ibox请求解密逆向研究

已于 2022-05-21 23:28:18 修改
阅读量2.5k 收藏 4
点赞数 3
分类专栏: Python 文章标签: python
于 2022-05-21 23:27:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26584917/article/details/124904910
版权

ibox请求解密逆向研究

最近在一个位陌生网友的强烈要求下,我开始了对ibox这个平台进行研究,大约花了4小时左右终于重现了加密,解密的全过程,现分享如下。

总结来说ibox技术分为两个阶段。

阶段一:普通网站阶段,简单来说就是后台能力有待提高的阶段,该阶段仅靠一个滑块验证码在做爬虫防御,是杯水车薪的。

阶段二:最近ibox做了一次升级,从源码层面防御了这些爬虫大佬,不过本次升级并不是不可解的,对于专业人士来说仍然是非常简单的。

请求流程如下:

在这里插入图片描述

发起请求

通过debug可以发现,请求经过两个过程:加密 -> 请求。

加密阶段,ibox使用了常用的算法进行加密,这里我们可以通过阅读其源码逻辑完成逆向。

收到请求

收到请求之后同样是经过了2层解码完成了请求转换,这一点呢虽然说比之前安全了,但是会影响渲染的耗时,毕竟有两次decode和encode。

x_use_c

这个就是很复杂了,是一个浏览器的指纹,我用py试了很久都不行,接下来准备用Node进行尝试。

总结

大概就是这样,就可以实现发包和解包,当然只解决这个是没办法解决,我们还需要解决x_use_c的问题,当然这个问题也很简单,目前也逆向得差不多了,有兴趣的可以留言交流(纯技术,不想玩nft)。

