歡迎光臨
每天分享高質量文章

app逆向入門分析——破解某APP登陸請求引數

來自:Python編程與實戰(微信號:pthon1024)

 

前言:

前段時間做爬蟲遇到一個app,裡面的資料需要登錄之後才能拿到,而且登錄不能用密碼,只能通過驗證碼登錄。
這不是明擺著欺負人麽,按趙四哥那句話來說就是:

生死看淡,不服就乾!

所以接下來手把手帶大家就某個app登陸請求的加密引數進行分析破解,
從而實現從網絡抓包的密文到明文的轉換。

環境配置:

Python
Java
dex2jar(將apk反編譯成java原始碼)
jd_gui(原始碼查看)
jadx
已root的手機或者安卓模擬器
fiddler

PS:公眾號後臺回覆 “反編譯” 即可獲取反編譯工具包

分析:

首先我們用fiddler抓包工具對app的登陸進行抓包,這個app抓包需要開啟全域性代理,不然會抓不到資料。

如果還不會使用全域性代理抓包的朋友,可以看下前面一篇文章,裡面有詳細的抓包教程。

抓包的資料如下:

發送驗證碼請求引數

我們可以看到有個token的引數,有經驗的朋友知道,這是服務器後臺生成的,而且在發送登陸驗證碼請求之前並沒有其它的資料交換!

登錄請求引數

這時候我們就要去看 app 原始碼找到這個引數的加密方式,然後用轉換成Python代碼生成。

接下來就帶大家就一步一步來破解這個引數。

破解過程:

我們要獲取app原始碼,就要對app進行反編譯,反編譯方式很簡單,直接用工具搞定。
有兩種反編譯方式可供選擇,反編譯過程如下:

1.將安卓app的後綴更改為可解密的包,並解壓

解壓生產.dex

2.將解壓後生成的後綴為.dex複製到dex2jar安裝目錄中

解壓生產.dex

3.DOS命令列進入此檔案夾,然後執行命令:dex2jar.bat   classes.dex

這個app有兩個 *.dex *檔案,所以兩個* .dex* 檔案都需要執行

執行完之後會生成兩個對應的  .jar檔案,效果如下:

反編譯生成.jar檔案

4. 生成.jar檔案就是apk的原始碼了,我們使用jd_gui來查看原始碼

查看原始碼

幸運的是這個app並沒有加固,有app進行了加固,像騰訊樂固360加固等等

騰訊加固
360加固

對於這種我們不能直接反編譯,首先需要脫殼,然後再反編譯

5.第二種反編譯的方法是直接使用工具jadx打開.apk檔案

剩下的事就是仔細閱讀代碼,分析其中的邏輯了。

6.根據請求或響應的引數去原始碼中搜索加密方式

需要註意的是,反編譯的代碼非常混亂,錯誤很多,並且apk經過混淆,變數名都消失了,這時一定要有有耐心,仔細研究代碼。
根據前面請求、響應引數去搜索,或者請求的 url 地址去搜索,而且經驗很重要

搜索結果

然後根據這些搜索到的結果慢慢去找。我們主要找到發送請求的時候定義引數的代碼,然後往上追溯,
在查找的過程中要盡可能的多嘗試,大膽猜測

最後我根據keycode找到了登錄響應引數的生成函式

登錄響應引數

其中有下劃線的地方,我們可以直接點進去

加密方法

這部分代碼就是加密的方法!

驗證

我們把原始碼拷貝出來,分析加密引數

private String c(String paramString)
  {
    Date localDate = new Date();
    Locale localLocale1 = Locale.CHINA;
    String str1 = new SimpleDateFormat("yyyyMMdd", localLocale1).format(localDate);
    Locale localLocale2 = Locale.CHINA;
    String str2 = new SimpleDateFormat("MMdd", localLocale2).format(localDate);
    StringBuilder localStringBuilder1 = new StringBuilder();
    String str3 = paramString.substring(7);
    StringBuilder localStringBuilder2 = localStringBuilder1.append(str3);
    StringBuilder localStringBuilder3 = localStringBuilder1.append(str2);
    String str4 = localStringBuilder1.toString();
    StringBuilder localStringBuilder4 = new StringBuilder();
    StringBuilder localStringBuilder5 = localStringBuilder4.append(paramString);
    StringBuilder localStringBuilder6 = localStringBuilder4.append("|");
    StringBuilder localStringBuilder7 = localStringBuilder4.append(str1);
    String str5 = localStringBuilder4.toString();
    try
    {
      str5 = zxw.data.c.b.a(str5, str4);
    }
    catch (Exception localException)
    {
      localException.printStackTrace();
      str5 = null;
    }
    return c.a(str5);
  }

其中生成了兩個引數str5,str4傳到加密函式。
下麵是str5的生成代碼

String str1 = new SimpleDateFormat("yyyyMMdd", localLocale1).format(localDate);
StringBuilder localStringBuilder4 = new StringBuilder();
StringBuilder localStringBuilder5 = localStringBuilder4.append(paramString);
StringBuilder localStringBuilder6 = localStringBuilder4.append("|");
StringBuilder localStringBuilder7 = localStringBuilder4.append(str1);
String str5 = localStringBuilder4.toString();

str1 = 20190319,也就是今天的日期
str5 = 傳過來的引數 + ‘|’ + ‘20190319’
那麼str4

String str2 = new SimpleDateFormat("MMdd", localLocale2).format(localDate);
StringBuilder localStringBuilder1 = new StringBuilder();
String str3 = paramString.substring(7);
StringBuilder localStringBuilder2 = localStringBuilder1.append(str3);
StringBuilder localStringBuilder3 = localStringBuilder1.append(str2);
String str4 = localStringBuilder1.toString();

java的substring()方法類似 python中的字串切片,只是substring()方法傳回字串的子字串。

那麼我們可以推測,paramString是一個長度大於7的字串。這裡大膽的猜測是我們提交的那個手機號碼,因為我們請求的時候只提交了這個引數。

所以 str4 = ‘手機號碼後四位’ + 0319
如果不知道生成的方式,就用 java運行一波,將這兩個引數打印出來,是最方便快捷的方法~~

既然知道加密引數了,接下來就是驗證了
原始碼加密的方法如下:

原始碼加密

下麵是用 python 代碼改造後的加密

python改造的加密

運行之後的結果為 False,仔細看兩者字母,數字基本都是一樣的,感覺應該是對了,但還是有點差異!
再傳回去看看原始碼,原始碼中最後將生成的加密資料再傳給了某個函式再傳回

 return c.a(str5);

下麵是這個 *c.a *的函式:

public class c
{
  public static String a(String paramString)
  {
    return paramString.replaceAll("\+""!");
  }
}

原來是將 “+” 替換成了 “!”
所以我們將之前運行出來的結果中的 “+”  替換成  “!” 就是完全正確了!
so, 我們就將這個token引數給破解了!

總結

1.對於app加密的要有耐心,尤其是在根據引數在原始碼中尋找加密方式的時候,更加需要耐心。
2.善於利用搜索引擎,碰到看不懂的方法,就去網上多搜索。
3.如果認識大佬,當然是要抱緊大佬的大腿啊,多問問大佬,會讓你事半功倍!

當你解決的問題那一刻,你就會發現之前受的苦都是值得的!

赞(0)

分享創造快樂