SSL双向验证通杀_soulapp

最新推荐文章于 2024-03-19 15:12:35 发布
VIP文章 最新推荐文章于 2024-03-19 15:12:35 发布
阅读量1.8k 收藏 3
点赞数 3
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ggl1438/article/details/104021864
版权

SSL双向验证通杀_soul

最近网易云没啥好听的音乐,于是乎喵上了Soul这款软件上路人唱的歌曲

没有一个好的图床,所以各位看官老爷请移步公众号”编码天空“获得最佳体验

大概18年搞过一次双向验证,当时是为了完善工商爬虫。今日想写一篇文章记录一下通杀思路。

下载app

一般情况下直接怼新版本的app,特殊情况下(菜的时候)从"X豆荚"获取旧版本的app。

获取源码

查壳使用易开发;

脱壳使用fdex或者手动脱;

看源码就用jadx;

抓包找关键词,用Fiddler、特殊情况(那些各种检测代理的)配合模拟器+pc抓包使用。

找hook点就看关键词,这次关键词就是KeyStore(一般就是加载数字证书)和toCharArray(密码一般都会转char)

然后就搜索找进行http请求时,初始化ssl工厂初始化的地方,绝逼要加载证书。同时找找密码,用xposed去hook拿密码。

看到证书名字就是client,先别管后缀,解压apk搜索client,会看到证书文件。

找到证书后看密码,也就是谁转了char数组,看上面截图也就是SoulNetworkSDK.a(r2),hook拿到密码是XXXXX

最低0.47元/天 解锁文章
thorn5918
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
网络验证通杀
11-05
通杀通杀
绕过SSL双向校验抓取Soul App的数据包
Circle-C的博客
02-05 1万+
参考了这篇文章:Android抓包总结 - 先知社区https://xz.aliyun.com/t/6551#toc-10 毫无反编译经验的我,硬着头皮参考这篇文章抓到数据,记录一下抓包过程,全部是按照参考文章来的,这里我补充了一些细节以及自己遇到的坑。 软件: soul_v3.4.0.apk IDAPRO V6.8 https://pan.baidu.com/s/1hqYImNE...
fiddler模拟器抓包A SSLv3-compatible ClientHello handshake was found
最新发布
m0_60149877的博客
03-19 288
手机-》设置-》通用-》关于手机,滑动最下边,点击"证书信任设置",针对证书启用完全信任,打开对应证书。ios手机已安装证书,抓包依然不成功,解决方案。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 20万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞: TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
安卓应用层抓包通杀脚本r0capture
Codeoooo 博客
06-21 1637
仅限安卓平台,测试安卓7、8、9、10、11 可用;无视所有证书校验或绑定,不用考虑任何证书的事情;通杀TCP/IP四层模型中的应用层中的全部协议;通杀协议包括:Http,WebSocket,Ftp,Xmpp,Imap,Smtp,Protobuf等等、以及它们的SSL版本;通杀所有应用层框架,包括HttpUrlConnection、Okhttp1/3/4、Retrofit/Volley等等;无视加固,不管是整体壳还是二代壳或VMP,不用考虑加固的事情;
抓包对抗原理与案例
onejane
02-02 2131
案例:爱奇艺平时我们碰到的HTTP和HTTPS都在应用层,SOCKS在会话层,TCP和UDP在传输层,IP在网络层。HTTP未加密主要有这些不足通信使用明文(不加密),内容可能会被窃听不验证通信方的身份,因此有可能遭遇伪装 DNS劫持->GFW翻墙无法证明报文的完整性,所以有可能已遭篡改 运营商劫持->弹窗广告HTTP+加密+认证+完整性保护=HTTPS,是身披SSL的HTTP。
胖嘟嘟通杀器,通杀大部分网络验证
02-25
胖嘟嘟通杀通杀可可,易游,E盾,天盾等网络验证
腾 讯 滑块
m0_66450544的博客
09-07 4236
第二 第三部分 是一些环境值,其中dom事件检测的很严格,是我目前为止遇到的检测dom最严的,也许是我见的少了,尤其是对innerHTML getComputedStyle的检测,我刚开始看的时候也有点懵。腾讯邮箱的登录就两个加密,邮箱本身的,和一个腾讯系的滑块,之前搞的时候和防水墙还是一样的,现在和防水墙已经不同了,但是主要的加密还是tdc这个文件。第一部分是轨迹,但是这里的轨迹并不是滑块的滑动轨迹,而是在整个滑块背景区域内的轨迹,这个滑块现在不记录滑动轨迹了,只判断有没有滑到位置。
汇通网络验证全套源码
醉里博客202271.xyz
04-28 1044
下载链接:https://wwp.lanzoup.com/iEG8J0ttn24d。mysqli.php配置好这个文件,导入数据库就可以了。后台的登录页有点问题,我也懒得给你们搞了。给你们提醒一句,已经有汇通的通杀了。
android逆向攻防01-http抓包
liaomin416100569的专栏
03-17 1826
网络抓包,是Android应用逆向分析的重中之重,很多时候我们拿到一个APP,不知道从何入手分析,往往是从抓包开始,先弄清楚他与服务器通信的内容,如果一目了然,我们完全可以照搬,自行写一个程序来模拟,如果有一些加密字段和随机字段,也不用担心,我们可以从抓包中了解到一些关键的URL和session之类的信息,然后再反编译分析代码的时候,这些字符串可以帮助我们更快的定位关键代码所在之处。该内容仅供用于学习目的,请勿用于商业目的。
银河网络验证通杀器破解版
09-15
银河网络验证通杀器破解版
nginx配置ssl双向验证的方法
09-30
主要介绍了nginx配置ssl双向验证的方法,需要的朋友可以参考下
nginx双向认证配置proxy_ssl_verify_depth详解
01-08
当待验证的客户端证书是由intermediate-CA签发,而非有root-CA签发时,需要在proxy_ssl_trusted_certificate中配置intermediate-CA和root-CA组成的证书链文件 也就是说,直接尝试使用中级 CA 来验证客户端是无法通过...
ssl.rar_SSL 证书_ssl_ssl证书_证书生成
09-19
ssl通信的客户端代码,里面含有自己生成的证书文件
SSL.gz_ssl_ssl java_ssl证书
09-23
简单的SSL实现 包含证书的交换和文件的传输
Nginx+Tomcat配置SSL双向验证示例
03-18
本资源是一个 CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证配置示例。详细如何配置请参考博客《图文:CentOS 下对 Nginx + Tomcat 配置 SSL 实现服务器 / 客户端双向认证》,地址是:...
滑块验证通杀方案--python破解代码
qq_44749634的博客
07-14 5706
本代码理论上可以通杀市面上所有滑块
OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to github.com:443问题解决
ljj125896的博客
02-16 3万+
使用git提交代码到github时出现 OpenSSL SSL_connect: SSL_ERROR_SYSCALL in connection to github.com:443报错。 多次尝试之后发现是代理的问题,所以执行命令,禁用代理配置即可(因为我使用的是https请求,所以取消https代理即可): git --config --unset https.proxy 如果是http...
ssl双向认证_APP爬虫双向认证抓包的两种方法
06-07
SSL双向认证是一种安全机制,可以在客户端和服务器之间建立安全通信。在应用程序开发和爬虫抓包中,也可以使用SSL双向认证来加强安全性。以下是两种常见的方法: 1. 使用证书文件 在应用程序和爬虫中,可以使用...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值