APP 接口拦截与参数破解

最新推荐文章于 2023-12-31 09:03:18 发布
最新推荐文章于 2023-12-31 09:03:18 发布
阅读量7k 收藏 16
点赞数 6
文章标签: java android 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinat_32501475/article/details/112007982
版权

摘要

前文《 Android APK 反编译浅入浅出:apktool 、dex2jar 、jd-gui 》介绍了如何通过反编译 APK 去破解参数加密;但 APK 的源码通常会被混淆,想从源码中研究出参数加密的方式,大部分情况下是一件非常不易的事情。

本文换了一个新的角度,不再从源码的角度出发,而是关心数据流及其在传输过程中的各种转换。

准备

Charles:抓包工具

Xposed:Xposed 框架(Xposed Framework)是一套开源的、在 Android 高权限模式下运行的框架服务,可以在不修改 APK 文件的情况下影响程序运行(修改系统)的框架服务

Inspeckage:用来动态分析安卓 app 的 xposed 模块。功能一,获取 APP 基本信息;功能二,实时查看应用程序的行为

接口拦截

1)配置网络环境

Charles抓包

打开 Charles,配置监听端口。

将手机与监听电脑连接在同一网络环境内,并按照 Charles 弹窗指示设置代理、安装 Charles 证书。

2)拦截数据接口

Charles抓包实操

操作 APP,查看拦截的请求,找到用于数据传输的接口。

确认数据接口请求参数

确认数据接口中的参数是否都可以模拟。如果都可以,那就继续后面的采集工作;否则,进入参数破解的环节。(如上图中,“securitykey” 为加密参数,需破解)

参数破解

1)安装配置 Inspeckage

安装 Inspeckage,并选择要破解参数的 APP

2)安装配置 Xposed

安装 Xposed,并激活框架。

将 Inspeckage 模块加入 Xposed。

3)设置手机开发者选项

设置手机开发者选项,“连接 USB 后启用调试模式”。

4)手机以 USB 连接监听电脑

在这里插入图片描述

手机以 USB 连接监听电脑后,运行 “adb devices”,查看设备是否连接成功;运行 “adb forward tcp:8008 tcp:8008”,把 PC 电脑端 TCP 端口 8008 的数据转发到与电脑通过 adb 连接的 Android 设备的 TCP 端口 8008 上。换言之,假设现在 PC 端在端口 8008 绑定,并在该端口读写数据,将会被转发到 Android 设备端的 8008。

5)监听请求

监控页

打开浏览器,输入 “http://localhost:8008/”,进入监控页

查找数据流及其转换方式

结合 Charles 拦截的数据接口,在 Inspeckage 中查找相应的数据接口。

Charles拦截实例
Inspeckage拦截实例
如上图,“securitykey” 使用了 MD5 加密,加密前的文本正是其他参数的值按顺序排列,之间用 “|” 分隔,最后再加上 “rmrbsecurity$#%sut49fbb427a508bcc” 作为盐值。

