寫在前面的話
本文首發(fā)于微信公眾號:Python編程與實戰(zhàn)进陡。轉(zhuǎn)載請聯(lián)系懒豹!
今天分享另一個app逆向的實戰(zhàn)
如果覺得對你有用,還請關(guān)注下公眾號侦锯,后續(xù)會有更多的app逆向?qū)崙?zhàn)篇,以免錯過秦驯!
話不多說尺碰,進(jìn)入正題,開搞
抓包
國際慣例,先抓包
分析請求參數(shù)亲桥,可以看到洛心,手機(jī)號碼以及密碼都是加密的
app反編譯
使用 jadx 直接打開 apk 文件
或者用 AndroidKiller 也可以,最近在研究 app逆向题篷,這個工具用的比較多词身。
其實結(jié)果都是一樣的,看個人習(xí)慣用哪一種工具番枚。
參數(shù)搜索
破解
根據(jù)源碼中參數(shù)的加密方式法严,使用 python 代碼來生成。
可以看到是 RSA/ECB/PKCS1Padding 加密葫笼,密匙使用了base64加密
然后再將 RSA 加密的結(jié)果再進(jìn)行base64加密
在python中可以使用 pycryptodome 模塊來實現(xiàn) AES加密
有些源碼看不懂沒關(guān)系深啤,多嘗試,多查下 java 的用法路星,還有就是多問溯街!
驗證
上面是使用 Python 代碼模擬登錄結(jié)果和 fiddler 抓包的響應(yīng)結(jié)果
從兩者的結(jié)果比較中我們可以看到:
code 都是為 0,登錄后的 token_onlie 的結(jié)果是一致
說明登錄成功了洋丐,加密參數(shù)也破解了呈昔!
公眾號:Python編程與實戰(zhàn)。歡迎關(guān)注垫挨!
推薦閱讀
Python爬蟲之JS逆向入門篇
用python一鍵生成你的微信好友頭像墻
pyecharts可視化和微信的結(jié)合
python數(shù)據(jù)可視化神器--pyecharts 快速入門
