712的博客
07-22 3739
搞过大众点评的应该都知道, 大众点评很多信息是加密的,今天来介绍一下我爬取过程中遇到的注意事项: 1、代理 IP 2、css 反爬虫 (SVG矢量图) 3、.woff文件 字体反爬虫 (推荐一个网址: http://fontstore.baidu.com/static/editor/index.html 解析字体文件) 如果知道这些页面的原理, 其实你做这个反爬虫的提取信息就有思路了, 反正就是...
某货app逆向分析
最新发布
2301_79445611的博客
02-16 2720
非常难受的一次逆向经历,调这个调了好久,过年的时候都不爽,终于解决了,没想到是这个坑
干货!一文了解安卓APP逆向分析与保护机制
02-24
安卓APP安全包含很多内容,本次分享了混淆代码、整体Dex加固、拆分Dex加固、虚拟机加固等方面。事实上,这些内容也是国内近几年AndroidApp安全保护的一种主要趋势。Java代码是非常容易反编译的,作为一种跨平台的、解释型语言,Java源代码被编译成中间“字节码”存储于class文件中。由于跨平台的需要,这些字节码带有许多的语义信息,很容易被反编译成Java源代码。为了很好地保护Java源代码,开发者往往会对编译好的class文件进行混淆处理。混淆就是对发布出去的程序进行重新组织和处理,使得处理后的代码与处理前代码完成相同的功能,而混淆后的代码很难被反编译,即使反编译成功也很难得出程序的
论手机App数据分析下的大学生英语自主学习——兼评钟道隆“逆向学习法”.pdf
08-26
论手机App数据分析下的大学生英语自主学习——兼评钟道隆“逆向学习法”.pdf
数据抓包工具,可以抓取大众点评的所有数据
09-16
可以抓取大众点评网的数据 包括图片信息。链接地址等
某金融app的加解密hook+rpc+绕过SSLPinning抓包
Adminxe的博客
03-07 3116
charles抓包的时候app显示无法连接到服务器,charles提示证书的问题,怀疑可能是SSLPinning,使用抓包工具抓包时,抓包工具拦截了服务端返回的内容并重新发给客户端的时候的证书不是服务器端原来的证书了,抓包工具将原本服务器的证书替换成自己的证书,于是就构成了中间人攻击,触发SSL Pinning导致连接中断,所以就抓不到包了。console.log("==========================解密算法==============================");
TCP实战抓包分析
qq_41952309的博客
03-06 4042
两大网络分析利器:tcpdump和Wireshark。 tcpdump常用在Linux服务器中抓取和分析网络包, Wireshark可以抓包,还提供可视化分析网络包的图形界面。 tcpdump # -i eth0表示抓取eth0网口的数据包 # icmp 表示抓取icmp协议的数据包 # host 表示主机过滤,抓取对应IP的数据包 # -nn 表示不解析IP地址和端口号的名称 # tcpdump -i eth0 icmp and host 106.75.117.13 -nn dropped privs.
逆向技巧-快速定位App请求协议加密解密位置的方法
01-11 4604
App逆向破解或者渗透测试过程中,经常会遇到网络请求协议被加密的情况,这个时候如果不对请求协议封包进行解密,找到其加密解密方法,就无法再进行下一步的操作。
手机APP逆向分析在电子数据取证工作中的应用.pdf
08-26
手机APP逆向分析在电子数据取证工作中的应用.pdf
Android软件安全与逆向分析_带书签_Android软件安全与逆向分析_带书签_android_
09-29
Android软件安全与逆向分析_带书签
大众点评文字与数字加密轻松解密 不需要查看位移偏量等操作 简单明白
qq_14809913的博客
07-19 3063
1.分析网页内容 原网址:http://www.dianping.com/shop/74626314 大家在爬取大众点评网站的时候发现,为了反爬,网站将部分汉字和数字进行了加密,导致我们爬取的时候有些困难,如图: 可以看到,数字和汉字都成了方框,方框肯定不方便我们分析网页,所以直接查看对应网页的源码,右键 方框被转换成了编码,这里以地址为例,字体的加密这些应该涉及css,所i有我们找...
python实战:破解大众点评用CSS加密数字的反爬机制
我的ID是局长大人的博客
03-03 4127
**1、**此次我们以该站点:惠州粤菜推荐 为目标站点,来到站点后打开chrome的开发者工具,点击刷新页面,按下图操作你会看到点评数中部分数字被进行了加密,所显示的只有span标签和class 并没有数字信息。 点击其中的某个标签,通过查看css信息就会发现在里面有个网址(即上图中的【4】),点击打开该网址你会看到下图: 其实这些数字是SVG矢量图,SVG矢量图是基于可扩展标记语言,用于描述...
