阿里系App抓包分析(三)

最新推荐文章于 2024-06-05 15:37:25 发布
最新推荐文章于 2024-06-05 15:37:25 发布
阅读量3.3k 收藏 10
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45788094/article/details/103513875
版权
本文深入探讨了阿里系App中Mtop的初始化过程,重点关注了InnerMtopInitTask、OpenMtopInitTask和ProductMtopInitTask三个实现类,并详细解析了接口的初始化步骤。关键的hook点包括setGlobalSpdySslSwitchOpen和setGlobalSpdySwitchOpen。通过设置代理并使用脚本启动App,成功抓取到了部分数据,但要注意Mtop的签名机制和防机器人机制,这需要进一步解决才能完整爬取和调用API。
摘要由CSDN通过智能技术生成

上一篇文章《阿里系App抓包分析(二)》简单介绍了Mtop的初始化,发现IMtopInitTask是主要用来处理Mtop的初始化的类,经过查看它有三个实现类:

  • InnerMtopInitTask

  • OpenMtopInitTask

  • ProductMtopInitTask

三个实现分别对应的instanceId为:OPENINNERPRODUCT,咱们主要看InnerMtopInitTask这个实现,分析里面重要的初始化步骤,最后再使用Charles完成抓包。

IMtopInitTask接口只有二个方法:

.method public abstract executeCoreTask(Lmtopsdk/mtop/global/MtopConfig;)V
.end method

.method public abstract executeExtraTask(Lmtopsdk/mtop/global/MtopConfig;)V
.end method

分别执行不同的初始化任务,分析executeCoreTask它主要做了四件事:

