android app beike 头部签名 authorization 逆向

最新推荐文章于 2024-04-05 11:16:57 发布
最新推荐文章于 2024-04-05 11:16:57 发布
阅读量810 收藏 10
点赞数 11
文章标签: android python 网络爬虫
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_75268677/article/details/135275535
版权

1.  jadx-gui 反编译apk,搜索关键词 "authorization"

2. 进入函数,signstr 的值由上一个函数生成的,继续跟进去

3. 定位到加密的位置

4. 分析加密算法

4.1. 分析httpAppSecret 的值

objaction hook com.bk.base.router.ModuleRouterApi$MainRouterApi.getHttpAppSecret 这个方法,得到httpAppSecret 的值是"d5e343d453aecca8b14b2dc687c381ca",多次调试发现是个固定值

4.2. 分析HttpAppId 的值

hook com.bk.base.router.ModuleRouterApi$MainRouterApi.getHttpAppId 得到 HttpAppId的值为"20180111_android", 多次调试发现是个固定值

4.3.分析 sha1ToString的值

hook com.bk.base.util.bk.DeviceUtil.SHA1ToString方法 得知入参是上面的httpAppSecret 拼接接口参数进行sha1 加密的。

4.4. 最后 encodeToString 是 HttpAppId +":" + sha1ToString1 进行base64 加密得到

江户川新一基
关注
  • 11
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
pythonapp逆向破解headers中的Authorization 身份验证 AES
12-03 1158
下载好app 贝壳 2018-5-2 版本 1.还是先抓包 注册入口 2.用jadx-gui打开 直接用jadx-gui打开,因为没有加壳 并搜索关键字Authorization 点击右键 查找用例 3.开始Hook 从以下可以看出: 由 Appid + COLON_SEPARATOR + c 组成的,最后 Base64 所以从第一个入参开始跟踪 String encodeToString = ...
Android实现使用微信登录第三方APP的方法
09-01
注册完成后,你需要下载Android SDK和签名查看工具,这些工具可以帮助你获取到APP签名,这是微信认证你的应用所必需的。 接下来,你需要获取到APP签名并将它填写到微信开放平台的相应位置。签名是验证应用身份...
某租房app分析
热门推荐
我没有生来天赋异人,面对人潮人海只剩勤奋。
07-12 19万+
最新实战逆向新版贝壳加密算法 抓包 从豌豆荚下载最新版的贝壳app:2.59.9 通过上图发现Authorization就是加密字段 jadx分析 jadx打开app分析过程,在AndroidManifest.xml中可以看到包名:com.lianjia.beike 搜索关键词:Authorization 分析过程耗时较长 略过,定位到该函数 接下来就是frida hook函数 已还原python版 已还原Python版。 欢迎评论私信交流 ...
js逆向实战-贝壳逆向登录
风中的指引的博客
12-04 1889
贝壳登录密码加密逆向
唯品会app请求头参数authorization逆向分析与算法还原
weixin_43002198的博客
05-22 2423
请求头参数authorization逆向分析与算法还原
安卓腾xQ协议逆向-TLV544定位 (二)
weixin_44320760的博客
07-31 3111
为了方便后面使用xposed和unidbg调用,我们来先分析一下tlv544是如何在java层与so层是怎么定位到关键代码的。
JS逆向 | 推特x-guest-token
weixin_43733912的博客
08-12 581
这里拿作者信息接口为例,首先访问activate接口申请一个guest_token,然后就可以访问嘞。
【JS 逆向百例】浏览器插件 Hook 实战,亚航加密参数分析
K哥爬虫
10-14 2919
关注微信公众号:K哥爬虫,QQ交流群:808574309,持续分享爬虫进阶、JS/安卓逆向等技术干货! 声明 本文章中所有内容仅供学习交流,抓包内容、敏感网址、数据接口均已做脱敏处理,严禁用于商业用途和非法用途,否则由此产生的一切后果均与作者无关,若有侵权,请联系我立即删除! 逆向目标 目标:亚航 airasia 航班状态查询,请求头 Authorization 参数 主页:aHR0cHM6Ly93d3cuYWlyYXNpYS5jb20vZmxpZ2h0c3RhdHVzLw== 接口:aHR0cHM..
美篇appAuthorization算法和发送例子
最新发布
06-25
美篇appAuthorization算法和发送例子
example-payment-authorization-app
05-08
要在您的商店中实现此功能,您需要开发自己的Payment应用,但是请放心! 该存储库为此提供了必要的结构,下面的逐步指南将指导您。 一步步 :information: 请记住,在这一步中,您将使用开发平台。...
Android应用源码之第三方登录(QQ空间+新浪微博)-IT计算机-毕业设计.zip
04-06
这篇文档将深入解析《Android应用源码之第三方登录(QQ空间+新浪微博)》这个项目,旨在帮助学习者理解和掌握在Android应用中实现第三方登录(QQ空间和新浪微博)的关键技术。这个源码Demo是针对计算机科学与技术专业...
test_mobile_app_android
03-09
test_authorization.py 创建测试“授权失败”。 结果:授权已提交,失败通知。 创建测试“正确授权”。 结果:授权已通过。 创建测试“通过滑动打开左侧菜单”。结果:打开的菜单。 test_turn_off_notification...
uni-app 请求拦截器
11-11
【uni-app请求拦截器】是基于uni-app框架实现的一种机制,它允许开发者在发送网络请求前和接收到响应后执行自定义的操作。这种机制对于统一处理请求头、数据格式、错误处理以及添加全局的请求前后的逻辑非常有用,极...
Authorization-Workshop
05-01
授权车间 基于Asp.Net Core团队( )的出色研讨会的Asp.Net Core授权示例 添加集成测试,以简单快速的方式验证和审查Asp.Net Core授权子系统提供的不同方案 您可以在.Net Core中看到有关授权的录制的演讲,该演讲...
Android代码-Fwknop2
08-06
fwknop2 - Android Single Packet Authorization Client Introduction This repository contains the Fwknop2 client for using Single Packet Authorization from Android phones. Here are a few screenshots to ...
关于某壳找房webpack+RSA的js逆向
Python_DJ的博客
06-24 1960
第一步:切换登陆方式 第二步:查看抓包情况 第三步:模拟登陆后抓包 查看发包参数,本次主要处理password这个参数 l是对字符串处理的方法 可以看出先对原密码进行了加密,然后用l方法对密码又进行了处理 将代码添加到浏览器的Overrides,方便改写调试 第四步:改写js并进行分析 定义一个全局变量,把加载器赋值到全局变量,查看该变量 控制台打印输出,可以看出导出了59个方法 加密位置 所有代码: js太多,放图片代替 最后一步:模拟请求......
app逆向分析案例-95分
weixin_41763171的博客
02-12 1718
先把justtrusmeplus打开设置好95分,开始抓包,得到结果为: https://www.95fenapp.com/api_goods/list/v3.0?is_all=1&keywords=%E7%A7%91%E6%AF%94& page=1&page_size=20 &publish_timestamp=0 &scene=2&scene_type=95fen_android_search_personal&sn=SearchList
逆向案例十三(1)——贝壳网登录密码逆向
m0_57265868的博客
04-05 618
如果断点在异步栈,发现请求对象即为(t)加密已经生成,那么加密并非这个地方生成,如t中password已经加密了。发现password是加密过后的,dataId是不变的 ,loginTicketId应该是登陆方式的选择,dataid是怎么来的,我们可以搜索内容,看是不是别的包返回的。现在确定password需要加密,进行断点调试,由于返回的是XHR数据,因此进行XHR断点调试(比直接跟栈好一点) ,复制数据包后面的链接,进行下图操作,然后点击登录。在该位置打上断点,释放断点,取消其他断点,重新点击登录。
【安卓逆向】某房产app Authorization参数分析
菜鸡小白的成长记录
12-21 2080
嗯,2021年快结束了,学习忙碌一年了,年底了写点文章,总结性学习成果吧! 今天我们要分析的app贝壳 版本号:v2.66.0,小伙伴们可以去各大应用商定自行下载,也是一个很好的逆向分析案例。 参考链接:https://core.vivcms.com/2021/10/25/637.html 1.抓包找参数 第一步,打开我们的charles直接抓包,发现这个时候没有抓到对应的包。好吧,那我们换一种vpn抓包的方式。先打开postern,然后再开启charles,这个时候就成功的抓到数据包了,如下图所示,
Android app开发如何进行post
07-15
Android应用程序中进行POST请求,您可以使用以下步骤: 1. 添加网络权限:确保在应用程序的AndroidManifest.xml文件中添加了网络权限。在`<manifest>`标签内添加以下代码: ```xml <uses-permission android:name="android.permission.INTERNET" /> ``` 2. 创建异步任务类:在您的Java类中创建一个继承自AsyncTask的内部类,用于在后台执行网络请求。例如: ```java private class PostTask extends AsyncTask<String, Void, String> { protected String doInBackground(String... urls) { String response = ""; try { URL url = new URL(urls[0]); HttpURLConnection conn = (HttpURLConnection) url.openConnection(); conn.setRequestMethod("POST"); // 设置请求参数 // conn.setRequestProperty("Content-Type", "application/json"); // conn.setRequestProperty("Authorization", "Bearer your_token"); conn.setDoOutput(true); // 构建请求体 String requestBody = "key1=value1&key2=value2"; // 发送请求 OutputStream outputStream = conn.getOutputStream(); outputStream.write(requestBody.getBytes()); outputStream.flush(); outputStream.close(); // 获取响应 int responseCode = conn.getResponseCode(); if (responseCode == HttpURLConnection.HTTP_OK) { BufferedReader in = new BufferedReader(new InputStreamReader(conn.getInputStream())); String inputLine; StringBuilder stringBuilder = new StringBuilder(); while ((inputLine = in.readLine()) != null) { stringBuilder.append(inputLine); } in.close(); response = stringBuilder.toString(); } } catch (Exception e) { e.printStackTrace(); } return response; } protected void onPostExecute(String result) { // 处理响应结果 } } ``` 3. 在需要发送POST请求的位置调用异步任务类: ```java PostTask postTask = new PostTask(); postTask.execute("your_post_url"); ``` 其中,"your_post_url"是您要发送POST请求的URL地址。 4. 处理响应结果:在异步任务类的`onPostExecute()`方法中处理从服务器返回的响应结果。 这是一个简单的示例,您可以根据具体的需求进行修改和扩展。另外,请根据您的实际情况设置请求头、请求体等参数。 希望对您有所帮助!如有任何问题,请随时提问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值