【安卓逆向】某房产app Authorization参数分析

已于 2024-04-03 13:13:04 修改
阅读量2k 收藏 3
点赞数 2
分类专栏: 安卓逆向分析 文章标签: 安全 https 网络协议
于 2021-12-21 14:45:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38819889/article/details/122058454
版权

嗯,2021年快结束了,学习忙碌一年了,年底了写点文章,总结性学习成果吧!

今天我们要分析的app是6LSd5aOzdjIuNjYuMA== (base64解码),小伙伴们可以去各大应用商定自行下载,也是一个很好的逆向分析案例。

转载文章,请注明出处,谢谢!https://blog.csdn.net/weixin_38819889/article/details/122058454

参考链接:https://core.vivcms.com/2021/10/25/637.html

1.抓包找参数

第一步,打开我们的charles直接抓包,发现这个时候没有抓到对应的包。好吧,那我们换一种vpn抓包的方式。先打开postern,然后再开启charles,这个时候就成功的抓到数据包了,如下图所示,Authorization 就是要分析研究的字段,经过多次的测试,发现其他字段可以去掉,但唯独这个字段是不能的。
在这里插入图片描述

2.反编译和静态分析

找到这个加密参数 Authorization ,接下来就是反编译apk,来把我们的贝壳app拖进去jadx里面,看看加密逻辑是咋写的。
在这里插入图片描述
搜索一波,感觉这里很像的样子map2.put("Authorization", getSignString(str3, null)); ,点进去看一看。然后我们来到这里了,可以看到(下图)这里是调用一个getSignString()方法,并传入参数str3 和null,然后计算出结果当做Authorization 的值。

在这里插入图片描述
跟进去看看 getSignString()方法是咋实现的,然后就来到了这里。

具体代码如下,没错,可以大胆的猜测下,这就是最核心的加密方法。首先,我们先静态分析一波逻辑,然后再用frida动态调试下,验证下我们的猜想对不对。

  public String getSignString(String str, Map<String, String> map2) {
        Map<String, String> urlParams = getUrlParams(str);
        HashMap hashMap = new HashMap();
        if (urlParams != null) {
            hashMap.putAll(urlParams);
        }
        if (map2 != null) {
            hashMap.putAll(map2);
        }
        ArrayList arrayList = new ArrayList(hashMap.entrySet());
        Collections.sort(arrayList, new Comparator<Map.Entry<String, String>>() { // from class: com.bk.base.netimpl.a.1
            public int compare(Map.Entry<String, String> entry, Map.Entry<String, String> entry2) {
                return entry.getKey().compareTo(entry2.getKey());
            }
        });
        String httpAppSecret = ModuleRouterApi.MainRouterApi.getHttpAppSecret();
        boolean notEmpty = Safe.C2266e.notEmpty(httpAppSecret);
        String str2 = BuildConfig.FLAVOR;
        if (!notEmpty) {
            try {
                httpAppSecret = JniClient.GetAppSecret(APPConfigHelper.getContext());
            } catch (Exception e) {
                e.printStackTrace();
                httpAppSecret = str2;
            }
        }
        String httpAppId = ModuleRouterApi.MainRouterApi.getHttpAppId();
        if (Safe.C2266e.notEmpty(httpAppId)) {
            str2 = httpAppId;
        } else {
            try {
                str2 = JniClient.GetAppId(APPConfigHelper.getContext());
            } catch (Exception e2) {
                e2.printStackTrace();
            }
        }
        StringBuilder sb = new StringBuilder(httpAppSecret);
        for (int i = 0; i < arrayList.size(); i++) {
            Map.Entry entry = (Map.Entry) arrayList.get(i);
            sb.append(((String) entry.getKey()) + "=" + ((String) entry.getValue()));
        }
        String str3 = TAG;
        LjLogUtil.m30128d(str3, "sign origin=" + ((Object) sb));
        String SHA1ToString = DeviceUtil.SHA1ToString(sb.toString());
        String encodeToString = Base64.encodeToString((str2 + ":" + SHA1ToString).getBytes(), 2);
        String str4 = TAG;
        LjLogUtil.m30128d(str4, "sign result=" + encodeToString);
        return encodeToString;
    }

