记一次逆向某大学app寻找签名算法

已于 2023-08-09 15:44:01 修改
阅读量150 收藏 1
点赞数 1
分类专栏: APP安全 文章标签: java servlet jvm
于 2022-09-16 20:06:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51524329/article/details/126896914
版权

https://www.52pojie.cn/thread-1137911-1-1.html

起因

在测试app的过程中,经常遇到有签名校验的情况,比如修改某个数据包中的参数,会出现签名不通过:
1.png
这个时候就得去找找这个sign参数,看看能不能由我们自己生成,从而修改参数进行重放。不然没法儿继续测了。

寻找

开始

老规矩,先查壳:
3.png
无壳,直接上逆向工具,我这里用的是apkide:

入口

从哪里入手呢?这里我用夜神安装好目标app后,随便点了几下,找到一个相对比较简单的数据包:
2.png
只有一个time和sign参数。
根据url特征,在apkide中搜索GetVersionInfo,定位到相关函数:
5.png
这里我们可以看到getVersionInfoCommand()调用了Lcom/hzsun/utility/Command;->creator,然后我们去找这个creator(下面我直接反编译成java代码,方便一些):
6.png
阅读这段代码,我们可以知道这个函数就是生成请求的参数的,paramArrayOfString1数组为参数的key,arrayOfString数组为参数的value。
这里只通过一个getTime()生成了第一个参数的value:

 复制代码 隐藏代码
arrayOfString[0] = getTime();

然后紧接着调用

 复制代码 隐藏代码
generateReq(paramArrayOfString1, arrayOfString)

来得到paramArrayOfString1,也就是我们的返回值,因此我们需要的sign值应该在generateReq()中寻找:
7.png
很明显,我们发现了这个getSignString()函数,看名字也就知道是生成sign的,继续跟进这个函数:
8.png
到这里我们就已经找到sign的生成方式了。

整理

 复制代码 隐藏代码
creator()-->generateReq(paramArrayOfString1, paramArrayOfString2)-->getSignString(paramArrayOfString1, paramArrayOfString2)

一路跟进下来:
paramArrayOfString1是参数的key;paramArrayOfString2是参数的value,也就是arrayOfString;
然后我们看看具体的处理方法:

 复制代码 隐藏代码
String[] arrayOfString = new String[paramArrayOfString1.length - 1];
    for (int i = 0; i < paramArrayOfString1.length; i++)
    {
      if (i == 0) {
        arrayOfString[i] = paramArrayOfString1[i];
      }
      if (i > 1) {
        arrayOfString[(i - 1)] = paramArrayOfString1[i];
      }
    }

首先new一个新数组,比结果少一,为啥呢?因为要生成sign是根据其他的参数,所以少的这个一,就是sign。
然后:

 复制代码 隐藏代码
StringBuilder localStringBuilder = new StringBuilder();
    int j = paramArrayOfString1.length;
    for (i = 0; i < j; i++)
    {
      Object localObject = paramArrayOfString1[i];
      for (int k = 0; k < paramArrayOfString1.length; k++) {
        if (((String)localObject).equals(arrayOfString[k]))
        {
          localObject = new StringBuilder();
          ((StringBuilder)localObject).append(paramArrayOfString2[k]);
          ((StringBuilder)localObject).append("|");
          localStringBuilder.append(((StringBuilder)localObject).toString());
          break;
        }
      }
    }

咋一看很复杂,其实仔细看,还是很有条理的。循环自然是读取参数的key-value,然后进行拼接,每一对中间用"|"来隔开。
看这个if:

 复制代码 隐藏代码
if (((String)localObject).equals(arrayOfString[k]))

比较的是啥呢?就是为了找出key对应的value。
循环拼接完然后再拼接一串:

 复制代码 隐藏代码
localStringBuilder.append("ok15we1@oid8x5afd@");

最后调用:

 复制代码 隐藏代码
Encrypt.Md5Encrypt(localStringBuilder.toString());

来得到sign,这个md5加密还是开发者自己写的。。。
继续跟进这个Md5Encrypt()函数:
9.png
这个不用看了,为啥呢?没必要,直接扒出来用就行了,哈哈哈。

结论

通过这一系列的跟进、读代码、整理,我们得到了这个sign的生成算法:
读取每个参数的value值,进行拼接,用"|"进行分隔,最后加上"ok15we1@oid8x5afd@",然后用开发者自己写的md5加密算法进行加密得到sign。
举个例子:
10.png
这里的参数是Time=20200322133104,
拼接出来:

20200322133104|ok15we1@oid8x5afd@

把加密算法扒出来用(直接copy的,忽略一下缩进):