幻丶城
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 28
    评论
专栏目录
IBOX-开源
05-01
IBOX是X86桌面的“模块化”操作系统。 该操作系统的主要目标是:可移植性,稳定性,安全性和可定制性。
【NFT】ibox wtoken算法
qq_42857376的博客
05-09 7091
IBOX wtoken算法
《安卓逆向实战》4.IBOX-WToken frida脚本 过root和主动调用wtoken最新算法
qq_41155858的博客
06-19 818
IBOX-WToken frida脚本 过root和主动调用wtoken最新算法
ibox解析(包含wtoken、出入参加解密、极验等)
m0_71905746的博客
06-11 2659
通过抓包、安卓逆向、js逆向等方式进行,在此只做展示,部分源码不做分享1、通过转包获取到调用接口时需要的部分重要信息!2、解析wtoken(在此不做分析)wtoken作为防火墙盾的重要参数,是关键点,安卓逆向进行分析并成功破解,源码在此不作展示3、出入参加密参数由data和encryptKey组成,可以大概猜出data即为正常返回数据,encryptKey则为解密时必须的参数(密钥)逆向分析加解密由RSA/AES规则进行加解密,最后转换为自己Java代码 4、极验(js逆向)首先先会调用load接口....
ibox pc端数据爬取逆向总结
MuErHuoXu的博客
07-12 3836
本文总结了针对ibox平台的PC端数据爬取的思路及方式。虽然最终并没有达到目标,但是通过对这么严格的网站的爬取,也有不少收获,特此做篇总结,在此抛砖引玉。爬取的目标是‘市场’这个tab页下每张图片的具体信息(图1),刷新几次页面,在devtools页面能看许多Ajax请求(图2),针对每个请求的request、response数据观察,初步断定目标请求为,因为该请求的出入参均为乱码,极有可能为关键数据,否则不至于这么隐蔽。至于究竟是什么宝藏,接着分析。针对第一步的请求,观察该对应的调用链,即网络面板下的启动
【NFT科技】ibox wtoken加密
weixin_44251614的博客
06-03 1005
【NFT科技】ibox wtoken加密
逆向爬取实战分析:iBox数字交易平台PC端实战(源码开源)
weixin_51537457的博客
07-13 6179
逆向爬取实战分析:iBox数字交易平台PC端实战(源码开源)
ibox爬虫逆向分析
pyzzd的博客
01-24 752
到这里请求参数的生成逻辑基本理清了,然后就是扣代码。我是将所有代码扣下来然后通过导出函数来实现的,不然一个一个扣太麻烦了。加密点比较容易寻找,通过断点找到发起请求的地方,data为一个arraybuffer。i.key的值通过搜索可以知道是另一个接口返回的。AES_CBC加密方法比较难扣(对我而言,可能是技术问题)。L由aes得来,这里可以推出加密数据为N,x为key与iv。O中数据基本可以不变,但是有一个value决定了请求的页码。最近做了ibox的新品数据采集,这里来分享一下思路。
ibox数字藏品平台新手技巧攻略
05-05
ibox数字藏品平台新手技巧攻略
iBox-开源
07-05
iBox 是一款强大的 Android 信息管理工具,它为您提供一种安全可靠的方式来存储您的所有关键信息。 它可以是信用卡号、帐户、密码、营销计划、产品创意、会议记录等等。
java post代理ip模拟请求提交结合selenium 抢购ibox二级科技脚本
06-30
本代码只适合有java经验者使用,请先看readme.md 部分功能有 1.getip 请使用类似熊猫...2.由于iboxApi接口数据是加密的,使用selenium调用了网站里的js(window.de)解密方法 3.获取商品列表 4.通过机器人滑动验证(未完成)
IBox:Ibox 项目的快递注册页面
07-23
综上所述,"IBox: Ibox项目的快递注册页面"是一个涉及到HTML结构设计、表单创建、用户体验优化以及前后端交互的综合性任务。开发者需要掌握HTML、CSS、JavaScript等技术,并了解基本的Web开发流程,以实现一个功能...
ibox web端请求分析
qq_39707917的博客
09-28 1325
ibox请求体分析
【ibox app逆向之生成wtoken】
MuErHuoXu的博客
06-09 2645
要实现对这款app数据的爬取,有个关键的环节,就是实现wtoken这个加密参数的生成,,而wtoken这个参数是由阿里云的WAF的防护模块控制的,具体实现放在so层,安全系数很高。逆向的思路有2个,一是通过反汇编so层,进而破解其生成逻辑,难度系数很大;二是黑盒调用so层逻辑,不管其加密逻辑如何复杂,黑盒调用即可;本文介绍的是第2种方案,采用AndServer RPC的方式实现,具体来说就是自己开发个app,只实现ibox中wtoken的生成逻辑,将该app安装在真机上,并且对外提供生成wtoken的htt
沐阳从0到1零基础学习安卓逆向
qq_41155858的博客
10-06 2710
沐阳从0到1零基础学习安卓逆向
iBox系统源码分享,ibox的核心源码
V19828373753的博客
06-07 1676
使用merkle tree 设置merkle root iBox系统的核心源码开发导图 在元宇宙中,Ibox数字藏品也是一种数字资产的表现形式,也可以说它是现实资产的数字权益认证。随着元宇宙的建设需求变得越来越强烈,数字藏品作为链接现实世界和元宇宙世界的桥梁,自然也会起到更加重要的作用。因此,我们可以说,购买Ibox数字藏品,也是提前购买未来数字世界的权益。Ibox数字藏品并不仅仅是一部分人当作投机、套利的工具,购买数字藏品,其实背后还有不少的附加价值产生,比如一些平台的赋能,一些实体纪念物的投
ibox 返回数据加密
qq_39707917的博客
10-01 841
ibox 服务端返回数据解密
10.javaSE基础_JDBC编译程序(Driver+Statement+Connection+mysql数据库连接)
最新发布
m0_61086522的博客
07-02 1198
JDBC是的缩写。它是Sun的Javasoft公司制定的Java数据库连接技术,是一套标准接口java.sql包中提供了JDBC API,通过它连接到各种数据库系统,编写访问数据库的程序。JDBC API不能直接访问数据库,它依赖于数据库厂商提供的JDBC Driver(JDBC驱动程序)
xrun工具的help文件中,% xmsdfc ibox.sdf 的%是什么意思
06-13
在xrun工具的help文件中,%符号表示...具体来说,% xmsdfc ibox.sdf 表示在xrun中使用xmsdfc命令对ibox.sdf文件进行操作,其中xmsdfc是命令名称,ibox.sdf是命令的参数。xmsdfc命令的具体作用需要根据上下文进行理解。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 28
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值