某饿了么APP最新版逆向分析(二):加密参数初探

最新推荐文章于 2024-02-23 13:02:16 发布
最新推荐文章于 2024-02-23 13:02:16 发布
阅读量2.4k 收藏 2
点赞数
分类专栏: App爬虫 Android 爬虫 文章标签: android 爬虫 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shadowtalon/article/details/129008170
版权

二、分析加密参数

说做就做,这边用的python进行模拟请求

万事俱备只欠东风,点击run

发现报错了

怎么回事?

明明请求的内容和抓包的内容完全一致

怎么没有返回我们想要的数据

报错内容为参数错误

因此我就想可能是请求体有参数加密

我们的请求参数发生了改变,也要发送正常的加密后的参数才能获取到我们需要的数据

因此一看,请求头里确实有多个加密参数

所以我随便找了个参数x-sign

对它进行分析

第一步当然是需要反编译了,因此我用jadx对app进行了反编译

因为app还蛮大的,所以我对jadx的使用内存进行了修改,扩大了内存

就能完整的反编译出来了

第二步全局搜索x-sign参数,发现整个app只有几个地方是有这个字符串的

我松了口气

搜索出来的结果不多,那我们分析起来也就简单多了

经过几分钟的分析 就能定位到我们需要的加密处

那只要把这个算法还原了不就行了吗

然后尝试还原 发现没那么简单 比较耗时间

因为数据急着要

所以我直接写了一个xposed模块进行调用

最后 我通过python进行模拟请求

就能正常返回我们需要的数据了

对爬虫感兴趣的朋友可以私信我,拉你进爬虫交流群!

