Android逆向 邻居合伙人 sign 算法

最新推荐文章于 2023-01-07 21:23:16 发布
最新推荐文章于 2023-01-07 21:23:16 发布
阅读量339 收藏
点赞数
分类专栏: 安卓逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhoumi_/article/details/113705415
版权

1. 查壳

  1. 无壳

2. 查看构造

  1. 通过 uiautomatorviewer 发现存在控件 不是H5的APP

3. 抓包

  1. 点击登录拿到请求

  2. 拿到提交参数关键字

    1. data

  3. apisign

在这里插入图片描述

4.查看Java源码

  1. jadx进行搜索’

在这里插入图片描述

  1. 因为是练手APK没啥难度甚至L.d都有,代码几乎没有混淆下面就是拿到常量值

在这里插入图片描述在这里插入图片描述

newBodyBuilder.add("data", data.toString());
newBodyBuilder.add("apisign", MD5Util.ToMD5(Constants.MD5_KEY, data.toString()));
L.d("请求地址RequestUrl=====", oldUrl.url().toString());
L.d("请求参数Params=========", data.toString());

public static final String MD5_KEY = "d367f4699214cec412f7c2a1d513fe05";
  1. 然后用ddms再确定下 data.toString() 的内容 搜索 请求参数Params

在这里插入图片描述

  1. 最后一个常规的数据摘要算法MD5只不过多了一个拼接

在这里插入图片描述

  1. 用一个工具测试下~ 相同搞定 就是一个常规的MD5。

在这里插入图片描述

zhoumi_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android逆向入门3——怎样才能找到sign算法-附件资源
03-05
Android逆向入门3——怎样才能找到sign算法-附件资源
frida hook邻居合伙人登录算法
weixin_33881753的博客
05-20 507
通过抓到找到他的登陆请求。 import frida, sys jscode = """ Java.perform(function () { var md5 = Java.use('com.softgarden.baselibrary.utils.MD5Util'); md5.ToMD5.implementation = function (a, b) { ...
安卓逆向sign
小小白哈喽的博客
01-16 783
很多小伙伴写活动的时候总是会遇到加密。比如今天我们今天讲的这个就是sign加密。 一般的话都是采用的md5加密,但是大家知道md5加密用猜测工具时间太久。想写这个app但是没加密肯定不行。很多小伙伴都会想到逆向。但是逆向是个可大可小的工程。我今天就用一个简单的方法带给大家一个安卓逆向hook哈希通杀系列的教程。不能说百分之百吧。但是只要用的原始的java层的md5加密算法咱们都能hook出来。 不说了上视频: 工具配置及下载地址:
app逆向 || xx合伙人登陆参数
逆向新手的博客
01-07 730
本人最近一直在学习app方面的逆向,会不定期的分享逆向的思路和技巧。xx合伙人apisign链接放在文末,有需要自行安装关于抓包工具、反编译工具、模拟器等工具的使用和安装这里不多做讲解。真机 Google Nexus 6p(安卓8.0)chalres抓包工具:postren、HttpCanary等jadx 1.4.5Ratel平头哥(Android hook工具)Frida14.2.17、frida-tools9.2.4(版本一定要对应!!!
某宝sign参数逆向分析
weixin_42260750的博客
01-22 957
说明 ​ 淘宝ajax获取数据的方式为jsonp请求,所以在chrome中使用xhr拦截请求中加密参数的方式拦截不到 解决办法 ​ 目前我使用的方法是 添加DOM断点的方法去监听页面元素的变化,同时使用charles去监听页面发送的请求,后面就是一步一步去调试,具体走到哪一步发送的请求,再进一步去调试,最终找到具体的加密位置 调试步骤 DOM元素打上断点鼠标移动到 发送请求的DOM元素位置,通过charles请求加上过滤条件,发现现在还没有监听到页面发送的jsonp请求,所以按F10继续往下走,同时继续
京东 APP 的 sign 算法以及请求库
最新发布
10-24
这有助于开发者学习和优化自己的签名算法,但同时也可能被恶意用户利用,因此,逆向学习必须遵循合法和道德的界限。 关于请求库,`lib-jingdong-app-signature-master`可能是一个开源项目,用于模拟京东APP的签名...
Android逆向助手-v2.2.zip
07-14
Android逆向助手v2.2深度解析》 在移动应用开发领域,Android逆向工程是一种重要的技术手段,用于分析应用程序的工作原理、检测安全漏洞或优化性能。Android逆向助手v2.2作为一款专为Android逆向分析设计的工具,...
