首页 > 电脑常识 > 云计算

【2021-04-25】APP逆向之某智网加密数据

admin 云计算 2021-04-26 15:57:54 爬虫   APP逆向  
后台-系统设置-扩展变量-手机广告位-内容正文底部

声明:本文只作学习研究,禁止用于非法用途,否则后果自负,如有侵权,请告知删除,谢谢!

文章目录

  • 前言
  • 一、抓包分析
  • 二、加密定位
  • 三、总结


前言

好久没写过APP的逆向了,今天就分享下app的加密定位
目标app:某智网(药品相关)


一、抓包分析

直接抓列表的数据吧,反正解密方式都是一样的,这里请求参数里的randstr跟signature这个两个值是加密的,但是测试过是不检测,accesstoken这个是登入后生成的类似用户id,然后返回的数据是加密的
在这里插入图片描述

二、加密定位

用jadx打开app,直接搜长点的参数signature吧,这种请求参数一般会使用params.put方法赋值,我们细心找找,如果没有找到明显的特征,就换一个参数找
在这里插入图片描述

这里所有的请求参数赋值的位置就出来了,然后randstr跟signature,是跟据SHA类的方法生产的,我们直接进到SHA类里
在这里插入图片描述

然后找到getRandomString和arithmetic方法,其中getRandomString是产生随机16位数,arithmetic是根据timeStamp, randStr, "newdb"排序后数据的拼接字符串,再通过SHA1和MD5加密得到
在这里插入图片描述

到这里,请求参数的加密方法已经获取,然后是找数据解密得方法,这个方法我已经在WEB端获取过一次,只需要找到一个key值就可以,其实也就是在SHA这个类里

在这里插入图片描述


三、总结

这样,请求参数的加密方式,和返回数据的解密方法都解决了,来看看结果
在这里插入图片描述

文章来源:https://blog.csdn.net/qq_26079939/article/details/116129251

后台-系统设置-扩展变量-手机广告位-内容正文底部
版权声明

本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
本文地址:https://jcdi.cn/diannaochangshi/yunjisuan/724.html

留言与评论(共有 0 条评论)
   
验证码:
后台-系统设置-扩展变量-手机广告位-评论底部广告位

教程弟

https://www.jcdi.cn/

统计代码 | 京ICP1234567-2号

Powered By 教程弟 教程弟

使用手机软件扫描微信二维码