app逆向实战强化篇——破解某安卓APP请求加密参数

最新推荐文章于 2023-03-14 12:10:55 发布
最新推荐文章于 2023-03-14 12:10:55 发布
阅读量2.2k 收藏 12
点赞数

导语

你千万别跟任何人谈任何事情。你只要一谈起,就会想念起每一个人来,我只知道我很想念我所谈到的每一个人。

          ——J·D·塞林格《麦田里的守望者》

写在前面的话

今天分享另一个app逆向的实战
如果觉得对你有用,还请关注下公众号,后续会有更多的实战教学篇,以免错过噢!
话不多说,进入正题,开搞

抓包

国际惯例,先用 fiddler 抓包

分析请求参数,可以看到,手机号码以及密码都是加密的

请求

响应

app反编译

使用 jadx 直接打开 apk 文件

jadx

对抓包和反编译不熟悉的朋友,还请查看以前的文章,里面有详细的介绍!

参数搜索

点击菜单栏上面那个放大镜的图标,然后✔代码选项,根据抓包的请求参数,去搜索加密的源码

搜索界面

有时候某个参数搜索出来的结果很多,

我们可以换其他参数去搜索,或者给参数加上双引号来搜索,这样可以减少干扰项

下面是我搜索出来的加密源码

加密源码
加密源码

破解

根据源码中参数的加密方式,使用 python 代码来生成。

可以看到是 RSA/ECB/PKCS1Padding 加密,密匙使用了base64加密

然后再将 RSA 加密的结果再进行base64加密

在python中可以使用 pycryptodome 模块来实现 AES加密

有些源码看不懂没关系,多尝试,多查下 java 的用法,还有就是多问!

验证

登录验证

抓包的响应

上面是使用 Python 代码模拟登录结果和 fiddler 抓包的响应结果

从两者的结果比较中我们可以看到:

code 都是为 0,登录后的 token_onlie 的结果是一致

说明登录成功了,加密参数也破解了!

看完本文有收获?请转发分享给更多的人
关注[Python编程与实战],学习更多实战技能

Facebook的广告也许正在窃听你的对话

python数据可视化神器--pyecharts 快速入门

【视频教程】011.__init__和__new__的使用

当 Python 中混进一只薛定谔的猫……

LeetCode - 001

和张哥的那些天,互联网人的潜规则

那些年错过的并发知识!