 复制代码 隐藏代码

import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.spec.AlgorithmParameterSpec;
import java.security.spec.KeySpec;
import javax.crypto.Cipher;
import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.DESedeKeySpec;
import javax.crypto.spec.IvParameterSpec;
import java.io.UnsupportedEncodingException;
import java.net.URLEncoder;
import java.util.Arrays;
import java.util.Calendar;
import java.util.Locale;

public class test {
    public static String getHexString(byte[] paramArrayOfByte)
  {
    StringBuilder localStringBuilder = new StringBuilder();
    int i = paramArrayOfByte.length;
    for (int j = 0; j < i; j++)
    {
      String str = Integer.toHexString(paramArrayOfByte[j] & 0xFF);
      if (str.length() == 1) {
        localStringBuilder.append(‘0’);
      }
      localStringBuilder.append(str);
    }
    return localStringBuilder.toString();
  }
    public static String Md5Encrypt(String paramString)
  {
    try
    {
      MessageDigest localMessageDigest = MessageDigest.getInstance(“MD5”);
      localMessageDigest.update(paramString.getBytes());
      paramString = getHexString(localMessageDigest.digest());
      return paramString;
    }
    catch (NoSuchAlgorithmException paramString1)
    {
      paramString1.printStackTrace();
    }
    return “”;
  }

    public static void main(String[] args) {
        String test = “20200322133104|ok15we1@oid8x5afd@”;

        System.out.println(Md5Encrypt(test));
    }
}

编译运行:
11.png
跟上面的burp比较一下,验证了我们的结果是对的

后面我验证了一下,其实就是一般的md5 32位加密方式:
12.png
是我多虑了。。。
至于多个参数,前面有个排序:

 复制代码 隐藏代码
Arrays.sort(paramArrayOfString1);