Android逆向助手_v2.2
12-23
Android逆向助手_v2.2:探索移动应用的秘密》 在移动互联网时代,Android作为全球最广泛使用的操作系统之一,其应用市场的繁荣催生了众多创新与竞争。然而,随着技术的发展,安全问题日益凸显,开发者们需要面对...
Android逆向工具
05-19
Android逆向工具基础思维导图,便捷整理思路,环境配置、Android开发环境、安卓模拟器、一台调试手机、调试方法
Android逆向CTF基础题汇总
06-11
附件是八道Android基础逆向题,基本都是CTF题。平时网上基础的CTF题目比较难找,全靠平时慢慢积累起来的,后面有其他做过的CTF题再贴出来分享给大家练手。
逆向某网站sign签名算法
分享博主日常学习和使用的一些技术
04-17 4002
逆向某网站sign生产算法
Android逆向-实战sign分析-某某合伙人_v4.0.9
哔_哩哩!的博客
06-13 4137
1.基础分析 1.1.基础分析 工作中经常会对一些app进行安全审计,一般在拿到应用后可以使用APK Helper工具对应用做个简单分析,了解目标的包名,版本号,名称等基础信息,之后再安装到手机上熟悉下应用的业务,该应用属于哪类app,之后就是思考业务上可能存在的攻击点。 本次目标是一个电商应用,简单使用后可知应用存在登录,购买,支付等众多攻击点,这里我们就从登录入手。 登录逻辑的常见审计思路有: 1.审计客户端与服务端交互时是否直接将用户名密码进行明文传输。 2.客户端是否将用户登录的错误分开提醒如单独提
android sign签名
行万里路,结天下友
01-29 426
主要是解决汉化(反编译)最后一步签名的问题,网上的sign.bat 不是很好用,没有解释清楚 汉化方法参考: http://www.7xz.com/topic/3065   下载 sign包,解压后内容如下: libhgl.soREADMESign.batsignapk.jartestkey.pk8testkey.x509.pem 修改 sign.bat 文件,内容如下,只要2行即可,多...
js逆向之某联社sign值参数解析
BigBoy_Coder的博客
03-22 587
原创Mr.Yang菜鸟童靴今天 声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢! 练习网站平台: aHR0cHMlM0EvL3d3dy5jbHMuY24v 抓取目标: 这次要分析的是首页的「电报」部分内容 在一位大佬的公众号中,发现了一个网站,大佬说他差点翻车,哈哈,咱们也瞧一瞧 开启分析之旅: 进入首页,...
安卓逆向hook sign SHA1加密
小小白哈喽的博客
01-16 822
安卓逆向hook sign SHA1加密 其实hook 的方法有很多就看你们是否要用心学了,当然说直白一点像白嫖是不可能的。今天又给大家带来一款hook java层ShA加密的工具。废话不多说上教程。还是要啰嗦几句,并不一定100%的app都可以。我可有这么说吧,最低 60%都行。 视频地址: <iframe src="//player.bilibili.com/player.html?aid=415660933&bvid=BV1JV411h72F&cid=267427943&amp
JS逆向——破解百度翻译参数(sign)爬虫 超级详细
u013444182的博客
07-08 6166
一、分析请求参数 打开地址: https://fanyi.baidu.com/ 打开Chrome调试工具,然后随意输入一段文字,查看抓包结果。 post请求 Form data 参数 如上图所示,Form Date中只有两项是会变化的: query:我们要翻译的内容 sign:本文的BOSS出现了,一串意义不明的浮点数值。 token是不变的,先给查找出来,全局搜索 全局搜索发现 token 的值 token:13508e550366f3004701d561721e12bd
某物小程序sign逆向-记录
weixin_41259961的博客
08-17 4448
这篇文章主要记录一下小程序的反编译过程和sign逆向
APP逆向案例之(三)sign 参数破解
zhaoxiaoba123的博客
11-26 2156
某新闻APP sign 参数 其中 sign 参数是需要变化的否则访问失败,其余都是固定的
逆向Android App soul api-sign算法分析
而浮生若梦,为欢几何
10-23 7098
一·背景 soul 这款app 还是有点意思的,作为上帝视角的程序员来说 怎么能不尝试开启金手指模式。 二·反编译 本篇文章主要是对api-sign算法的分析,反编译步骤请参考网络其他文章。 三·算法分析 请求接口:https://api.soulapp.cn/v3/post/praise?postId=294348164 请求头: api-sign:853F2B036105103D5AA7EB4...
Android逆向:动态调试实战指南
Android逆向之动态调试技术是一篇详细指南,专为Android逆向开发者设计,深入探讨了在开发过程中如何动态调试APK的smali代码。文章首先从确保设备已root开始,因为root权限是进行底层操作的关键,包括安装调试工具、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值