结语

爬虫人,爬虫魂;爬虫成为人上人。今日爬虫不够狠,明天地位就不稳!愿所有的技术人都能在大数据环境下找到适合自己的岗位,并被它温柔以待。

周凡123
关注
  • 6
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
android拦截请求数据库,拦截所有App网络请求并将需要的数据上传到属于你自己的服务器...
weixin_39847728的博客
05-29 824
前提 : 有时会遇到这样的需求:将一些别人app上比较优质的内容,用到自己产品中.由于别人的app做了大量的参数加密, 我们获取不到加密规则,所以使用接口直接调用的方法就走不通.本文就是要介绍使用逆向技术拦截目标app的所有网络请求.对于我们需要的接口数据上传到我们自己的服务器中工具:monkeyDevPPSNetworkMonitor开源库中的代码代码如下:PPSURLSessionConfig...
使用Postman拦截浏览器请求_什么可以拦截网页请求,2024年最新阿里P8软件测试架构师谈
最新发布
2401_84264583的博客
04-13 354
老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
抓包工具,知道手机app上面使用的接口是哪个
qq_43842093的博客
10-17 1907
fiddler。大家可以百度上面好多选择一个安装。这里随便扔一个 在电脑上安装以后。你再配置手机上的一些设置。 首先保证手机和电脑在同一个局域网上,连得wifi域名前面一样的,在电脑的cmd输入ipconfig 然后打开手机的设置。wifi页面点开查看你连的wifi的域名 这里都是192.168.31所以没问题啦。把这个页面拉到最下面找到配置代理 设置Fiddler 菜单:Tools-> Fiddler Options->Connections,勾选"Allow remote
使用Fiddler软件抓取手机某个App的API接口
热门推荐
逍遥子jdallen
04-02 2万+
开发APP时,我们老是烦恼于没有数据,下面我将使用Fiddler软件抓取手机某个App的API接口(以“锤子阅读”App为例)0、下载并安装Fiddler软件:https://www.telerik.com/download/fiddler1、启动Fiddler,开始设置。点击“tools-->fiddler options”.(有的版本,fiddler options为options)2、...
charles抓手机App接口请求信息
奇葩也是花
03-26 925
1、安装charles 下载地址: Charles下载地址 安装过程: 傻瓜式安装,下一步 – 下一步 2、简单使用 http 抓http包相对比较简单,直接打开即可。不再赘述。 https https请求是密文的,抓去需要安装charles的证书。 3、安装证书 1、保存charles证书,help — ssl-proxy – save charles root certificate,点击之后,保存下来 2、 打开charles,找到 help — ssl-proxy – install charl
Android拦截并获取WebView内部POST请求参数的实现方法
08-26
Android拦截并获取WebView内部POST请求参数的实现方法 Android拦截并获取WebView内部POST请求参数的实现方法是指在Android应用程序中,拦截并获取WebView内部的POST请求参数。这种实现方法主要有两种方案:一种是...
uni-app封装请求完成示例项目
11-02
1. **减少代码重复**:通过参数化的方式调用uni.request,每个接口只需定义一次,避免了在各个页面中重复写相同的请求代码。 2. **模块化管理**:所有请求逻辑集中在一处,便于管理和维护,方便查看和修改接口。 3. ...
vue+axios实现登录拦截的实例代码
08-30
这个钩子函数接收三个参数:`to`、`from` 和 `next`。其中,`to` 是即将要进入的目标路由对象,`from` 是当前导航正要离开的路由,`next` 是一个函数,用于 resolve 钩子。 在这个钩子函数中,我们首先检查该路由...
Vue封装Axios请求和拦截器的步骤
10-14
请求拦截器通常用于在发送请求前处理参数,如添加令牌;响应拦截器则用于在接收响应后进行处理,如检查状态码并处理错误。 下面是一个请求拦截器的例子,它可以在每个请求中添加token: ```javascript ...
okHttp基于App研发录网络框架的封装
12-19
9. **拦截器的使用**:通过OkHttp的拦截器机制,可以实现请求前的预处理(如添加请求头)和响应后的后处理(如验证服务器返回的状态码)。 在"OkHttpTestDemo"项目中,我们可以看到具体的实现细节,包括接口定义、...
网络抓包工具 http请求抓取 接口拦截
09-19
软件测试工作中,我们时常需要查看接口请求、或者服务器的返回,携带的参数、请求地址、返回的参数、或者token、cookies是否正确,文档中介绍了几种常用的方式。既有PC端,又有移动端,初步介绍了常用的几种方式,可以作为入门文档使用。
