逆向 x品会 api_sign

最新推荐文章于 2024-10-06 12:58:38 发布
最新推荐文章于 2024-10-06 12:58:38 发布
阅读量435 收藏
点赞数
分类专栏: 逆向 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/l331258747/article/details/129147191
版权

逆向 x品会 api_sign

版本 7.88.6

帖子底部有参考说明

charles 抓包

目标字段 api_sign
在这里插入图片描述

api_sign

搜索关键字
在这里插入图片描述

跟进找到是api_sign >>> KeyInfo native gsNav 方法
private static native String gsNav(Context context, Map<String, String> map, String str, boolean z);
在这里插入图片描述
###########
在这里插入图片描述
################
在这里插入图片描述

导出 keyinfo.so 用ida分析

定位
在这里插入图片描述

算法 hash1

跟进 找到hash1算法
在这里插入图片描述

动态调试
具体几次sha1加密,有无加盐,拼接的字符串长啥样

用frida hook [Functions_gs > hookj_getByteHash] 方法

通过hook可知 俩次的头部都出现[aee4c425dbb2288b80c71347cc37d04b]这个固定字符串 可能是一段salt

  • 测试:
  1. 通过charles把map获取,通过UrlDecode转换一下
  2. 验证第一次sha1 将salt+拼接的字符串进行一次sha1
  3. 然后sha1结果拼接salt再进行一次sha1
    在这里插入图片描述

