當前位置:首頁 > IT技術 > 移動平臺 > 正文

某社交App cs簽名算法解析(二) 都是套路
2022-04-19 11:12:06

一、目標

能抓到包了,后面的套路大家都懂的。

某社交App cs簽名算法解析(二) 都是套路_Android

二、步驟

Jadx "cs"

先搜索 "cs"

某社交App cs簽名算法解析(二) 都是套路_Android_02

我去,結果很明晰嗎,才兩個結果,會不會有詐?

某社交App cs簽名算法解析(二) 都是套路_加殼_03

在這個 f108910CS 上點右鍵,看看誰調(diào)用了它。

某社交App cs簽名算法解析(二) 都是套路_微信公眾號_04

啥也別說了,一定是這個大兄弟了。

掛上心愛的Frida

var SNetworkSDKCls = Java.use('cn.sxxxapp.android.net.SxxxNetworkSDK');
SNetworkSDKCls.g.implementation = function(i,s1,s2){
var rc = this.g(i,s1,s2);
console.log("i = " + i);
console.log("s1 = " + s1);
console.log("s2 = " + s2);
console.log("g >>> rc= " + rc);

return rc ;
}

跑一把,

TIP: attach 模式跑的時候掛了,可能有檢測, spawn 模式跑的時候OK

某社交App cs簽名算法解析(二) 都是套路_商業(yè)_05

結果出來了。

. 參數(shù)1 是當前時間戳 . 參數(shù)2 是url的后面部分 . 參數(shù)3 基本就是Header里面的大雜燴, User-Agent + aid + at + av 等等等

三、總結

在古典PC互聯(lián)網(wǎng)時代,很多程序都依賴加殼,殼一脫,立馬就一馬平川了。

這個App一抓到包,后面也就沒難度了,所以不能太依賴某個方案,一旦大門打開了,房間門還要堅固才對。

奮飛:老板,我晃悠了好幾天,沒有遇到妹子呀。

不會呀,我今天都約了一個妹子來面試呀。 李老板晃著瑪薩拉蒂的車鑰匙說。

某社交App cs簽名算法解析(二) 都是套路_Android_06

利用一切可用的資源,小心陷進技術的泥潭

TIP: 本文的目的只有一個就是學習更多的逆向技巧和思路,如果有人利用本文技術去進行非法商業(yè)獲取利益帶來的法律責任都是操作者自己承擔,和本文以及作者沒關系。

關注微信公眾號: 奮飛安全,最新技術干貨實時推送

本文摘自 :https://blog.51cto.com/u

開通會員,享受整站包年服務立即開通 >