某A系电商App x-sign签名分析

最新推荐文章于 2024-06-17 00:27:01 发布
最新推荐文章于 2024-06-17 00:27:01 发布
阅读量454 收藏 4
点赞数
文章标签: 网络安全 安全 系统安全 安全架构 web安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/WLANQY/article/details/128883678
版权
本文详细介绍了如何分析某A系电商App的x-sign签名,通过特征字符串定位、缩小范围以及利用Frida Hook动态加载的类,最终在假SO中找到相关类。虽然找到了Java层接口和SO中的函数,但深入分析SO仍面临挑战。强调了在遇到Frida找不到类时,遍历ClassLoader的方法是有效的。
摘要由CSDN通过智能技术生成

一、目标

前不久(我去,都大半年了)分析过 某二手电商App x-sign签名分析 类成员变量的分析 我们找到了几个伪装成so的jar包。

虽然rpc调用ok了,但是它的实际运算过程还是在so里面的。

今天我们从它们同族的App来入手,利用Native层字符串定位的方式来定位下在哪个so中去做的运算。

App版本: v4.15.1

二、步骤

特征字符串定位

一开始选择的特征字符串是 x- ,后来发现没有 x-sign 好使

Interceptor.attach(addrGetStringUTFChars, {onEnter: function (args) {},onLeave: function (retval) {if (retval != null) {var bytes = Memory
最低0.47元/天 解锁文章
WLANQY
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
x-sign生成源码,下一期写逆向思路,最近没时间。
weixin_39010615的博客
05-11 1956
声明:此内容仅作用于学习参考,如有存在抄袭或违法请联删除! 目标网址:aDVhcGkubS50YW9iYW8uY29t 运行结果如下: sign生成 接口返回展示 python 代码如下: import json import time import execjs import requests from urllib.parse import quote args = { "jsv": "2.6.1", "appKey": "12574478", "t": "1650788
XSign.java
11-03
手机淘宝x-sign源码,关于如何获取x-sign的代码,详情请查看博客 https://blog.csdn.net/Colinasd/article/details/102881853
手淘x-sign
qq1051373283的博客
12-31 4459
手淘x-sign@TOC 现在很多数据业务仅仅靠pc端接口的支撑已经不能满足大家的需求了,手机端的爬虫是大势所趋。但是相比于pc端的爬虫,手机端的爬虫很麻烦,选择抓包工具,设置代理,root手机,安装xposed,甚至还有app的反编译等,很多人望而却步。 个人研究了一段app爬虫,有一些小小的收获,当然比不上能够反编译、利用汇编分析apk的大牛,但是已经可以应付一些app爬虫业务了。比如淘宝直播...
2024-某宝 手淘 x-sign, x-mini-wua参数脱机, unidbg生成加密参数
最新发布
weixin_44110940的博客
06-17 842
说明: 此代码仅供用于学习交流, 切勿用于非法用途。有需要的可以私信我学习交流。
闲鱼x-sign参数
bugtraq的博客
11-09 6122
据说淘宝的x-sign程序已经人手一份了,闲鱼的好像不太多。 最近研究了下闲鱼以x sign为代码的请求参数,包括x-sign, x-mini-wua, x-umt等等参数。 效果如下,可以看到基本的请求参数和请求包数据都已经在里面了。 上面的是post包,下面是请求头数据,基本参数都在了。 {'x-extdata': 'openappkey%3DDEFAULT_AUTH', 'x-features': '27', 'umid': 'lw4A2w1LPFeWngJ8bdOv1Cr6e.
小红书接口加密参数X-sign
什么都不懂的博客
08-07 4212
小红书接口加密参数X-sign 文章目录小红书接口加密参数X-sign前言一、抓包获取参数总结 前言 因为工作需要,开始对小红书动手,因为app端风险高,小程序端也能获取基本需求,所以从小程序端入手。很感谢博客csdn几位大佬提供的思路,以下内容仅供交流学习与参考 小程序端通过抓包测试,共有两个难度,一是获取本文需要的参数x-sign,基本小程序的所有接口都需要该参数。二是小红书的数美滑块,该问题在本文不做介绍。 一、抓包获取参数 通过抓包,我们可以看到接口的参数,里面除了一些基本参数,还有三个关键参数
某生鲜电商sign签名算法分析
lixiaolevae的博客
07-16 537
磨刀霍霍 环境预备 测试手机 nexus x5 android 6.0 (android7.0以上版本抓包工具默认抓不到https请求,因为7.0以上只信任统级别证书,而charles证书是安装到用户级目录的。 解决方式:可将charles证书升级为统证书,即安装证书到统证书目录下。 具体操作可参考连接:https://www.pianshen.com/article/97291182754/ ) PC macbookpro 13-inch 4-core 16G-RAM macOS 10.15.5
