你的密钥被我看见了 ,逆向获取密钥

最新推荐文章于 2023-09-16 12:31:27 发布
最新推荐文章于 2023-09-16 12:31:27 发布
阅读量6k 收藏 43
点赞数 9
分类专栏: 安全 网络 程序员 文章标签: 前端 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HBohan/article/details/123431855
版权

前言

遇到过很多次数据加密的情况。之前都是看到别人如何前端调试,然后逆向获取密钥解密流量,这一次,给大家实战一下。

一、逆向式

我们的目标是某信小程序。

首先还是来看看这个小程序的请求流量。当正常人一眼望去,丝毫理不清传递的是什么,我们基本就可以断定,其对流量进行了加密处理。

然后我们再看看返回请求——依然一头雾水:

经过上面两张图,可以判断这个小程序存在流量加密的情况。至于是全局的流量加密,还是部分流量加密,这个需要经过分析之后才能判断。

如果只是部分流量加密,那么还可以测一测有没有漏网之鱼,如果是全局流量加密的话,就必须对小程序进行逆向获取源代码,再进行分析了。

对某信小程序的逆向采用某神仙模拟器加一个6.X版的某信。因为高版本的安卓和某信不再信任系统的证书,这会造成无法抓包的情况,所以使用安卓5加6.X版本的某信。

再参考网上的文章,从模拟器中脱到了小程序的wxapkg文件。这个文件在我的环境中位于:

/data/data/com.tencent.mm/MicroMsg/7e3e7c**********706/appbrand/pkg

最低0.47元/天 解锁文章
IT老涵
关注
  • 9
    点赞
  • 43
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
AES数据加密逆向案例
Gerhardzm的博客
06-28 452
目标网站链接:https://www.hanghangcha.com/通过开发者工具查看该网站链接发送的response都是经过数据加密的,如图1所示: 首先通过堆栈调式进行断点,在调用中看到了名为getOriginalReport的堆栈,第二个应该就是目标栈点,点进去进行查看,如图2所示: 看到有JSON.parse和Decryp,在这里进行断点,如图3所示: 触发断点,点击进入方法中查看详细内容,出现Decryp方法,如图4所示: 观察方法看出这是一个AES加密了,可以发现密钥是'3sd&d24h@$u
前端安全问题
yanner_的博客
08-05 1217
1.不安全的第三方依赖包 现如今进行应用开发,就好比站在巨人的肩膀上写代码。据统计,一个应用有将近80%的代码其实是来自于第三方组件、依赖的类库等,而应用自身的代码其实只占了20%左右。无论是后端服务器应用还是前端应用开发,绝大多数时候我们都是在借助开发框架和各种类库进行快速开发。 这样做的好处显而易见,但是与此同时安全风险也在不断累积——应用使用了如此多的第三方代码,不论应用自己的代码的安全...
网络安全进阶学习第十九课——CTF之密码学
p36273的博客
09-16 3662
-----密码学的首要目的是隐藏信息的涵义,而并不是隐藏信息的存在,这是密码学与隐写术的一个重要区别。------古典密码阶段(1949年以前),早期的数据加密技术比较简单,复杂程度不高,安全性较低,大部分都是一些具有艺术特征的字谜。随着工业革命的到来和二次世界大战的爆发数据加密技术有了突破性的发展。出现了一些比较复杂的加密算法以及机械的加密设备。近代密码阶段 (1949-1975年),在这期间由于计算机的诞生,使得加密技术从机械时代提升到了电子时代。
CTF-密码学相关
AbyssssssssssS的博客
09-10 6136
参考:千千秀字、百度百科、CTF编码和加密总结、CTF常见编码和加密特征 、CTF中Crypty(密码类)入门必看 目录 字符编码 1.ASCII编码 2.Unicode编码 3.UTF-8编码 4.UTF-16编码 5.进制转换 6.URL字符编码 7.摩斯电码 8.Base64/32/16编码 9.shellcode编码 10.Quoted-printable编码 ...
CTF-Reverse中的加密算法】密码算法特征识别,变种密码算法分析
WdIg-2023的博客
06-26 733
上一章中我们带领大家了解了加密算法——RC4,TEA,Base64算法的原理,但是加密算法远不止这些,需要大家自行去学习,在这一章中,我来带领大家了解密码算法特征识别,变种密码算法分析。
人工智能-项目实践-C#-基于C#实现的获取微信数据库密钥的小工具.zip
01-05
在本项目实践中,我们关注的是如何使用C#编程语言实现一个获取微信数据库密钥的小工具。这个工具的主要目的是从已登录的微信客户端中提取出用于加密数据库的密钥,但值得注意的是,它并不支持微信多开场景下的密钥...
COCOVOICE协议逆向
最新发布
03-20
### COCOVOICE协议逆向分析 #### 一、概述 COCOVOICE是一款即时通讯软件,为了保护用户的隐私和安全,其采用了加密技术对传输的数据进行保护。本文将重点介绍COCOVOICE协议逆向的过程及其核心加密逻辑,旨在帮助...
量子高斯密钥分发中后处理的安全性分析
02-23
在量子高斯密钥分发实验中,后处理是提升数据协调效率和保证...结合零拍探测下的连续变量量子密钥分发,分析了个体攻击和集体攻击下采用正向协调和逆向协调的实验方案中密钥提取的安全性。实验结果表明:在码长为2 × 10
PC微信逆向分析の绕过加密访问SQLite数据库.7z
01-03
PC微信逆向分析の绕过加密访问SQLite数据库源码,注入微信,读取微信数据库内容,在线备份数据库。 源代码包括C语言和E语言的具体实现。
Android逆向助手-v2.2.zip
07-14
《Android逆向助手v2.2深度解析》 在移动应用开发领域,Android逆向工程是一种重要的技术手段,用于分析应用程序的工作原理、检测安全漏洞或优化性能。Android逆向助手v2.2作为一款专为Android逆向分析设计的工具,...
服务器数据防泄漏,深信达-MCK
cnsinda_htt的博客
11-20 552
一则物流公司“内鬼”把物流系统账号租给不法分子,不法分子侵入系统盗取公民个人信息层层倒卖的新闻。近日, 河北邯郸警方成功侦破一起侵犯公民个人信息的跨省系列案件。经初步侦查,该团伙涉及买卖公民个人信息1300余万条,非法获利120余万元。 经过精准研判,周密部署,8月27日,民警将沙河籍男子张某、高某抓获,9月3日,将河南籍男子马某抓获归案。经审讯,张某、高某、马某对租用快递查询账号贩卖公民信息的犯罪事实供认不讳。经进一步审讯深挖,犯罪嫌疑人供述曾租用武安市某快递公司员工任某内部查询账号,非法获取公民个
记一次js文件AES加密的key与iv逆向分析
qq_42077227的博客
06-08 3089
js 逆向分析
BUUCTF-Misc-snake(AES曾经的候选算法Serpent)
Sea_Sand息禅
06-14 2258
binwalk分析出有压缩文件,分离并解压得到key和cipher文件,key文件中是base64加密的密文: V2hhdCBpcyBOaWNraSBNaW5haidzIGZhdm9yaXRlIHNvbmcgdGhhdCByZWZlcnMgdG8gc25ha2VzPwo= 解密得到:What is Nicki Minaj’s favorite song that refers to snakes...
CTF竞赛进阶 (一) 密码学
single7_的博客
11-21 4007
0x01 概述 Crypto 相比于 web 和 pwn,更考验参赛者的基础知识,对数学能力、逻辑思维能力与分析能力都有很高的要求。 密码学题目多种多样,包括但不限于: 通过密文分析明文 缺陷自定义密码体制分析解密文 加/解密机交互接口,利用弱点来泄露某些敏感信息 0x02 编码 0x02a 概念 字符编码(英语:Character encoding)、字集码是把字符集中的字符编码为指定集合中某一对象(例如:比特模式、自然数序列、8位组或者电脉冲),以便文本在计算机中存储和通过通信网络的传递。常见的例子
CTF之加解密总结
weixin_33816821的博客
08-01 466
CTF之加解密总结 0x01 Base64 Base64顾名思义就是用64个可显示字符表示所有的ASC字符,64也就是6Bits,而ASC字符一共有256个,也就是8Bits。Base64编码要求把3个8位字节(38=24)转化为4个6位的字节(46=24),之后在6位的前面补两个0,形成8位一个字节的形式。 如果剩下的字符不足3个字节,则用0填充,输出字符使用’=’,因此编码后输出的文本末尾可能...
Aladdin HASP SRM(AES-128)加密狗破解经验分享
热门推荐
niuzaiwenjie的专栏
06-24 1万+
这个教程不想谈太多的技术(主要是我对[脱壳破解]还是处在初级爆破阶段),只想和大家分享一些破解过程,有些过程已经有些忘记,大家凑合看吧。 因为自己是程序员,真是非常热爱这个行业,正因为热爱,所以对各方面的技术也都感兴趣,黑客入侵、木马、外挂、破解都干过,主要是当初所谓的成就感和来自别人崇拜的目光吧,但是因为自己主要是平时没事玩一玩,对一些软件自己动手破解后用着舒服一些,也没有加入过任何的组织(主
AES加密解密及证书密钥获取
chenggm的专栏
08-24 5871
    最近几天一直在做单点登录加密串的解密,碰到了一些问题,将这些问题分享下。     首先加密解密需要用到jce_policy-1_5_0.zip,下载地址:http://cds.sun.com/is-bin/INTERSHOP.enfinity/WFS/CDS-CDS_Developer-Site/en_US/-/USD/VerifyItem-Start/jce_policy-1_5_0.zip?BundledLineItemUUID=PdKJ_hCvc84AAAEq2HgdNaQ9&OrderID
如何实现量子密钥分发与逆向调制相结合
03-28
量子密钥分发(QKD)和逆向调制(OOK)是两个不同的技术,但可以结合使用来实现安全的密钥传输。 一种常见的方法是使用QKD生成一个随机的密钥,然后使用OOK将密钥编码成一个光信号并传输到接收端。在接收端,使用...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值