钉钉DingTalk本地网页资源加密算法

钉钉DingTalk本地网页资源解密

关于web_content.pak

钉钉目录下的web_content.pak,是其使用zip打包的资源文件,但是有密码保护。我们看看怎么得到密码。

调试钉钉找出解密key

ollydbg拉起DingTalk.exe后,
方法一、在CreateFileW下断点,F9运行多次后,当出现web_content.pak时,向上回溯搜索字符串 web_content.pak 的引用,可以找到相关代码
方法二、待模块MainFrame.dll加载后,在内存窗口模块MainFrame.dll中Ctrl+B查找 web_content.pak,找到后记录下字符串地址,然后到CPU窗口查找地址常量即可快速定位到相关代码。

6371973C    6A 09           push 0x9
6371973E    6A 03           push 0x3
63719740    8D4424 4C       lea eax,dword ptr ss:[esp+0x4C]
63719744    50              push eax
63719745    8D8C24 98000000 lea ecx,dword ptr ss:[esp+0x98]
6371974C    E8 EFE88AFE     call MainFram.61FC8040                   ; get_key

这里密码key长度是9,具体算法是 md5(version)[2:12],其中version可以从DingTask.exe的属性中拼接而来,形如 6.3.5-Release.10208701

计算脚本如下:

import sys
import hashlib

if __name__ == '__main__':
    if len(sys.argv) == 2:    
        args = sys.argv[1:]
        version = args[0]  # b'6.3.5-Release.10208701'
        md5 = hashlib.md5()
        md5.update(version.encode('utf-8'))
        ver_hash = md5.hexdigest()
        print(ver_hash[2:12])

例如版本 md5(‘6.3.5-Release.10208701’) = 67853fa9266ede2b1a7f98639addb550, 那么密码即为 53fa9266e

得到密码了,直接以zip格式解压就可以为所欲为咯…

  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值