专栏首页Python编程与实战app逆向实战强化篇——破解某安卓APP请求加密参数

app逆向实战强化篇——破解某安卓APP请求加密参数

写在前面的话

今天分享另一个app逆向的实战 如果觉得对你有用,还请关注下公众号,后续会有更多的实战教学篇,以免错过噢! 话不多说,进入正题,开搞

抓包

国际惯例,先用 fiddler 抓包

分析请求参数,可以看到,手机号码以及密码都是加密的

请求

响应

app反编译

使用 jadx 直接打开 apk 文件

jadx

对抓包和反编译不熟悉的朋友,还请查看以前的文章,里面有详细的介绍!

参数搜索

点击菜单栏上面那个放大镜的图标,然后✔代码选项,根据抓包的请求参数,去搜索加密的源码

搜索界面

有时候某个参数搜索出来的结果很多,

我们可以换其他参数去搜索,或者给参数加上双引号来搜索,这样可以减少干扰项

下面是我搜索出来的加密源码

加密源码

加密源码

破解

根据源码中参数的加密方式,使用 python 代码来生成。

可以看到是 RSA/ECB/PKCS1Padding 加密,密匙使用了base64加密

然后再将 RSA 加密的结果再进行base64加密

在python中可以使用 pycryptodome 模块来实现 AES加密

有些源码看不懂没关系,多尝试,多查下 java 的用法,还有就是多问!

验证

登录验证

抓包的响应

上面是使用 Python 代码模拟登录结果和 fiddler 抓包的响应结果

从两者的结果比较中我们可以看到:

code 都是为 0,登录后的 token_onlie 的结果是一致

说明登录成功了,加密参数也破解了!

本文分享自微信公众号 - Python编程与实战(pthon1024),作者:Jerryning

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-04-03

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • Python获取NBA历史巨星和现役所有球员生涯数据曲线

    之前用 Python 写过一个自动生成球员职业生涯数据的程序,没想到反响很好,本人也感到很欣慰。很多人问我怎么做的,如何学 python 的,也有提建议说集成到...

    Python编程与实战
  • 爬虫必备技能之网页解析库:xpath用法和实战

    在安装 scrapy 之前需要先安装 Twisted 地址: https://www.lfd.uci.edu/~gohlke/pythonlibs/#twis...

    Python编程与实战
  • JS逆向之新榜登录

    此时的断点位置,一般是一个 XMLHttpRequest 的请求操作。所以我们顺着调用栈往回追。

    Python编程与实战
  • 优秀工程师必备技能之如何高效阅读源码

    “平时不用看源码, 看源码太费时间,还容易忘记,工作中出现问题再针对性地阅读,效率更高。”

    码哥字节
  • 阿里大牛再写传奇:并发原理JDK源码手册GitHub已破百万

    本手册的目的在于基于JDK 7和JDK 8,对整个Concurrent包进行全面的源码剖析。JDK 8中大部分并发功能的实现和JDK 7一样,但新增了一些额外特...

    Java搬砖工人
  • 黑客通过Facebook Messenger传播加密货币挖掘恶意软件

    在目前加密货币价格越来越高情况下,越来越多的网站偷偷摸摸地使用访问者的CPU来挖掘加密货币。但是一个新发现的挖掘恶意软件更加恶意,并且正在通过Facebook ...

    企鹅号小编
  • 白话微服务60秒番外篇:舱壁与熔断

    熔断侧重的是对于单一服务的失败控制。当失败比率达到一定程度,不会响应后续的请求。

    yuanyi928
  • 3行代码,用Python制作一个整蛊朋友的病毒小程序

    松鼠爱吃饼干
  • HTTP、HTTPS、加密型webshell一网打尽

    webshell是黑客进行网站攻击的一种恶意脚本,识别出webshell文件或通信流量可以有效地阻止黑客进一步的攻击行为。目前webshell的检测方法主要分为...

    绿盟科技研究通讯
  • 站在巨人肩膀上(上)

    1 摘要 这篇笔记主要介绍基于飞思卡尔软件开发平台(Software Development Kit)的应用软件开发,以IAR 为开发环境,LED闪烁亮灭的裸机...

    用户1605515

扫码关注云+社区

领取腾讯云代金券