首页 网络安全 漏洞挖掘 查看内容

「安卓逆向」xx招聘app登陆协议实战简单分析

2020-1-27 20:02 |来自: 互联网 1903 0

摘要: 前言:今天老同学叫我帮他找哈工作,闲来无事我就打开了xx招聘,手痒的我就着手分析一波协议 工具:fidller、jadx、mmds、androidkiller、idaPS:没有根据喝样本的同学可以私聊我 1. 首先我们安装apk到模拟器2. 打开fillder配置证书,这里就不细说了哈3.输入账号密码截获登陆请求4.抓包发现 登陆之前就 ...
关键词: 加密 一波 具体 方法 分析 密法 密码 jadx 输入 参数

前言:今天老同学叫我帮他找哈工作,闲来无事我就打开了xx招聘,手痒的我就着手分析一波协议

工具:fidller、jadx、mmds、androidkiller、ida

PS:没有根据喝样本的同学可以私聊我

1. 首先我们安装apk到模拟器

2. 打开fillder配置证书,这里就不细说了哈

3.输入账号密码截获登陆请求

4.抓包发现 登陆之前就把我们输入的密码进行加密 ,那我们就去找加密的地方。

5.Jadx 反编译一波,利用网址搜索法


6.我们搜出一个结果查看调用发现4处地方使用到了该方法

逐个分析

在这里我分析了一遍都在使用了里面的具体方法 ,无法确定到底走了哪个分支

7.那我们现在用方法抛析来看一遍他到底走的哪里

发现密码加密,这个关键字眼,我们过去看下

在jadx里面找到这个类

8.发现在so里,ida打开

定位到具体函数所在的类

查看分析伪代码找到加密密法的具体方法

具体加密实现的逻辑

9.找到这些我们是不是可以hook一波

OK,我们hook一波看看加密前和加密后的样子

10. 成功找到加密前的参数和加密后的参数

是不是很简单!

本文出处: https://www.toutiao.com/a6784373418633462284/
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部