Wireshark抓包分析TCP协议与Fiddler 抓包解密HTTPS
clyrjj的博客
12-10 2236
文章目录一、TCP协议与通信过程讲解二、Wireshark抓包验证三、了解Fiddler四、Fiddler抓包五、总结六、参考 一、TCP协议与通信过程讲解 1、 TCP(Transmission Control Protocol 传输控制协议)是一种面向连接(连接导向)的、可靠的、 基于IP的传输层协议。 2、 OSI的七层模型: TCP工作在网络OSI的七层模型中的第四层——Transport层,IP在第三层——Network层,ARP 在第二层——Data Link层;在第二层上的数据,我们把它叫
H5 APP传输数据解密 2021/7/8
cutjgh的博客
07-08 722
基础知识 1.测试⼀个 APP 时,如果传输数据包被加密,如何去寻找 APP 的加解密算法,对传输数据包进⾏解密? 如果这个 APP 是原⽣ APP,那数据加密使⽤的算法就应该是在 java 层或者 so 层。 如果这个 APP 是 H5APP,那数据加密使⽤的算法就应该是在 js 代码中,如何寻找 js 代码⼀般有两种情况,⼀种情况是已将 js 已经打包在 apk的资源⽂件⽬录中;另⼀种情况就是⾸次运⾏ APP 的时候,通过⽹络请求加载js ⽂件 2.判断一个APP页面是原生的还是H5(http
解密 TCP/IP!
CSDN资讯
05-23 1356
作者 |我不想种地责编 | 屠敏近期工作,跟网络协议相关,这让我有机会更深入学习网络协议,而之前很长一段时间,我对网络协议的理解都停留在比较浅的层面。比如:TCP是面...
wireshark抓包分析——TCP/IP协议
热门推荐
weixin_34205826的博客
08-29 1万+
本文来自网易云社区当我们需要跟踪网络有关的信息时,经常会说“抓包”。这里抓包究竟是什么?抓到的包又能分析出什么?在本文中以TCP/IP协议为例,简单介绍TCP/IP协议以及如何通过wireshark抓包分析。Wireshark 是最著名的网络通讯抓包分析工具。功能十分强大,可以截取各种网络封包,显示网络封包的详细信息。Wireshark下载安装,略。注意,若在Windows系统安装Wireshar...
某flutter-app逆向分析
09-16
某flutter-app逆向分析是指对于一个使用flutter框架开发的应用进行逆向工程分析。逆向工程是通过分析应用的代码、二进制文件等来了解其内部实现细节。 首先,我们需要获取该应用的安装包文件(APK或IPA文件),然后进行解包操作,将其转换为可读取的文件目录结构。 接下来,我们可以使用一些工具来提取应用的资源文件、代码文件等。对于flutter-app来说,可以提取出dart文件,这是flutter的主要代码文件,其中包含了应用的逻辑实现。 通过阅读dart文件,我们可以了解应用的代码结构、数据模型、界面设计等。可以分析应用的逻辑实现方法,包括各种函数、类、方法的调用关系。 同时,还可以通过分析相关配置文件、资源文件等来了解应用的各种设置、资源加载方式等。 在逆向过程中,还可以使用一些调试工具来进一步了解应用的运行机制。例如,hook工具可以拦截应用的函数调用,并捕获输入输出数据,用于进一步分析。 逆向分析的目的可以有很多,比如了解应用的工作原理、发现潜在的漏洞或安全问题、提供参考用于自己的开发等。 需要注意的是,逆向分析需要遵守法律规定。未经授权的逆向分析可能侵犯他人的知识产权,涉及到隐私等方面的问题。因此,在进行逆向分析之前,应该了解并遵守当地相关法律法规,避免产生法律纠纷。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值