饿了么 sign,bxet逆向
qq_54438262的博客
11-19 1053
一个标准的平坦流,插桩,先找renturn,找到生成的地方向上反推发现是根据sn生成,在进行对sn插桩,取他的变化过程,饿了么h5端的加密还是比较简单的,唯一难点在于bxet,我这边采用的是补环境的方式。本文仅供参考学习,请勿使用于商用,作者wx:strong-1023,欢迎交流。插桩注意点,饿了么的console.log被修改了,需要hook后再刷新。插桩格式:log('当前sn',sn,'push参数',
[Python] js逆向初探: 某麦榜单
Loading_BFX的博客
07-19 2219
系列文章目录 [Python] js逆向初探: 某麦榜单 文章目录系列文章目录免责声明前言分析通用的抓包方法。。。偷懒作弊的抓包方法万恶之源 免责声明 本篇文章仅用学习交流和日常记录,请勿转载或用于任何商业用途!违者责任自负!如侵删 前言 作为一个刚接触爬虫的小白, 之前都是练习爬一些简单的网站。遇到js加密的就只能束手无策了, 有一些可以使用selenium, 但是速度太慢,而且人生不可以总是选择轻松地道路,学习爬虫不可以避免学习js逆向。所以决定开始自己学习js逆向,本文章选择某麦网作为练习
饿了么APP最新版逆向分析(一)
shadowtalon的博客
02-02 3173
饿了么App最新版逆向分析(一)
记一次安卓小程序sign逆向
em.....
12-04 921
微信公众号:小惜渗透,欢迎大佬一起交流进步​ 首先拿到的是一个小程序(不是微信小程序),小程序在app里面,并且目前没有上架,而且就算是测试环境也需要用到特定的手机卡放到卡槽1的位置才可以,这就无形中给了很多阻碍没办法只好拿出我祖传的小米,然后刷了第三方RCE–,然后进行卡刷,刷入Magisk,安了个MT管理器(用来移动证书,如果不懂看我之前安卓测试的文章),至此,证书问题解决,但是因为app会检测root权限,所以用Magisk隐藏对该应用隐藏root如下图所示,开启Zygisk,然后重启,然后在中
某物小程序sign逆向-记录
weixin_41259961的博客
08-17 4935
这篇文章主要记录一下小程序的反编译过程和sign逆向
e了么平台sign参数,亲测可用
05-13
某外卖网站sign参数
Android逆向工程初探:何为逆向工程以及其在Android系统中的意义
# 1. 什么是逆向工程?...在软件行业中,逆向工程通常用于分析和理解现有软件的工作原理、修复软件漏洞、逆向病毒和恶意软件、软件破解和反破解等方面。 以上是第一章节的大纲,接下来将进行内容的填充。 # 2.
Android逆向非对称加密,小肩膀安卓逆向百集(105集全网独家终极完整版)
weixin_39628594的博客
06-02 2138
01 Android体系结构.zip02 APK基本结构.zip03 JVM、DVM与ART.zip04 Android开发工具配置与使用.zip05 Android逆向工具配置与使用.zip06 Android调试工具配置与使用.zip07 Android辅助工具配置与使用.zip08 Android抓包工具配置与使用.zip09 Android分区目录与ADB指令与Linux命令行.zip10...
国外android逆向的论坛,初探android逆向
weixin_42510645的博客
05-28 2280
好久没有更新博客了。一直在想要更新点什么样子的干货。最近看了一点有关于逆向的文章,感觉还不错。对于“安卓开发没人要了”这种话,我也很无奈,最近的RN,包括kotlin的出现,还有Flutter框架的出现。 这些东西的出现感觉都像是意味着,往后的移动端开发不需要双倍的人员了。最近突然对逆向萌生了一点点兴趣,关于逆向的东西依旧有很多,很多apk对进行加固,加壳等等,这里的入门仅仅是对于没有加密等操作的...
安卓app逆向破解脱壳教程
热门推荐
sinat_28371057的博客
01-19 2万+
From:Hook 神器家族的 Frida 工具使用详解:https://blog.csdn.net/FlyPigYe/article/details/90258758 详解 Hook 框架 frida (信抢红包):https://www.freebuf.com/company-information/180480.html APP逆向神器之Frida【Android初级篇】:https://www.jianshu.com/p/2d755beb1c54 frida 官网文档:https://fr..
饿了么零售商家端后台sign加解密过程分析 - 勤勤学长
最新发布
勤勤学长的csdn博客
02-23 1137
饿了么商家端模拟请求sign参数的由来
python 对接饿了么零售开放平台
wzh70的博客
03-21 1704
花了两天时间对接饿了么平台的接口,在这我要说说一些坑 1.平台的文档写得有时候看得不是很明天。特别时调试接口的时候 坑一:提交格式为:格式为:content-type=application/x-www-form-urlencoded,如果按照其他格式提交会有问题。废话不多说,直接上代码! # requests发送application/x-www-form-urlencoded请求数据 head = {"Content-Type": "application/x-www-form-u
app安卓逆向x-sign,x-sgext,x_mini_wua,x_umt加密参数解析
qq_44130722的博客
08-31 1万+
app安卓逆向x-sign,x-sgext,x_mini_wua,x_umt加密参数解析
tao系x-mini-wua、x-sign、x-sgext、x-umt
weixin_41259961的博客
07-26 6005
tao系App基本都离不开x-mini-wua、x-sign、x-sgext、x-umt这个四个参数
淘宝x-sign、x-mini-wua、 x-sgext、 x-umt、 wua加密算法
qq1396513066的博客
02-05 5099
2. 找到与x-sign相关的逻辑,发现位于mgd类,这下边的类可以每个jadx加载出来不一样,其中mgd接口和mge,mgc都是都关系的。4. 通过反射invoke调用,至于具体参数,可以hook此方法看到,下边也会提到。目标:实现http,参数可由自定义,此以为hongbao_id为例,请求结果返回。,通过hook我们关闭使用即可,走http,这样fd 小黄鸟抓包就能看到了。5. 注意,此a方法可能find 失败,可以再次查找,参数多一个,有6个。此次分享只是用于学习交流,请勿乱用。
饿了么:业务井喷时,订单系统架构这样演进
liyanlei的专栏
03-08 1159
http://www.woshipm.com/it/405990.html在高速增长和愈加复杂的交易场景下,饿了么订单的服务架构是如何演进的?如何发展?本文根据石佳宁在InfoQ举办的2016ArchSummit全球架构师(深圳)峰会上的演讲整理而成:先自我介绍一下,我于2014年加入饿了么,那时正是饿了么飞速发展的起始点。我一直从事后台领域的研发,比如BD系统、客服系统和订单系统,现在专注交易架...
饿了么外卖api接口完整测试demo
qq_36103520的博客
12-03 3554
三大外卖中,饿了么无需申请,直接提供测试账号给开发者进行开发测试。但是并没完整的demo。 自己根据官方api,将签名及公共的方法写了个类。 直接上完整demo,具体在补充。 csdn不能上传附件,补上百度云地址 链接:http://pan.baidu.com/s/1kVkAtqZ 密码:m2w4
关于手淘xsign算法,最新带 x-mini-wua
erzia412的博客
01-03 4665
手淘x-sgin的算法接口,终于实现了 手淘xsign的协议算法,最新带 x-mini-wua ***更新时间:2020年1月3日 13:45:28,***大家都知道,有时候PC和WAP版的协议根本满足不了业务场景的需求,但是手淘可以满足,但是手淘最大的难度就是X-sign,可以说是万事俱备只欠X-sign,因为公司安排给我的任务就是解决这个,前前后后花了差不多一个月时间把X-sign的签名算法搞...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值