-
-
[原创] 手游浅析之玩乐001
-
发表于: 2019-11-14 10:02
-
0x1. App下载链接初探
0x2. URL地址解析
1. 两者比较
通过对海南和内蒙两个App的URL下载地址进行比对,出现了地域名,如下图所示。
2. 替换参数1
通过海南麻将App的下载链接,修改地域名为:neimeng 后,可跳转到内蒙麻将App下载页面。
3. 替换参数2
通过内蒙麻将App的下载链接,修改地域名为:hainan 后,可跳转到海南麻将App下载页面。
4. 替换参数3
将地域名参数替换为:fujian(福建)后,可跳转到 福建麻将App 下载页面。类似的进行其它省份的尝试,没有相应的跳转。
地址1
地址2**注**:以上两个URL地址和前面向客服获取的二维码扫描后提取的链接(福建麻将App下载链接)完全不一样
0x3. 域名 nslookup
- llhn.shcdn.zhanhongwang.com
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | IP Addresses: 111.126.120.234 (内蒙古自治区赤峰市 电信) 111.126.120.228 (内蒙古自治区赤峰市 电信) 111.126.120.235 (内蒙古自治区赤峰市 电信) 111.126.120.229 (内蒙古自治区赤峰市 电信) 111.126.120.233 (内蒙古自治区赤峰市 电信)---------------------------------------------------------------------------- 219.147.108.243 (内蒙古自治区乌海市 电信) 121.56.84.230 (内蒙古自治区乌海市 电信) 121.56.84.231 (内蒙古自治区乌海市 电信) 121.56.84.228 (内蒙古自治区乌海市 电信) 219.147.108.242 (内蒙古自治区乌海市 电信) 121.56.84.229 (内蒙古自治区乌海市 电信)---------------------------------------------------------------------------- 36.102.211.230 (内蒙古自治区呼和浩特市 电信) 36.102.211.231 (内蒙古自治区呼和浩特市 电信)Aliases: llhn.shcdn.zhanhongwang.com |
- llmj.cdn.idj66tdk.com
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 | IP Addresses: 121.56.84.229 (内蒙古自治区乌海市 电信) 121.56.84.228 (内蒙古自治区乌海市 电信) 121.56.84.230 (内蒙古自治区乌海市 电信) 121.56.84.233 (内蒙古自治区乌海市 电信) 219.147.108.243 (内蒙古自治区乌海市 电信)------------------------------------------------------------------------------ 111.126.120.230 (内蒙古自治区赤峰市 电信) 111.126.120.228 (内蒙古自治区赤峰市 电信) 111.126.120.229 (内蒙古自治区赤峰市 电信) 111.126.120.235 (内蒙古自治区赤峰市 电信) 111.126.120.232 (内蒙古自治区赤峰市 电信) 219.147.108.240 (内蒙古自治区乌海市 电信)------------------------------------------------------------------------------- 36.102.211.236 (内蒙古自治区呼和浩特市 电信) 36.102.211.230 (内蒙古自治区呼和浩特市 电信)Aliases: llmj.cdn.idj66tdk.com |
- formal.push.thinkcode.top
1 | IP Address: 62.234.196.131 (北京市北京市 腾讯云) |
0x4. Apk签名校验
1. 内蒙麻将Apk指纹
1 2 3 4 5 6 7 8 9 10 | 所有者: EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US发布者: EMAILADDRESS=android@android.com, CN=Android, OU=Android, O=Android, L=Mountain View, ST=California, C=US序列号: 936eacbe07f201df有效期为 Fri Feb 29 09:33:46 CST 2008 至 Tue Jul 17 09:33:46 CST 2035证书指纹: MD5: E8:9B:15:8E:4B:CF:98:8E:BD:09:EB:83:F5:37:8E:87 SHA1: 61:ED:37:7E:85:D3:86:A8:DF:EE:6B:86:4B:D8:5B:0B:FA:A5:AF:81 SHA256: A4:0D:A8:0A:59:D1:70:CA:A9:50:CF:15:C1:8C:45:4D:47:A3:9B:26:98:9D:8B:64:0E:CD:74:5B:A7:1B:F5:DC签名算法名称: SHA1withRSA主体公共密钥算法: 2048 位 RSA 密钥 |
2. 湖南麻将Apk指纹
1 2 3 4 5 6 7 8 9 10 | 所有者: O=HaiNan发布者: O=HaiNan序列号: 4dc45508有效期为 Tue Mar 13 20:47:05 CST 2018 至 Wed Feb 29 20:47:05 CST 2068证书指纹: MD5: F8:AC:68:2C:C3:68:90:3E:B9:06:BD:DD:E6:95:A9:8A SHA1: F7:9B:44:51:69:62:E7:CD:82:10:6F:FA:50:65:18:DB:CD:E3:00:51 SHA256: 63:D1:51:21:8C:52:A5:A2:08:0A:21:3B:40:4D:3F:CC:3C:22:EE:3E:A2:CB:F9:D1:C9:B7:3C:06:A1:E0:76:C4签名算法名称: SHA1withRSA主体公共密钥算法: 1024 位 RSA 密钥 |
3. 福建麻将Apk指纹
1 2 3 4 5 6 7 8 9 10 | 所有者: O=llfjmj, CN=llfjmj发布者: O=llfjmj, CN=llfjmj序列号: cf6150e有效期为 Wed May 29 16:19:31 CST 2019 至 Thu May 16 16:19:31 CST 2069证书指纹: MD5: 46:D0:AB:A5:C6:32:E3:03:4D:1D:CC:27:57:92:65:D6 SHA1: CE:14:4C:9D:CA:D4:79:ED:34:6A:26:40:8B:56:79:69:62:24:02:58 SHA256: 75:20:BC:9C:45:C9:03:BF:82:7A:4E:44:17:66:52:F2:8B:58:5F:B8:B4:BB:EC:28:A2:D7:20:3D:F4:BD:10:83签名算法名称: SHA1withRSA主体公共密钥算法: 1024 位 RSA 密钥 |
总结:经比较三个Apk的指纹信息,证明不是同源,排除同Apk不同服务线的可能性。
0x5. 抓包分析
1 2 | ① 六六麻将数据包分析,最后确定的游戏服务器IP; 六六麻将,这里做分析思路:从三个手游里抓取的数据包进行分析后,为什么确定以下的IP是游戏服务器和账号验证服务器,进行解说:因为是游戏,协议当然是 TCP协议啦,从游戏开始运行 ——> 游戏更新 ——> 微信授权登录 ——>进入游戏,以上流程+抓取数据包的时间顺序进行跟踪分析,最后在相应的IP所在包里找到游戏运行时相关数据,判定为游戏服务器数据;账号身份验证的判定依据:在数据包中通过POST的方式向服务器发送了一个加密包,返回来的状态是 success,根据游戏流程判定是进行了相关的游戏登录认证工作,最终的域名解析是:adashbc.ut.taobao.com。 |
找游戏IP