加解密在线工具 网站

加解密在线工具 网站

ida 代码翻译不全处理

  • 如图
    在这里插入图片描述
  1. 右键选择 hide casts
  2. File–>Load File–>Prase C Header File–>选择jni.h
  3. 点到 a1 右键 convert to struct * //转换到结构体指针 再选择 _JNIEnv
开始丶征途
关注
专栏目录
淘系x-sign api接口
shadowtalon的博客
10-14 538
手淘抓包、 x-sign的签名算法和api接口
热门推荐
qq_46381298的博客
03-01 1万+
第一次写博客,写得不好大家别见怪。因在一个技术群里,大家突然对某宝感兴趣起来,都特别好奇淘宝接口的签名算法,因此我就在这样的情况下跟着一起研究起来。我研究的步骤分为以下几步: 手淘抓包 一开始我试了很多种方式去抓包,比如kill sslping、借助xposed把ssl kill掉、安装https证书等,发现依然不能抓取到网络包。 最后我去反编译他的app,寻找他的网络协议。发现它的网络协议有个开...
手淘 x-sign的签名算法和api接口。带最新 x-mini-wua
专注API/SDK/小程序/公众号/APP开发定制和接口定制
10-23 5053
手淘版的x-sgin的算法接口,找了好久终于找到了,比m-sign签名算法好做些 更新时间:2019年8月10日,*大家都知道,有时候PC和WAP版的协议根本满足不了业务场景的需求,但是手淘可以满足,无奈的是手淘最大的难度就是X-sign,可以说是万事俱备只欠X-sign,正好因为公司安排给我的任务就是解决这个,前前后后花了差不多一个月时间,绞尽脑汁把X-sign的签名算法搞定,顺利的解决了各种外...
品会登录接口api_sign与edata分析
A_fanyifan的博客
04-02 1150
app 版本:7.83.3设备 pixel 2xl本文章中所有内容仅供学习交流使用,不用于其他任何目的侵权请联系我,马上删除。本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请联系作者立即删除!可以加我一起交流技术。
ios v品会 api-sign算法
A_fanyifan的博客
06-01 1079
虽然都是sha1算法 但是安卓端需要分析so层,相比 ios端直接frida_trace hook 。 本文也是比较简单,熟悉了解ios的hook就Hook到了,目的在体现出ios端相比安卓端更为简单,或许在某种情形下可以为我们安全工作人员提供更为另一种思路。 本文结束到此结束啦!
安卓逆向Xposed HOOK TB APP的x-sign参数
someby的博客
11-27 2208
最近学习安卓逆向,接触一下TB系的APP,了解大厂APP是做数据安全的,这篇文章主要介绍某宝APP的签名参数x-sign的HOOK过程,当然,其他的参数也是可以HOOK的。本文只用于学习交流,请勿他用。 包括获取deviceId、sid、uid、appKey、lat、lng、utdid、ttid、x-sign信息。 本文只用于学习交流,请勿他用。技术支持,扣扣:3165845957 商品ID:goods_ids.txt 商品详情:goods_detail.txt 商品详情信息: {"vid":
大事件项目api_server
weixin_50680057的博客
08-10 591
学习nodejs的课堂笔记
【易车网实例】x-sign逆向保姆级教程
Primice个人空间
08-15 2319
过程不算很难,但是很考验耐心和细节没有接受挑战,没有失败经验,怎进步向前?
百度翻译有加密和无加密api调用,加密sign逆向详细分析
2301_81238641的博客
06-23 1867
扣函数的方法我最开始用的是这种就是鼠标点击到函数开始的那个位置 { ,然后他下面会有一个下划线,然后与它对应的另一个 } 也有一个下滑线,这个的话就需要找了,有点费眼睛,而且代码很长的时候还非常的难找。然后我重新发了一个包发现并没有断住,然后说明这个位置不是,并没有运行到这里,这个是一个僵尸代码,然后我再往下面找,在第25个那里又找到了一个,再进行断点发包一下看看。然后我们去浏览器中找一下 r 的值是什么,然后就知道了它的值,再在第一行声明一下r 值。
suning易购商城app api_sign参数逆向解析 最新现可用_x_req_block_加密 解密sign等参数
06-08
总结来说,要逆向解析苏宁易购商城App的`api_sign`参数,我们需要深入了解JS逆向工程,包括理解加密和混淆机制,分析可能的加密函数,以及利用Node.js进行解密操作。通过对`dfp.js`、`bd.js`、`index.js`和`MyProxy....
x-api接口鉴权架构设计和实现【万字+深度】
FeelTouch Labs
09-16 1067
x-api鉴权API可以实现身份认证、流量控制等各个模块的校验,判断其请求的合法性等。
B站w_rid逆向
自成背后的博客
05-24 2365
B站w_rid参数逆向
网络安全 网络安全的主要领域 安全威胁 防护技术 安全策略 未来趋势
weixin_42462436的博客
10-03 1391
随着智能手机和平板电脑的广泛使用,移动设备的安全(如数据加密、设备丢失保护等)也成为重点。由国家级或高级黑客组织发起的持续性、高度隐蔽的网络攻击,通常以窃取敏感信息为目的。使用加密、访问控制、数据备份等手段来保护信息免受未经授权的访问、修改或删除。包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等技术的使用。保证操作系统和相关服务的安全,包括权限控制、补丁管理、系统日志监控等。利用全球收集的安全信息和分析工具,提前识别并防御潜在的威胁。关注对虚拟化平台、API安全、数据隔离和访问管理的控制。
前置机、跳板机、堡垒机:安全运维领域的“黄金三角”
拉格朗日的学习笔记
09-28 972
为了确保数据的安全性、提升系统的可靠性和性能,企业需要采用一系列先进的设备和系统来构建坚固的IT防御体系。其中,前置机、跳板机和堡垒机作为关键组件,各自在网络安全和运维管理中发挥着不可替代的作用。
英文论文安全的免费查重网站
最新发布
hallo128的博客
10-06 423
不过请注意,免费工具通常只能提供基础查重功能,对于学术论文的全面查重,付费工具(如Turnitin)会更加准确和可靠。特点: 提供简单易用的免费查重服务,支持英文文本查重。特点: 免费查重工具,可以通过粘贴文本或上传文件进行查重。特点: 集成了语法检查和查重功能,免费版查重不支持大篇幅的文档,可以用来初步检测论文的相似度。特点: 免费版允许每天进行一次查重(限1000字),可以通过复制粘贴或上传文件的方式来检测。安全性: 网站声明不会存储用户的文档,但出于安全考虑,建议在提交前进行适当处理。
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 1065
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
Chromium 使用安全 DNS功能源码分析c++
jangdong的专栏
09-29 719
const DohProviderEntry::List& DohProviderEntry::GetList() 函数里面按照此格式追加即可。三、至此数据来源分析完毕,如果想要用自己的dns只需要在。二、那么如何自定义安全dns功能呢?2、看c++代码对应的注册函数。不同版本内核的浏览器有所差异。1、先看前端部分代码调用。
以太网交换安全:端口安全
fanshizhiren的博客
09-29 1108
端口安全作为一种重要的网络安全技术手段,在保护网络免受未经授权访问和潜在安全威胁方面发挥着关键作用。
维普期刊检索接口逆向工程教程与rs_weipu_reverse使用
5. API和协议分析:了解应用程序接口(API)和网络通信协议是逆向工程的关键。这有助于理解和重现接口调用和网络通信的行为。 6. 调试技术:逆向工程过程中不可避免地需要用到调试技术,这包括断点调试、内存调试等。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值