超强汇总:学习Python列表,只需这篇文章就够了

记一次群聊吃瓜引发的JS破解教程

爬虫之线程池 ThreadPoolExecutor 的用法及实战

▼立即加星标,每天看好文▼

1

2

极客学习空间

新媒体人都在关注

喜欢,就为我标星

我今天才知道,我之所以漂泊就是在向你靠近。

--《廊桥遗梦》

aaz913648653
关注
  • 0
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
App 请求校验/加密方式总结
weixin_34295316的博客
11-01 1316
为什么80%的码农都做不了架构师?>>> ...
APP参数Encrypt逆向
qq_45151381的博客
05-06 461
抓个包看看, 提交参数加密了,Encrypt。上jadx,看看。 一般都是搜索参数名,Encrypt,或"Encrypt"。 DesMap,可能是DES加密。跟入进去。 这有个KEY,IV,应该大差不差了。 继续跟。 用frida hook一下这个encodeDesMap,看看。 import frida import sys jscode = """ Java.perform(function () { var SwitchConfig = Java.use...
app请求参数和响应进行rsa加密和解密
weixin_43472847的博客
08-19 1490
先上功能实现流程图吧: 参考: 链接: https://www.cnblogs.com/throwable/p/9471938.html. 链接: https://www.cnblogs.com/whcghost/p/5657594.html. 链接: https://blog.csdn.net/charry0110/article/details/109495035. 链接: https://www.cnblogs.com/elaron/archive/2013/04/09/3010375.html.
请求的解密和解密
qq_42306426的博客
03-14 315
http请求加密解密
逆向系列 | AES逆向加密案例分析
weixin_42577686的博客
12-28 3390
AES加密详解 简介:全称高级加密标准(英文名称:Advanced Encryption Standard),在密码学中又称 Rijndael 加密法,由美国国家标准与技术研究院 (NIST)于 2001 年发布,并在 2002 年成为有效的标准,是美国联邦政府采用的一种区块加密标准。这个标准用来替代原先的 DES,已经被多方分析且广为全世界所使用,它本身只有一个密钥,即用来实现加密,也用于解密。 mode支持 CBC,CFB,CTR,CTRGladman,ECB,OFB 等。 padding支持 Zero
suning易购商城app api_sign参数逆向解析 最新现可用_x_req_block_加密 解密sign等参数
06-08
本文将深入探讨"苏宁易购商城App API签名校验机制的逆向解析"这一主题,涉及的知识点包括API协议、app逆向、JS逆向、安全策略以及Node.js解密。 首先,API(Application Programming Interface)是软件之间交互的...
最新X货APP逆向教程
06-01
【X货APP逆向教程详解】 在移动应用开发和安全分析领域,逆向工程是一种重要的技术,用于理解软件的工作原理,查找潜在的安全漏洞或优化性能。这教程关注的是对"X货APP"的逆向分析,该应用的版本为v7.20.1。逆向...
干货!一文了解安卓APP逆向分析与保护机制
01-27
安卓APP逆向分析与保护机制是移动应用开发中至关重要的一环,因为Java代码的可读性和可反编译性,使得应用的安全性面临严峻挑战。本文主要探讨了三种主要的保护策略:混淆代码、整体Dex加固以及拆分Dex加固。 1. ...
app逆向学习相关笔记
12-13
app逆向学习相关笔记】 在移动应用开发和安全领域,app逆向工程是一个重要的实践环节,它涉及对已安装应用程序的分析,以理解其工作原理、查找潜在漏洞或提取敏感信息。本笔记主要介绍了使用adb命令进行app逆向...
android安卓app开发之 隐藏app的图标.zip控制图标显示和隐藏
01-12
5. **防止破解和盗版**:`APP通过使用爱加密,可以杜绝破解和盗版,防止反编译和二次打包.url`强调了防止破解和盗版的重要性。除了技术手段外,开发者还应关注版权法律,对应用进行合法授权和版权保护。 综上所述,...
app请求数据解密(AES)二.pdf
08-29
文章主要介绍burp解密http请求数据插件的编写。根据上文章分析得到的AES加解密算法,我们要编写一个AES解密插件,将指定host的请求数据解密,并在新建的消息编辑器中显示。
58同城App接口数据电话解密(个人研究学习用)
11-28
58同城App接口数据电话解密,控制台程序,AES,个人学习研究用
某款app请求数据解密过程
热门推荐
u012400139的专栏
08-17 1万+
有一款app需要分析其中请求数据的加密方法:   Fiddler设代理之后点击手机上的查询按钮开始抓包,看到只发送一个请求: POST http://211.139.145.137/businessHsh/hshShop/account/accountOpen/getNumberList.jsps HTTP/1.1 Accept: application/json Accept-Enco...
App端安全性加密策略
wybaby168的博客
02-01 1880
一种签名+验签的设计方案,供大家参考
逆向技巧-快速定位App请求协议加密解密位置的方法
01-11 4863
App逆向破解或者渗透测试过程中,经常会遇到网络请求协议被加密的情况,这个时候如果不对请求协议封包进行解密,找到其加密解密方法,就无法再进行下一步的操作。
请求响应数据进行加密解密传输
qq_44027353的博客
01-11 7125
文章目录项目需求背景加密方式具体代码 项目需求背景 本项目本来是围绕app相关的开发,接口都已经开发完了,在之后的需求提出来要在微信公众号也整一套,需要对微信这边的请求响应的数据进行加密解密,还需要满足app这边的请求响应不动。 加密方式 和前端进行商量后,决定使用RSA+AES两种加密算法,因为AES对称加密的效率要比RSA效率高很多,实现的步骤是: 后端先生成RSA加密算法的公钥和私钥,私钥自己保存,存入redis中,然后将存入redis中的随机生成字符串的key和公钥给前端 前端生成ARS密钥 前端
安卓逆向小案例——阿里系某电影票务APP加密参数还原-Unidbg
weixin_44084602的博客
09-18 4505
使用unidbg调用sgmain.so,还原x-sign等加密参数
APP数据加密解密
weixin_30597269的博客
04-23 271
拦截器中进行加密解密之后存在threadLocal 现成局部变量中,然后早controller中获取固定参数 转载于:https://www.cnblogs.com/sj521/p/6751810.html
C#中对Web.Config、App.Config字符串加密与解密的方法
banggujuan3308的博客
08-10 465
我们平常的项目里面的配置文件通常都是明文形式的存在,现在就是为了项目安全性增强,同时又显得高逼格点, 我们可以采用加密的方式,而我们C#很强大,因为他内置的一些指令方式,很方便而且使用起来还不用解密,有木有 觉得很高级?废话不多说,直接上操作 1.正常来说我们的配置文件是这样的: 2.加密完成之后是这样的: 有木有觉得很神奇,加密之后那一串看着还像是一串加密串...
app接口请求加密怎么分析
最新发布
01-21
App接口请求通常会经过加密处理,以保障数据传输的安全性。要分析app接口请求加密,首先需要了解加密算法和加密参数的构成。 首先,我们需使用抓包工具如Charles或Fiddler,监控app的网络请求。然后,我们需要分析抓包到的数据,查看请求参数和返回的数据。通过这些我们可以尝试分析加密的算法和加密参数。 接下来,我们可以使用反编译工具分析app的代码,查找加密部分的逻辑。通过分析代码,我们可以了解具体的加密方法、密钥和初始化向量等信息。 此外,我们可以使用模拟器或者真机进行调试,通过断点调试的方式来观察加密和解密的过程。这样我们可以更清晰地了解加密的具体步骤和参数。 最后,如果以上方法都无法取得有效的分析结果,我们还可以尝试使用逆向工程的方法来分析app加密机制。逆向工程可以帮助我们分析出加密算法和参数,以及可能存在的漏洞或弱点。 综上所述,要分析app接口请求加密,我们需要利用抓包工具、反编译工具、调试工具和逆向工程等多种手段,以便更全面地了解加密算法和参数的构成。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值