-
-
[原创]记一次APP抓包与报文签名伪造
-
发表于: 2019-9-17 01:28
-
记一次APP抓包及分析:
1.分析报文,可知通信方式为HTTPS,有cert,data,sign三个数据段;
2.脱壳反编译,静态分析三段报文的构成方式,此处可用字符串搜索,ddms堆栈调用截取等方式判断调用函数;
3.frida确定调用函数,打印上一步找到的函数参数列表以及返回值,精确找到报文构成函数,此处可以得出a(String str)函数即为报文构成函数,分析此处代码可知,cer数据段为产生随机数的加密值;data数据段为通信数据报文加密值;sign数据段为签名值,构成为 sign=md5(data + "key=" + 随机数)
4.分析data段加密方式,使用jadx,jeb等工具分析data数据段加密方式,此处由
String a2 = c.a(str, str2, "UTF-8")可知data数据调用了c.a函数,跟进可得data数据报文使用了AES/CBC/PKCS5Padding对称加密算法,且明文硬编码key为 qwemoQAPydFvWWLq,初始化向量IV为 wOzCypMUYVuiQO9f,此时即可以加解密报文。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
