知識星球來自:Python程式設計與實戰(微訊號:pthon1024)
前言:
前段時間做爬蟲遇到一個app,裡面的資料需要登入之後才能拿到,而且登入不能用密碼,只能透過驗證碼登入。
這不是明擺著欺負人麼,按趙四哥那句話來說就是:
生死看淡,不服就乾!
所以接下來手把手帶大家就某個app登陸請求的加密引數進行分析破解,
從而實現從網路抓包的密文到明文的轉換。
環境配置:
Python
Java
dex2jar(將apk反編譯成java原始碼)
jd_gui(原始碼檢視)
jadx
已root的手機或者安卓模擬器
fiddler
PS:公眾號後臺回覆 “反編譯” 即可獲取反編譯工具包
分析:
首先我們用fiddler抓包工具對app的登陸進行抓包,這個app抓包需要開啟全域性代理,不然會抓不到資料。
如果還不會使用全域性代理抓包的朋友,可以看下前面一篇文章,裡面有詳細的抓包教程。
抓包的資料如下:
我們可以看到有個token的引數,有經驗的朋友知道,這是伺服器後臺生成的,而且在傳送登陸驗證碼請求之前並沒有其它的資料交換!
這時候我們就要去看 app 原始碼找到這個引數的加密方式,然後用轉換成Python程式碼生成。
接下來就帶大家就一步一步來破解這個引數。
破解過程:
我們要獲取app原始碼,就要對app進行反編譯,反編譯方式很簡單,直接用工具搞定。
有兩種反編譯方式可供選擇,反編譯過程如下:
1.將安卓app的字尾更改為可解密的包,並解壓
2.將解壓後生成的字尾為.dex複製到dex2jar安裝目錄中
3.DOS命令列進入此檔案夾,然後執行命令:dex2jar.bat classes.dex
這個app有兩個 *.dex *檔案,所以兩個* .dex* 檔案都需要執行
執行完之後會生成兩個對應的 .jar檔案,效果如下:
4. 生成.jar檔案就是apk的原始碼了,我們使用jd_gui來檢視原始碼
幸運的是這個app並沒有加固,有app進行了加固,像騰訊樂固,360加固等等
對於這種我們不能直接反編譯,首先需要脫殼,然後再反編譯
5.第二種反編譯的方法是直接使用工具jadx開啟.apk檔案
剩下的事就是仔細閱讀程式碼,分析其中的邏輯了。
6.根據請求或響應的引數去原始碼中搜索加密方式
需要註意的是,反編譯的程式碼非常混亂,錯誤很多,並且apk經過混淆,變數名都消失了,這時一定要有有耐心,仔細研究程式碼。
根據前面請求、響應引數去搜索,或者請求的 url 地址去搜索,而且經驗很重要
然後根據這些搜尋到的結果慢慢去找。我們主要找到傳送請求的時候定義引數的程式碼,然後往上追溯,
在查詢的過程中要盡可能的多嘗試,大膽猜測
最後我根據keycode找到了登入響應引數的生成函式
其中有下劃線的地方,我們可以直接點進去
這部分程式碼就是加密的方法!
驗證
我們把原始碼複製出來,分析加密引數
private String c(String paramString)
{
Date localDate = new Date();
Locale localLocale1 = Locale.CHINA;
String str1 = new SimpleDateFormat("yyyyMMdd", localLocale1).format(localDate);
Locale localLocale2 = Locale.CHINA;
String str2 = new SimpleDateFormat("MMdd", localLocale2).format(localDate);
StringBuilder localStringBuilder1 = new StringBuilder();
String str3 = paramString.substring(7);
StringBuilder localStringBuilder2 = localStringBuilder1.append(str3);
StringBuilder localStringBuilder3 = localStringBuilder1.append(str2);
String str4 = localStringBuilder1.toString();
StringBuilder localStringBuilder4 = new StringBuilder();
StringBuilder localStringBuilder5 = localStringBuilder4.append(paramString);
StringBuilder localStringBuilder6 = localStringBuilder4.append("|");
StringBuilder localStringBuilder7 = localStringBuilder4.append(str1);
String str5 = localStringBuilder4.toString();
try
{
str5 = zxw.data.c.b.a(str5, str4);
}
catch (Exception localException)
{
localException.printStackTrace();
str5 = null;
}
return c.a(str5);
}
其中生成了兩個引數str5,str4傳到加密函式。
下麵是str5的生成程式碼
String str1 = new SimpleDateFormat("yyyyMMdd", localLocale1).format(localDate);
StringBuilder localStringBuilder4 = new StringBuilder();
StringBuilder localStringBuilder5 = localStringBuilder4.append(paramString);
StringBuilder localStringBuilder6 = localStringBuilder4.append("|");
StringBuilder localStringBuilder7 = localStringBuilder4.append(str1);
String str5 = localStringBuilder4.toString();
str1 = 20190319,也就是今天的日期
str5 = 傳過來的引數 + ‘|’ + ‘20190319’
那麼str4呢
String str2 = new SimpleDateFormat("MMdd", localLocale2).format(localDate);
StringBuilder localStringBuilder1 = new StringBuilder();
String str3 = paramString.substring(7);
StringBuilder localStringBuilder2 = localStringBuilder1.append(str3);
StringBuilder localStringBuilder3 = localStringBuilder1.append(str2);
String str4 = localStringBuilder1.toString();
java的substring()方法類似 python中的字串切片,只是substring()方法傳回字串的子字串。
那麼我們可以推測,paramString是一個長度大於7的字串。這裡大膽的猜測是我們提交的那個手機號碼,因為我們請求的時候只提交了這個引數。
所以 str4 = ‘手機號碼後四位’ + 0319
如果不知道生成的方式,就用 java執行一波,將這兩個引數打印出來,是最方便快捷的方法~~
既然知道加密引數了,接下來就是驗證了
原始碼加密的方法如下:
下麵是用 python 程式碼改造後的加密
執行之後的結果為 False,仔細看兩者字母,數字基本都是一樣的,感覺應該是對了,但還是有點差異!
再傳回去看看原始碼,原始碼中最後將生成的加密資料再傳給了某個函式再傳回
return c.a(str5);
下麵是這個 *c.a *的函式:
public class c
{
public static String a(String paramString)
{
return paramString.replaceAll("\+", "!");
}
}
原來是將 “+” 替換成了 “!”
所以我們將之前執行出來的結果中的 “+” 替換成 “!” 就是完全正確了!
so, 我們就將這個token引數給破解了!
總結
1.對於app加密的要有耐心,尤其是在根據引數在原始碼中尋找加密方式的時候,更加需要耐心。
2.善於利用搜索引擎,碰到看不懂的方法,就去網上多搜尋。
3.如果認識大佬,當然是要抱緊大佬的大腿啊,多問問大佬,會讓你事半功倍!
當你解決的問題那一刻,你就會發現之前受的苦都是值得的!
朋友會在“發現-看一看”看到你“在看”的內容