可以看到getSignString()方法传入两个参数,一个是string字符串类型参数,另外一个是hashmap类型参数。首先调用getUrlParams()方法,这个方法就是就是得到请求url后面那一堆参数的。

  private Map<String, String> getUrlParams(String str) {
        if (str == null || str.length() == 0) {
            return null;
        }
        HashMap hashMap = new HashMap();
        Uri parse = Uri.parse(str);
        for (String str2 : parse.getQueryParameterNames()) {
            String str3 = str2.toString();
            hashMap.put(str3, parse.getQueryParameter(str3));
        }
        return hashMap;
    }

接着尼就是声明一个hashmap,分别把urlParamsmap2放进去,然后又定义一个arrayList数组,并对数组排个序。之后又定义了两个变量 httpAppSecrethttpAppId,具体是干嘛的,值到底是多少,没事,目前不知道 不要紧 ,我们继续往下看。

接着又定一个字符串sb,先把httpAppSecret加进去,再接着把arrayList数组里面的元素取出来,做一个拼接的操作。然后来到这个方法处DeviceUtil.SHA1ToString(sb.toString());,看关键词就能够大概的猜想到这一个sha1算法。

  public static String SHA1ToString(String str) {
        try {
            MessageDigest instance = MessageDigest.getInstance("SHA-1");
            instance.update(str.getBytes());
            byte[] digest = instance.digest();
            StringBuffer stringBuffer = new StringBuffer();
            for (byte b : digest) {
                String hexString = Integer.toHexString(b & 255);
                if (hexString.length() < 2) {
                    stringBuffer.append(0);
                }
                stringBuffer.append(hexString);
            }
            return stringBuffer.toString();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
            return BuildConfig.FLAVOR;
        }
    }

最后把sha1计算的结果和str2参数拼接(Base64.encodeToString((str2 + ":" + SHA1ToString).getBytes(), 2);),并做了一个base64操作,这个str2 就是之前 httpAppId,计算出来的值就是最后加密结果,也就是Authorization。

3.frida动态调试

静态分析已经差不多了,是时候拿出我们的frida了,看看实际传参和结果到底是个什么样子的,以及 httpAppSecrethttpAppId到底是什么。

js代码如下:

Java.perform(function(){
    var getSig = Java.use("com.bk.base.netimpl.a");
    getSig.getSignString.implementation = function (v1, v2) {
        console.log("↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓");
        console.log("Sig参数1: " + v1);
        var it = v2.keySet().iterator();
        var result = "";
        while(it.hasNext()){
            var keystr = it.next().toString();
            var valuestr = v2.get(keystr).toString();
            result += keystr + valuestr + "        ";
        }
        console.log("Sig参数2: " + result);
        var res = this.getSignString(v1,v2)
        console.log("Sig加密后的数据:", res)
        console.log("↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑");
        return res;
    }

    var api = Java.use("com.bk.base.router.ModuleRouterApi");
    api.getHttpAppSecret = function (){
        console.log("getHttpAppSecret" + api.getHttpAppSecret());
        return api.getHttpAppSecret();
    }

    api.getHttpAppId = function () {
    console.log("getHttpAppId" + api.getHttpAppId());
    return api.getHttpAppId();
    }


    var jni = Java.use("com.homelinkndk.lib.JniClient");
    jni.GetAppId.implementation = function (v1) {
        var res  = this.GetAppId(v1);
        console.log("appId Jni param1: " + v1);
        console.log("appId Jni: " + res);
        return res;
    }

    var log = Java.use("com.bk.base.util.bk.LjLogUtil");
    log.d.overload('java.lang.String', 'java.lang.String').implementation = function (v1,v2){
        console.log("Log.d(): " + "v1:", v1, "v2:", v2);
    }

    var encrypt = Java.use('com.bk.base.util.bk.DeviceUtil');
    encrypt.SHA1ToString.implementation = function(parm1){
        console.log("SHA1加密前参数:", parm1)
        var res = this.SHA1ToString(parm1)
        console.log("SHA1加密后结果:", res)
         return res;
    }
});

httpAppId是一个固定值 20180111_android:,来源就是如下:

在这里插入图片描述
继续分析httpAppSecret的来源,先看看sha1加密的过程:

SHA1加密前参数: d5e343d453aecca8b14b2dc687c381cacity_id=110000home_ab_group=Bis_first_entry=0latitude=39.974194longitude=116.416306page=1tab_id=rentV2
SHA1加密后结果: 69afab7f7275b2b49f4b7790033498fcae22f343

可以看到在执行sha1加密传参之前,先拼接一个固定字符串d5e343d453aecca8b14b2dc687c381ca,然后是拼接请求的url后面的参数,没错 这个固定值 就是httpAppSecret。

然后说一说get和post 请求方式的不同。get请求的时候,hashmap为null,而post请求把请求的body参与计算。

在这里插入图片描述
在这里插入图片描述
然后分析就是到此结束了。

4 代码还原:

具体代码就不公布了,毕竟对别人不太友好。看看最后拿到的数据。有兴趣的可以自己尝试分析一波,肯定是会有很多收获的。

在这里插入图片描述

埃菲尔没有塔尖
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
Java获取Token,含Authorization参数以及body参数
qq_29824445的博客
12-05 1万+
Java获取Token,含Authorization参数以及body参数 代码如下: public String getAccesstoken () { String result = null; //请求地址 Properties pro = getProperties(); String url = pro.getProperty(&quot;getToken&quot;); ...
Authorization参数
liangzaixiaozhou的博客
03-16 1158
请求头中Authorization的http协议的认证逆向
贝壳APP渗透测试WP
q2919761440的博客
06-14 1035
还有很多攻击面没有探索,比如DEEPLINK打开WEBVIEW时由于携带COOKIE可能会有CSRF问题,以及绑定第三方账号的接口。
Http头部参数Authorization
知道这个有什么用?
06-04 1807
项目uu约优中,用到了头部Authorization。 当时传递的参数也是后端返回的20位字符。 项目sxaik中,http请求的头部传递Authorization,值为32位小写字符,不确定是md5还是随机的。 刚在新项目中遇到Authorization,传递了一个JWT。 什么是 JWT – JSON WEB TOKEN ...
Authorization加减密
起风了
11-05 816
// Authorization 加密过程 let email = "aaaaaaa" let password = "12345678" let auth = `${email}:${password}` const buf = Buffer.from(auth, 'ascii'); console.info(buf.toString('base64')); // YWFhYWFhYToxMjM0NTY3OA== const authorization = buf.toString('base6
唯品会app请求头参数authorization逆向分析与算法还原
weixin_43002198的博客
05-22 2428
请求头参数authorization逆向分析与算法还原
根据HMAC-sha256加密的Authorization生成
a1277757159的博客
03-15 288
本内容只是记录自己的学习过程,没有其他的东西。 通过分析,真正的上传地址需要向v1?..这个理解发送请求后拿到。 打开v1的包看参数。 最主要的是authorization这个参数,其他的都可以在另外一个请求中拿到。找到包后直接进入到js发包的地方,打上断点开始跟栈 找到js加密的地方,开始扣代码 虽然没有放到本地进行测试,代码也没有压缩,当后续操作应该不会遇到很大的问题。直接输入1次#,并按下space后,将生成1级标题。 输入2次#,并按下space后,将生成2级标题。 以此类推,我们支持6级标题
美篇appAuthorization算法和发送例子
最新发布
06-25
美篇appAuthorization算法和发送例子
Android实现使用微信登录第三方APP的方法
09-01
注册完成后,你需要下载Android SDK和签名查看工具,这些工具可以帮助你获取到APP的签名,这是微信认证你的应用所必需的。 接下来,你需要获取到APP的签名并将它填写到微信开放平台的相应位置。签名是验证应用身份...
example-payment-authorization-app
05-08
要在您的商店中实现此功能,您需要开发自己的Payment应用,但是请放心! 该存储库为此提供了必要的结构,下面的逐步指南将指导您。 一步步 :information: 请记住,在这一步中,您将使用开发平台。...
Unity 中通过UnityWebRequest 以GET形式传authorization参数请求数据。
06-20