  • 设置ISign的实现类

  • 设置FilterManager

  • 设置AntiAttackHandler

  • 设置c

最低0.47元/天 解锁文章
小霸戈
关注
  • 2
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
利用burp进行对APP抓包教程
11-04
使用burpsuite对移动app抓包分析 阅读更多 测试移动APP的联网请求,需要获取路径或者参数的时候,使用该工具burpsuite非常方便! 要求: 移动终端和PC处于同一个wlan环境下
httpCarry-app快速抓包软件
12-23
这款强大的抓包工具,还带有分析工具,可以当做是一个移动端的Fiddler或者Charles。在手机上安装后获取证书,可直接抓取安卓app的所有接口请求,请求头、请求参数、接口响应数据齐全,可查看文本格式和json格式,...
阿里App抓包详细分析
weixin_44353800的博客
05-05 2240
个实现分别对应的instanceId为:OPEN、INNER、PRODUCT,咱们主要看InnerMtopInitTask这个实现,分析里面重要的初始化步骤,最后再使用Charles完成抓包。抓到包看到数据基本上是完成一小步了,为什么是一小步呢?因为Mtop有签名机制和防机器人机制,这些要解决才能爬到数据的,不然调不了API或者人机校验过不了的。分别执行不同的初始化任务,分析。设置好手机代理,再启动。
阿里-淘宝接口抓取
热门推荐
07-19 12万+
阿里接口抓包
大麦APP解密/B站麒麟逆向
最新发布
TGwuge的博客
06-05 430
【代码】大麦APP解密/B站麒麟逆向。
软件测试 | 抓包分析TCP
慕漓的博客
02-21 448
TCP是在传输层中,一种面向连接的、可靠的、基于字节流的通信协议。(1)TcpdumpTcpdump是一款将网络中传送的数据包的 “头” 完全截获下来供用户分析的工具。它支持针对协议、主机、网络或端口的过滤,并不通过and、or、not等逻辑语句去掉无用的信息。用Tcpdump时刻监听443端口,如果发现异常信息,就把这类信息输入到log文件中,命令代码如下。这条命令里使用的参数解析如表6-2所示。Wireshark是一款网络嗅探工具,它除了拥有Tcpdump功能,还有更多扩展功能,如分析功能。
阿里-淘宝接口抓取及相关问题
weixin_44353800的博客
01-15 1783
阿里-淘宝接口抓取一、安装charlse抓包工具官方下载地址安装证书二、安装xposed hook框架Xponsed简介具体安装步骤、安装模块关闭阿里ssl验证开启http模式支持支付宝、淘宝、淘宝直播各个接口抓取四、效果如下接下去一段时间更新阿里相关接口文章目录一、安装charlse抓包工具官方下载地址安装证书二、安装xposed hook框架Xponsed简介具体安装步骤、安装模块关闭阿里ssl验证。
阿里P7大牛亲自教你!Android平台HTTPS抓包解决方案及问题分析,送大厂面经一份!
m0_52308677的博客
01-30 149
前言 最近我开始偷偷投简历了。与老东家的合同快要到期,想知道自己的斤两,续签合同也好有个底,顺便悄悄看看新的工作机会。虽然市场环境不好,但我们身在涨工资靠跳槽的行业没办法。 由于工作了5年了,经验有了,我收到的面试邀请也挺多,但半个月的面试下来却没收到一份满意的offer,真是**“被现在的公司害了”**。下面是我总结的一些面试题,希望对想跳槽的小伙伴有一些帮助。 二.面试流程 自我介绍 面试官根据你的介绍开始问 你对我们公司有什么想了解的么(复活卡,要时回到没有了也就没有了,可以让面试官给自己提一下建议
阿里列-淘宝接口抓取及相关问题
Miya(米娅)的博客
12-03 267
一、安装charlse抓包工具 Charles是一个HTTP代理服务器,HTTP监视器,反转代理服务器,当浏览器连接Charles的代理访问互联网时,Charles可以监控浏览器发送和接收的所有数据。它允许一个开发者查看所有连接互联网的HTTP通信,这些包括request, response和HTTP headers (包含cookies与caching信息)。
旧版APP抓包教程.rar
04-13
本教程聚焦于“旧版APP抓包教程”,旨在帮助你理解如何对旧版本的应用程序进行网络流量捕获,以便分析其通信行为、调试问题或检测潜在的安全漏洞。以下是一些关键知识点: 1. **抓包工具**:抓包工具如Wireshark、...
APP抓包( 过二次校验思路)
01-08
过双向校验的,得先去APP里面找到证书,然后导入到抓包工具里面,因为在向前面所述博客文章,去伪造证书已经不管用了,我们先去找找特征。 比如 搜索 运气好的话能搜索到证书,但是一般都有密码。。 我这里这个APP...
使用Node.js编写爬虫抓取大麦网场馆数据
10-19
http://devuser.github.io/docker-spider/ 使用Node.js编写爬虫抓取大麦网场馆数据。 仅用于初学者,请勿用于非法用途,切勿频繁访问大麦网。
微小RNA和长链非编码RNA在视网膜新生 血管生成中的作用
01-04
微小RNA和长链非编码RNA在视网膜新生 血管生成中的作用,贾育蓉,张琰,视网膜新生血管主要见于糖尿病性视网膜病变、视网膜静脉阻塞、视网膜静脉周围炎等疾病,都会造成视力不可逆的损伤。目前,临床上
论文研究-一种基于Xposed框架的Android应用恶意行为检测方法 .pdf
08-18
一种基于Xposed框架的Android应用恶意行为检测方法,王赛,郭燕慧,针对Android终端日益猖獗的恶意攻击,本文从恶意行为的触发和捕获两个方面对现有方法进行改进,提出一种基于Xposed框架的Android应用恶�
APP抓包分析1
08-08
如果看到客户端证书校验失败,可能的原因是app服务端设置了双向验证,这个时候需要逆向提取客户端证书并重新分析,客户端验证的文章可以参考 http://nateg
Fiddler抓包工具
Jak的博客
02-25 1703
一、Fiddler简介 Fiddler是位于客户端和服务器端的HTTP代理,目前最常用的http抓包工具之一,功能非常强大,是web调试的利器。 监控浏览器所有的HTTP/HTTPS流量 查看、分析请求内容细节 伪造客户端请求和服务器响应 测试网站的性能 解密HTTPS的web会话 全局、局部断点功能 第方插件 使用场景 接口调试、接口测试、线上环境调试、web性能分析 判断前后端bug、开发环境hosts配置、mock、弱网断网测试 Fiddler安装教程,百度云下载地址 二、B
阿里产品Xposed Hook检测机制原理分析
weixin_33750452的博客
06-29 484
2019独角兽企业重金招聘Python工程师标准>>> ...
大麦网回流票监控,sing参数分析
q2919761440的博客
10-11 1万+
其中token暂时未知,c就是url参数中的t时间戳,s就是url参数中的appKey固定值,data就是url参数中的data的json字符串,简单拼接就行。经过验证headers是统一的不会变也没有加密参数,cookie也是一致的但有未知参数**_m_h5_tk**、最近演唱会增多,总是抢不到票,所以想从回流票入手,做一个某麦网的演唱会回流票的监控。,不慌,咱只是看看有没有票不购买,直接抓包随便一个音乐节的票量接口。而这两个接口里的参数大同小异,分别如下。_m_h5_tk**,这下大功告成了。
docker+scrapy+scrapy_splash爬取大麦网
shelgi的博客
06-27 1320
文章目录背景开始起初思考 背景 今天拿到个代码需要改改,他是用scrapy爬取大麦网,然后我改了将近一个小时还是得不到内容,第一是太久没用scrapy写爬虫,其次也是因为当时思路太死板,忘了一些重要的细节问题,所以导致一直改不好代码。然后点了个外卖,继续想这个问题。 开始 起初 一开始我还是自己重新搭了一个scrapy的基本框架出来,还是那两句代码 scrapy startproject 项目名生成一个项目 scrapy genspider 爬虫名 网址生成爬虫,需要自己编写解析函数 然后开始写解析函数以及
手机app数据抓包分析怎么还原数据
06-06
要还原手机app数据抓包,需要使用抓包工具捕获app发送和接收的网络请求和响应。常用的抓包工具包括Fiddler、Charles等。捕获到网络请求和响应后,可以通过工具自带的解析功能或手动解析HTTP协议,还原出数据内容。 具体步骤如下: 1. 在抓包工具中设置代理,将手机连接到同一局域网下,并将代理地址和端口设置为抓包工具的监听地址和端口。 2. 打开手机上的app,并触发需要抓包的操作。 3. 在抓包工具中查看捕获到的网络请求和响应,包括请求头、请求体、响应头和响应体等。 4. 根据请求和响应的格式和内容,还原出数据内容。如果抓包工具支持自动解析,可以直接查看解析后的数据信息;如果不支持,可以手动解析HTTP协议,还原出数据内容。 需要注意的是,抓包和还原数据可能涉及到隐私和安全问题,应该遵守法律法规和道德准则,不要进行非法的操作。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值