本篇博客旨在记录学习过程,不可用于商用等其它途径
入口
搜索栏关键词搜索最新数据
抓包
根据抓包结果和对比翻页包体得知动态参数是client_timestamp,keyword,client_session,sig,sigTime,cursor
初步观察得出以下结论:
client_timestamp:实时时间戳
keyword: 搜索关键词
client_session:暂时未知
sig:暂时未知
sigTime:大概率跟sig生成有关
cursor:第一个不需要这个参数,后面每次翻页都要携带(这里直接给结论:它是从响应结果直接拿到的,笔者在代码层找了好久愣是后面才发现)
查壳
使用查壳工具发现app有阿里聚安全加固
参数源码定位
反编译成功后,先尝试搜索"sig",很明显都不是
搜索sig ,根据搜索结果发现可能性大的目标,双击进去看代码
双击SigEntity.generatorSig,看到nativeGeneratorSig就可以确定sig的生成位置了
继续跟进去发现这个方法在native层,这里就暂时不再跟进去了
上面我们找到了sig 的生成位置,现在找一下client_session的生成位置,直接搜client_session
直接进去第二个,结合前面抓包接口对应的请求参数可以确定这是它的生成位置
源码分析
client_session
前面我们找到了sig 和client_session的生成位置,接下来分析一下它们的源码
先分析client_session
看代码得出client_session是对client_timestamp进行处理得到的,双击进去a方法看到具体代码
双击进去com.meitu.library.util.b.a
发现它是对文本进行md5操作,且是原生操作
那我们就需要找到加密文本了,回去看a方法可以知道是对f47591g值进行截取与换位处理得到的。直接在当前页面搜索找到f47591g = q();
代码的大致是,拿到getPackageName值然后进行base64,所以它是固定的,我们直接hook拿到值
注意这里拿到的只是f47591g的值,client_session是对其截取前十个字符,然后根据时间戳%10的值进行字符换位,最后对其进行md5得到的,具体细节看代码。
sig
前面我们分析到nativeGeneratorSig是在native层生成的sig,这里我们暂不涉及native层。这里我们hook一下nativeGeneratorSig的调用者SigEntity.generatorSig,看看它接收的是哪些参数
这里直接出结论:
a1: 接口资源路径,固定的
a2: 注意它是array结构,存储的是请求参数除sig,sigVersion,sigTime之外的所有参数值,这里最好直接使用它的值然后替换动态值,防止被检测
a3: sig加密所需的密钥,也是固定的
a4: 必须要是一个content对象
res: 加密结果就包含了sig,sigVersion,sigTime这三个值
搞定到这一步我们就可能获取数据
另外翻页的参数cursor是放在a2开头的
大家可能对这些结论摸不着头脑,其实直接看SigEntity.generatorSig的调用者就能明白了
运行结果
client_session算法生成
sig生成
由于我们没有取分析native层的源码,所以这里使用的是Frida RPC的方式动态获取
结果
补充
可以通过打印调用栈来找到调用者,有时可以帮助分析
1576
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