java代码-// 保存京东到家sign签名代码
07-15
在Java编程语言中,"签名"(Sign)通常指的是对数据进行的一种安全性处理,它用于验证数据的完整性和来源的可靠性。在电商领域,如京东到家这样的平台,签名机制对于确保API请求的安全性至关重要。这涉及到服务器与...
深入解析淘宝API签名机制:如何正确生成 sign 参数(文章末尾有完整代码)
weixin_52721112的博客
04-15 2111
签名机制是API安全的重要组成部分,对于保护数据传输的完整性和安全性起到了关键作用。通过本文的详细解析,希望开发者能更好地理解和实现淘宝API的签名过程,有效地进行数据采集工作。记得在开发和部署数据采集工具时,始终遵守相关的法律法规,确保技术应用的合法性。这篇文章为您提供了关于生成淘宝API签名机制的深入理解和实操指导,希望能帮助您在开发过程中避免常见的问题,并提高开发效率。如果您有任何问题或需要进一步的帮助,请在评论区留言或直接联我。完整代码如下:import reimport csv。
Android逆向-实战sign分析-某某合伙人_v4.0.9
哔_哩哩!的博客
06-13 4215
1.基础分析 1.1.基础分析 工作中经常会对一些app进行安全审计,一般在拿到应用后可以使用APK Helper工具对应用做个简单分析,了解目标的包名,版本号,名称等基础信息,之后再安装到手机上熟悉下应用的业务,该应用属于哪类app,之后就是思考业务上可能存在的攻击点。 本次目标是一个电商应用,简单使用后可知应用存在登录,购买,支付等众多攻击点,这里我们就从登录入手。 登录逻辑的常见审计思路有: 1.审计客户端与服务端交互时是否直接将用户名密码进行明文传输。 2.客户端是否将用户登录的错误分开提醒如单独提
e语言-手机淘宝 淘宝联盟x-sign接口免费开放附调用演示
08-23
手机淘宝 淘宝联盟x-sign接口免费开放附调用演示 解压密码:www.sanye.cx
python爬虫js逆向易车-爬取车型的参数配置数据(x-sign
akkkk0的博客
10-23 1285
js逆向易车的x-sign等参数,实现爬取某车型的‘参数配置’数据
获取x-sign/x-mini-wua/x-sgext/x-umt
一十一的博客
05-23 2207
文章目录获取x-sign/x-mini-wua/x-sgext/x-umt获取应用上下文获取Mtop获取MtopConfig从MtopConfig获得sign对象创建参数并调用 获取x-sign/x-mini-wua/x-sgext/x-umt 获取应用上下文 APP里有个Globals类,有静态方法可以获取应用上下文 var Globals = Java.use('com.taobao.tao.Globals') var context = Globals.getApplication().getAp
taox-mini-wua、x-sign、x-sgext、x-umt
weixin_41259961的博客
07-26 4531
taoApp基本都离不开x-mini-wua、x-sign、x-sgext、x-umt这个四个参数。
淘宝x-sign、x-mini-wua、 x-sgext、 x-umt、 wua加密算法
qq1396513066的博客
02-05 4169
2. 找到与x-sign相关的逻辑,发现位于mgd类,这下边的类可以每个jadx加载出来不一样,其中mgd接口和mge,mgc都是都关的。4. 通过反射invoke调用,至于具体参数,可以hook此方法看到,下边也会提到。目标:实现http,参数可由自定义,此以为hongbao_id为例,请求结果返回。,通过hook我们关闭使用即可,走http,这样fd 小黄鸟抓包就能看到了。5. 注意,此a方法可能find 失败,可以再次查找,参数多一个,有6个。此次分享只是用于学习交流,请勿乱用。
淘宝x-sign签名算法
weixin_43891581的博客
10-02 3811
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Ma...
淘宝x-sign算法demo示例
m0_71316877的博客
06-16 1073
用xposed hook这个方法就可以拿到对应的签名,需要可以留言
Python某车文章的x-sign加密(加密初识)
weixin_41586984的博客
06-03 1568
爬虫遇到反爬那是必然的,反爬手段多种多样,今天开始我与大家一同学习这些反爬手段,以及这些手段该如何破解。此文先从某车的一个加密算法开始,慢慢揭开绚丽多彩的反爬与反反爬二者的碰撞现场。 某车链接:aHR0cDovL2Nhci5iaXRhdXRvLmNvbS9iYW9tYTd4aS93ZW56aGFuZy8= (先从链接开始,这个链接也是加了密的,是的它就是一个简单的base64的加密^_^) 它的文章是下拉加载出来的,很容易就知道是ajax,我们找到对应的接口然后进行分析。 ...
互联网视频电商APP项目商业计划书:市场分析与战略部署
互联网电商平台APP项目商业实施计划书详细地探讨了在当前数字化时代背景下,利用手机APP打造视频购物平台的商业策略和执行计划。该计划书首先从项目概况入手,明确了项目名为“手机APP视频购物”,旨在利用移动设备...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值