不赘诉了。
这个搞明白了,后续改包测试也就能进行了。
app就不放了,能改签名之后漏洞太多。。。

红云谈安全
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
某影视APP算法逆向分析
weixin_41489908的博客
09-10 748
一、抓取数据包 1、请求头有%加十六进制,说以是url编码,先解密一下 GET http://m.mapps.m1905.cn/User/sendVer?request=jYgPer7AuEqdM+DYqs/AbNb35UrMvjLwt4+f0p3RHXc= HTTP/1.1 2、需要的数值是requests的组成、pid(常量值)、key、did(设备编号) GET http://m.mapps.m1905.cn/User/sendVer?request=jYgPer7AuEqdM
APP逆向算法学习与分析
soilder76的博客
07-29 399
前言 第一次来到CSDN写文章,有不对的地方欢迎大家批评指正 提示:此文章仅供学习使用,切勿用于非法用途,产生的其他责任与本人无关 一、首先利用Charles对APP登录动作进行抓包 有关Charles的使用与原理不在此赘述,可以自行搜索查阅相关文章。抓到的数据包如下所示: {"Encrypt":"NIszaqFPos1vd0pFqKlB42Np5itPxaNH\/\/FDsRnlBfgL4lcVxjXii02ggCULFNaeKJcVfQ4ZwO+z\njx3xNK\/ZxWPffP5uqGkOPedV
对好搜小说app哈希算法一次逆向
darmao的博客
03-22 1261
我用的好搜小说版本是1.8.183,需要测试的请自行下载 点击一个小说,抓包之,在androidKill中搜索关键字encode_sign   打开关键字所在的类; 进去查看,在静态代码块加载了个动态链接库,核心的加密算法写在了native层 上IDA,进行动态调试,将断点下在urlEncodeFromJNI这个方法处: 然后手机上点击一部小说,运行到s
App 爬虫逆向必知!盘点 App 逆向中常见的加密算法
静觅
07-01 2648
这是「进击的Coder」的第 652篇技术分享作者:Python 进阶者来源:Python 爬虫与数据挖掘“ 阅读本文大概需要13 分钟。 ”PS:本教程只用于学习探讨,不允许任何人使用技术进行违法操作,阅读教程即表示同意为什么要学习加密算法在搞逆向进行抓包的时候,可以经常发现一些莫名其妙的字符串,可能是81dc9bdb52d04dc20036dbd8313ed055...
【安卓逆向】某xx冰城app-sha256withrsa分析
最新发布
菜鸡小白的成长记录
03-31 825
现在的天气是真的越来越暖和,太容易口渴了,索性拿出裤兜的几块钱买杯凉饮喝喝吧!那不说来就来了。今天分析的app是,安装包百度一下即可。
京东 APP 的 sign 算法以及请求库
10-24
京东APP签名算法是保护其服务安全的重要措施之一,防止数据被篡改和非法访问。本文将深入探讨京东APP签名算法以及相关的请求库。 签名算法的核心作用是确保数据的完整性和来源的可靠性。在京东APP中,签名通常...
一种基于逆向匹配算法的中文文本分类技术
02-22
针对中文文本的自动分类问题,提出了一种逆向匹配算法。该算法的基本思路是构造一个带权值的分类主题词表,然后用词表中的关键词在待分类的文档中进行逆向匹配,并统计匹配成功的权值和,以权值和最大者作为分类结果。本...
android反编译二次打包签名工具android逆向工具集
07-14
本工具包可以做到含如下几个:APK文件反编译查看AndroidManifest.xml等资源文件,项目源文件(.smali文件可修改),逆向助手可查看java源码(不能修改),二次打包生成apk,二次签名生成可安装的apk文件。另附步骤...
论文研究-一种基于非递归的序列图逆向生成算法 .pdf
08-19
逆向工程领域中,序列图逆向生成是一种关键的技术,它能够帮助用户理解和分析软件系统的动态特征。序列图是一种UML(统一建模语言)图,它描述了对象之间在时间顺序上的交互过程。在逆向工程中,自动生成序列图是...
AES算法逆向分析.docx
05-14
AES算法逆向分析,AES的全称是Advanced Encryption Standard,意思是高级加密标准。AES出现主要是为了替代DES加密算法,DES算法的密钥长度是56Bit,算法的理论安全强度是2的56次方。但在二十世纪中后期,计算机飞速...
某软件商店app抓包分析与sign加密算法实现
吴秋霖的博客
11-25 4504
手把手教你抓包分析某软件商店
反编译APK分析APP的加密算法
Bpazy的博客
09-21 1万+
最近在研究微爱这款应用的请求时,发现每一条请求都携带了sig这个参数,并且sig随着每一次登录都会变化,不同的行为触发的HTTP请求所携带的sig也都不相同。图片中的sig是经过URLEecode的,我把他Decode一下得到gO5EnwNaGxqEWk/uyGWQn6+sktk=。这显然就是一个经过了Base64编码的字符串,但在对该字符串Base64解码的时候发现结果是乱码,这说明该串是被加密的
Android APK反编译就这么简单 详解(附图)
2401_83412172的博客
03-27 2909
今天关于面试的分享就到这里,还是那句话,有些东西你不仅要懂,而且要能够很好地表达出来,能够让面试官认可你的理解,例如Handler机制,这个是面试必问之题。有些晦涩的点,或许它只活在面试当中,实际工作当中你压根不会用到它,但是你要知道它是什么东西。最后在这里小编分享一份自己收录整理上述技术体系图相关的几十套腾讯、头条、阿里、美团等公司2021年的面试题,把技术点整理成了视频和PDF(实际上比预期多花了不少精力),包含知识脉络 + 诸多细节,由于篇幅有限,这里以图片的形式给大家展示一部分。还有。
Android Apk反编译这里一站解决
qq_33488580的博客
09-09 2140
dex2jar classes.dex -> .\classes-dex2jar.jar Detail Error Information in File .\classes-error.zip // Byte code:
如何查看APK的MD5签名及无法显示MD5签名的解决办法
浅墨的博客
09-08 3993
之前的文章内已经介绍了不少的关于Android环境下出Apk 包遇到的各种填坑操作,以及一些设置小技巧,但坑是未知的,今天又踩一个坑,这次的问题是和电脑环境有关的。于是下面录一下。
手把手教你从Apk中取出算法
fenfei331的博客
03-25 1282
一、目标 李老板: 奋飞呀,我最近从Apk里面跟踪到一个算法,代码清晰,但是我不会java,把他翻译成python貌似挺费劲的,有没有轻松省力的方法呀? 奋飞: 有的呀,给我加工资,我来翻译。 某电商App v10.4.5, 升级之后老有小伙伴说他的sign算法变了,其实他就是做了点小动作。sign参数没有动,uuid是明文去做签名,但是抓包请求里面不到明文uuid,而是藏在ep参数里面,做了一次加密。 今天我们就来手把手教大家扣出这个加密算法java老艺术家就不用往下看了,你们都会。 二、步骤 编
Android反编译apk逆向分析
热门推荐
冷冷清清里风风火火是我
10-27 2万+
Android反编译apk反编译逆向软件下载地址apkTool报错 : Error: Unable to access jarfile \xx\apktool.jar 确保命令中的路径正确,最好无中文和空格 确保文件中夹中包含apktool.jar (即使是apktool2.0.jar也要改成apktool.jar) Input file was not found or was not re...
反编译apk文件查看源码,反编译apk获取资源
yeluofengchui的博客
03-07 1万+
之前做过反编译apk文件的,原本想的就是应该做下总结的,后来。。。不知道后来发生了什么,一定不是因为我懒了。总之,今天领导让我研究下一个口碑比较好的app,看下它某个功能怎么实现的,用的什么技术,又扒拉了半天才好工具去查看,就觉得还是有必要做个总结的。废话少说,下面开始:        此次主要用到了三个工具,dex2jar,JD-GUI,apktool,其实还有一个windows下的批处理工具...
某查查app sign算法初步探索
成小新的博客
11-24 1485
企查查app sign算法破解初步探索 之前有说过企查查的sign的解密,但这次是企查查app的sign算法破解,目前是初步进程。 目前我们需要做查壳,具体方法可以百度搜索,企查查用的360加固,很简单,我去脱壳一下。 脱完壳,我们需要逆向dex,如何逆向呢???我们可以借助jeb工具,具体用法百度一下,我这里用的是手机端反逆向逆向之后我们现在需要把class文件反编译java文件,用到工...
js逆向之字节系列某量算数jsvmp算法分析及深度还原
01-03
JS逆向工程是一种通过分析JavaScript代码,对其进行深度还原和逆向分析的技术。在这个过程中,有一项重要的工作就是对JSVMP(JavaScript Virtual Machine Profiler)算法进行分析。 JSVMP算法是一种针对JavaScript...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值