Unity 中通过UnityWebRequest 以GET形式传authorization参数请求数据。 注意: 以Header头文件的形式发送请求,authorization要放入请求头部。 以头文件形式发起请求进行Token验证,token为Authorization中的...
uni-app 请求拦截器
11-11
【uni-app请求拦截器】是基于uni-app框架实现的一种机制,它允许开发者在发送网络请求前和接收到响应后...分析和学习这些代码将有助于我们更好地理解和应用uni-app的请求拦截器机制,提升我们的开发效率和代码质量。
CTF-Web21(爆破)
weixin_47059164的博客
08-25 159
知识点:考点tomcat 认证爆破之custom iterator的使用,下载密码字典抓包,通过burpsuite暴力破解,可以参考。ctfshow21 请求头中的authorization是指在HTTP请求中携带的身份验证信息,用于验证请求的合法性和权限。
http协议Authorization认证方式在Android开发中的使用
weixin_30772105的博客
11-13 355
我们都知道,http协议是一种无状态协议,在Web开发中,由于Session和Cookie的使用,使得服务端可以知道客户端的连接状态,即用户只需要在浏览器上登录一次,只要浏览器没有关闭,后续所有的请求服务端都会知道这个请求是谁发来的。但是在移动端开发的过程中,却是没有Session和Cookie,所以我们要想办法来解决这个问题。一般来说,在移动端开发想要解决这个问题有三种方案:1.OAuth认...
身份认证攻击之密码破解
m0_63239459的博客
05-24 766
身份认证攻击之密码破解
python之app逆向破解headers中的Authorization 身份验证 AES
12-03 1169
下载好app 贝壳 2018-5-2 版本 1.还是先抓包 注册入口 2.用jadx-gui打开 直接用jadx-gui打开,因为没有加壳 并搜索关键字Authorization 点击右键 查找用例 3.开始Hook 从以下可以看出: 由 Appid + COLON_SEPARATOR + c 组成的,最后 Base64 所以从第一个入参开始跟踪 String encodeToString = ...
vue设置Authorization 后端无论如何都取值取不到
m0_52946104的博客
04-19 1101
如果配置了代理类那么就不能在axios中配置baseurl了。综上所述可能时配置代理时候出问题了。自己封装的axios类。看请求发现发送了两次。
swaggerui集成oauth implicit
weixin_34396902的博客
03-28 167
swaggerui集成oauth implicit 添加引用 Swashbuckle.AspNetCore IdentityServer4.AccessTokenValidation 预先准备好IdentityServer4配置client与Api Resources Startup 配置 Authentication Api Resources 和SwaggerUI Client配置 pu...
[转]【HTTP】Fiddler(二) - 使用Fiddler做抓包分析
weixin_34006468的博客
01-21 187
本文转自:http://blog.csdn.net/ohmygirl/article/details/17849983 上文( http://blog.csdn.net/ohmygirl/article/details/17846199 )中已经介绍了Fiddler的原理和软件界面。本文主要针对Fiddler的抓包处理。 Fiddler抓取HTTP请求。 抓包是Fiddler的最基本的应用,...
HttpServletRequest获取不到header中Authorization参数
07-27
引用\[1\]中的代码片段是前端使用axios发送请求时的拦截器配置,其中将token放入请求头中。而引用\[2\]中提到的目的是为了实现代码安全,拦截除了登录请求以外的其他请求,并将token信息放入请求头中。 根据你的问题,HttpServletRequest获取不到header中Authorization参数的原因可能有以下几种可能性: 1. 请求头中没有设置Authorization参数:请确保在发送请求时,请求头中设置了Authorization参数,并且值为有效的token。 2. 请求头中的Authorization参数被修改或删除:请检查请求头中的Authorization参数是否被修改或删除,确保其值与发送请求时设置的一致。 3. 后端接收请求时未正确获取Authorization参数:请确保后端代码正确获取请求头中的Authorization参数。可以使用HttpServletRequest的getHeader方法来获取请求头中的参数值。 需要注意的是,以上是一些常见的可能性,具体原因还需要根据你的代码和环境进行具体分析。希望以上信息对你有帮助。 #### 引用[.reference_title] - *1* *2* [前后端分离 后端获取不到header解决方案](https://blog.csdn.net/qq_57581439/article/details/128041253)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值