android进阶3step2:Android App通信 ——端口号IP等网络基础知识扫盲
犟驴的博客
11-25 3471
网络操作基础知识 一、IP 地址和端口号   1) IP 地址用于在网络中唯一标识一台机器(通信实体),是一个 32 位整数,通常 用 4 个 0-255 的十进制数标识; 2) 端口号用于唯一标识通信实体上进行网络通讯的程序,同一台机器上不能有两个程序占用同一个端口的情况; 端口号是一个 16 位整数,共有 3 类; 公认端口:0-1023,它们紧密绑定一些特定的服务(比如 TCP...
解密 TCP/IP!
CSDN资讯
05-23 1370
作者 |我不想种地责编 | 屠敏近期工作,跟网络协议相关,这让我有机会更深入学习网络协议,而之前很长一段时间,我对网络协议的理解都停留在比较浅的层面。比如:TCP是面...
软件测试 | Tcp协议的接口测试
慕漓的博客
03-07 1088
再次强调,需要让应用支持端口修改,才能使用代理工具,这部分需要与开发交流,提修改需求。支持 Socket 设备不止计算 机,还会有移动端,如果测试 Socket 协议,需要有收发 Socket 数据的能力或代理 Socket 的能力。首先明确 Tcp 的概念,针对 Tcp 协议进行接口测试,是指基于 Tcp 协议的上层协议比如 Http ,串 口,网口, Socket 等。使用两个监听服务,可编写任意协议,但注意缺点,数据的传输时间会增加,如果过分注重性能,此方 案慎用。tcp 协议的接口测试。
使用fiddler和burp suite部分安卓APP拦截不到任何数据
a99400419的博客
07-21 605
##请教大神## 标题 部分安卓APP拦截不到数据 分别使用fiddler,burp suite,这两个工具对几个安卓APP进行拦截抓包测试,其他APP都可以拦截到数据,唯独有一个APP,开启拦截之后手机进入APP可以随意点动,就像没有拦截一样的,在csdn上面的教程也看了不少,电脑上两个工具的设置安装包括手机的代理设置,两个工具的证书安装,都是检查了几遍,这确实是不知道到底是什么原因了。。。还请大神不吝赐教。 ...
6-Burp Suite拦截手机App数据
m0_62978778的博客
12-31 2200
或者,使用了服务器的证书加密,burp 抓到的是加密以后的消息,是无法查看和修改的。选择保存的 CA 路径(比如 D 盘),文件后缀命名为.cer,非常重要,因为手机只能安装.cer 的证书类型,默认的 der 格式是不能被识别安装的。首先电脑需要连接到 WiFi,不能使用有线网络,这样才能让手机和电脑处于同一网络环境(如果台式机的有线和手机 WiFi是同一个网络环境也可以)。此外,也可以在电脑上安装 Android 模拟器,这样可以直接在电脑上抓模拟器的包,大家可以自己尝试。在手机上“用其他应用打开”。
Fiddler拦截http请求修改数据
weixin_30883271的博客
02-12 1590
1、拦截http请求 使用Fiddler进行HTTP断点调试是fiddler一强大和实用的工具之一。通过设置断点,Fiddler可以做到: ①修改HTTP请求头信息。例如修改请求头的UA,Cookie,Referer信息,通过“伪造”相应信息达到相应的目的(调试,模拟用户真实请求等)。 ②构造请求数据,突破表单的限制,随意提交数据。避免页面js和表单限制影响相关调试。 ③拦截响应数据,修改...
cocos2d-LUA逆向之修改客户端app,实时获取app解密后通信数据
zzwlpx的博客
06-01 4872
本文中,将以宝博.apk为例。基于前面解密lua脚本与解密lua资源,我们为实现修改客户端app,实时获取app解密后通信数据,应分析修改app端的lua脚本,然后按原app加密方式打包修改后的lua脚本,覆盖原始安装文件,从而达到修改app的目的。       参照前面分析,获取宝博.apk的xxtea解密key,同时可以分析出其对lua脚本的加密方式,是将lua脚本以字节码的形式,再经xxte...
fiddler抓去app接口后,如何改包?
07-11
当使用Fiddler抓取到应用程序的接口后,你可以使用Fiddler的编辑功能来修改请求包。以下是一些修改包的常见步骤: 1. 打开Fiddler并启动代理。确保你的设备和应用程序都配置了正确的代理设置,以便Fiddler可以拦截应用程序的网络请求。 2. 在Fiddler中,选择并展开你想要修改的请求。可以在"Web Sessions"选项卡中找到捕获的请求。 3. 在右侧的"Inspectors"选项卡中,你将看到请求和响应的详细信息。在"Request Headers"和"Request Body"中,你可以修改请求的头部信息和消息体。 4. 若要修改请求的参数或URL,你可以直接在"Fiddler Composer"选项卡中进行编辑。在这里,你可以自由地修改请求的各个部分。 5. 修改完成后,点击保存并重新发送请求。应用程序将接收到经过修改的请求,并根据修改后的内容进行响应。 请注意,在修改包时应谨慎操作,确保不会破坏应用程序的正常功能。此外,修改包可能违反应用程序的使用协议或法律法规,请确保你遵守相应规定。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值