安卓APP逆向入門分析——破解某APP登陸請求引數
前言:
前段時間做爬蟲遇到一個app,裡面的資料需要登入之後才能拿到,而且登入不能用密碼,只能透過驗證碼登入。這不是明擺著欺負人麼,按趙四哥那句話來說就是:
生死看淡,不服就幹!
所以接下來手把手帶大家就某個app登陸請求的加密引數進行分析破解,從而實現從網路抓包的密文到明文的轉換。
環境配置:
PyhtonJavadex2jar
(將apk反編譯成java原始碼)
jd_gui
(原始碼檢視)
jadx已root的手機或者安卓模擬器fiddler
PS:公眾號後臺回覆 "反編譯" 即可獲取反編譯工具包
分析:
首先我們用fiddler抓包工具對app的登陸進行抓包,這個app抓包需要開啟全域性代理,不然會抓不到資料。
如果還不會使用全域性代理抓包的朋友,可以看下前面一篇文章,裡面有詳細的抓包教程。
抓包的資料如下:
我們可以看到有個
token
的引數,有經驗的朋友知道,這是伺服器後臺生成的,而且在傳送登陸驗證碼請求之前並沒有其它的資料交換!
這時候我們就要去看app原始碼找到這個引數的加密方式,然後用轉換成
Python
程式碼生成。
接下來就帶大家就一步一步來破解這個引數。
破解過程:
我們要獲取app原始碼,就要對app進行反編譯,反編譯方式很簡單,直接用工具搞定。有兩種反編譯方式可供選擇,反編譯過程如下:
1。將安卓app的字尾更改為可解密的包,並解壓
2。將解壓後生成的字尾為
。dex
複製到
dex2jar
安裝目錄中
3。DOS命令列進入此資料夾,然後執行命令:
dex2jar。bat classes。dex
。這個app有兩個
。dex
檔案,所以兩個
。dex
檔案都需要執行
執行完之後會生成兩個對應的
。jar
檔案,效果如下:
生成。jar檔案就是apk的原始碼了,我們使用
jd_gui
來檢視原始碼
幸運的是這個app並沒有加固,有app進行了加固,像
騰訊樂固
,
360加固
等等
對於這種我們不能直接反編譯,首先需要脫殼,然後再反編譯
5。第二種反編譯的方法是直接使用工具
jadx
開啟
。apk
檔案剩下的事就是仔細閱讀程式碼,分析其中的邏輯了。
6。根據請求或響應的引數去原始碼中搜索加密方式
需要注意的是,反編譯的程式碼非常混亂,錯誤很多,並且apk經過混淆,變數名都消失了,這時一定要有有耐心,仔細研究程式碼。根據前面請求、響應引數去搜索,或者請求的 url 地址去搜索,而且經驗很重要。
我們就要根據這些搜尋到的結果慢慢去找了。我們主要找到傳送請求的時候定義引數的程式碼,然後往上追溯在查詢的過程中要儘可能的多嘗試,大膽猜測
最後根據
keycode
找到了登入響應引數的生成函式
其中有下劃線的地方,我們可以直接點進去
這部分程式碼就是加密的方法!
驗證
我們把原始碼複製出來,分析加密引數
private String c(String paramString)
{
Date localDate = new Date();
Locale localLocale1 = Locale。CHINA;
String str1 = new SimpleDateFormat(“yyyyMMdd”, localLocale1)。format(localDate);
Locale localLocale2 = Locale。CHINA;
String str2 = new SimpleDateFormat(“MMdd”, localLocale2)。format(localDate);
StringBuilder localStringBuilder1 = new StringBuilder();
String str3 = paramString。substring(7);
StringBuilder localStringBuilder2 = localStringBuilder1。append(str3);
StringBuilder localStringBuilder3 = localStringBuilder1。append(str2);
String str4 = localStringBuilder1。toString();
StringBuilder localStringBuilder4 = new StringBuilder();
StringBuilder localStringBuilder5 = localStringBuilder4。append(paramString);
StringBuilder localStringBuilder6 = localStringBuilder4。append(“|”);
StringBuilder localStringBuilder7 = localStringBuilder4。append(str1);
String str5 = localStringBuilder4。toString();
try
{
str5 = zxw。data。c。b。a(str5, str4);
}
catch (Exception localException)
{
localException。printStackTrace();
str5 = null;
}
return c。a(str5);
}
其中生成了兩個引數
str5
,
str4
傳到加密函式。下面是
str5
的生成程式碼
String str1 = new SimpleDateFormat(“yyyyMMdd”, localLocale1)。format(localDate);
StringBuilder localStringBuilder4 = new StringBuilder();
StringBuilder localStringBuilder5 = localStringBuilder4。append(paramString);
StringBuilder localStringBuilder6 = localStringBuilder4。append(“|”);
StringBuilder localStringBuilder7 = localStringBuilder4。append(str1);
String str5 = localStringBuilder4。toString();
str1 = 20190319
,也就是今天的日期
str5 = 傳過來的引數 + '|' + '20190319'
那麼
str4
呢
String str2 = new SimpleDateFormat(“MMdd”, localLocale2)。format(localDate);
StringBuilder localStringBuilder1 = new StringBuilder();
String str3 = paramString。substring(7);
StringBuilder localStringBuilder2 = localStringBuilder1。append(str3);
StringBuilder localStringBuilder3 = localStringBuilder1。append(str2);
String str4 = localStringBuilder1。toString();
java的
substring()
方法類似 python中的字串切片,只是
substring()
方法返回字串的子字串。也可以推測,
paramString
是一個長度大於7的字串。這裡大膽的猜測是我們提交的那個手機號碼,因為我們請求的時候只提交了這個引數。
所以
str4 = '手機號碼後四位' + 0319
如果不知道生成的方式,就用 java執行一波,將這兩個引數打印出來,是最方便快捷的方法~~
既然知道加密引數了,接下來就是驗證了原始碼加密的方法如下:
用 python 程式碼改造的加密
執行之後的結果為 False,仔細看兩者字母,數字基本都是一樣的,感覺應該是對了,但還是有點差異!再返回去看看原始碼,原始碼中最後將生成的加密資料再傳給了某個函式再返回
return c。a(str5);
下面是這個
c。a
的函式:
public class c
{
public static String a(String paramString)
{
return paramString。replaceAll(“\\+”, “!”);
}
}
原來是將 “+” 替換成了 “!”所以我們將之前執行出來的結果中的 “+” 替換成 “!” 就是完全正確了!so, 我們就將這個
token
引數給破解了!
總結
1。對於app加密的要有耐心,尤其是在根據引數在原始碼中尋找加密方式的時候,更加需要耐心。2。善於利用搜索引擎,碰到看不懂的方法,就去網上多搜尋。3。如果認識大佬,當然是要抱緊大佬的大腿啊,多問問大佬,會讓你事半功倍!
當你解決的問題那一刻,你就會發現之前受的苦都是值得的!
Python程式設計與實戰