奇遇资源网
当前位置:奇遇资源网 / 编程相关 / 正文

【技术专题】巧用CE查APP加密方法

作者:小刀娱乐网发布时间:2019-12-02 02:09浏览数量:447次评论数量:0次


前言


起因:今天正在做单子,发现有MD5加密,用JEB没弄成,忽然想到这个办法,所以就拿虎扑做实验 

原理:一般加密前,都会把要加密的参数组合起来然后加密,然后我们就用CE搜索这个内存即可 

准备工作:虎扑app(7.3.17) 

抓包分析:登录提交内容为:

clientId=78892224&crt=1568304976562&night=0&channel=360&sign=2c171a8edd3c60b83584896ab5c2b9e5&_ssid=ImdhcmRlbiI%3D&_imei=865166028239823&time_zone=Asia%2FShanghai&password=96e79218965eb72c92a549dd5a330112&client=43515e59064757f4&android_id=43515e59064757f4&username=111111111 

分析思路:一般来说,APP的加密大多为MD5加密,特别是签名,常见的sign大多为一些参数组合起来后进行MD5加密。


教学环节


打开CE,附加模拟器进程,一定要附加模拟器主进程,我用的雷电,附加LdBoxHeadless.exe这个进程


纵观参数,crt是现行时间戳,这个参数在内存中应该出现的次数比较少,不像其他参数可能在别的地方也出现,干扰咱分析(目的就是减少内存地址,方便看结果),我们现在不知道他的组合方式,但是可以确定这个参数肯定参与加密(如果不确定可以再发送一次,检测sign是否受时间戳影响,确定参数参与加密),那么我们直接在CE搜索字符串 1568304976562



搜索出来后全部加入到CE的下边,从第一个开始,按CTRL+B 查看内存附近

第一个地址看到已经出现了sign参数,说明这个地址是整个发送协议,不是加密的地址,继续看下一个

第二个地址 应该是获取时间戳的地址,没有加密过程,继续下一个地址

一直到第5个时候,发现提交的参数都有,唯独没有sign参数,说明这个就是加密的字符串


观察字符串,发现开始加密的地方是3E53610B 那一行,但是第一个是个00 所以内存地址往后一位是3E53610C(这个步骤如果不懂不要管,只是为了把那串字符串复制出来!)

复制出来数据内容是:_imei=865166028239823&_ssid=ImdhcmRlbiI=&android_id=43515e59064757f4&channel=360&client=43515e59064757f4&clientId=78892224&crt=1568304976562&night=0&password=96e79218965eb72c92a549dd5a330112&time_zone=Asia/Shanghai&username=111111111HUPU_SALT_AKJfoiwer394Jeiow4u309


我们对这串数据进行md5加密尝试——


(文章内容摘自精易论坛并作稍许改动)



本篇文章来源于微信公众号: 易语言自习室

End

免责声明:本文由本站编辑并发布,但不代表本站的观点和立场。

小刀娱乐网

小刀娱乐网 主页 联系他吧

描述:TA很懒,啥都没写...

欢迎 发表评论: