声明

本文仅限于技术讨论，不得用于非法途径，后果自负。

简介

这是一个公司出的一个面试题，他说他们的几个技术没有搞定，要求能够拉取详单，简单看了下，强度并不高，且要求提供测试账号也并没有满足，所以应该是骗方案的，不过虽然强度不高，但是很适合我这种萌新练习，定位代码的学习，所以自己给自己定了个任务，从登录协议中还原出输入的手机号。

抓包

下载Charles 根据网络上的抓包文档搭建了一个抓包环境。
https://blog.csdn.net/ZDK_001/article/details/142958082
在登录页面 输入8888888888 点击登录

哦吼，没有抓到，apk有证书校验
这一步反而是耗时最久的 我用 objection 的hookssl，xposed 上的 just trust me，网络上的hook ssl的脚本都没有绕过去，最后是看了肉丝写的r0capture写的代码

通过定位调堆栈用 找到了证书单向校验的代码nop掉才绕过去

定位代码

抓包解决后
Charles 看登陆包

可以看到 mobileNumber 就是我们需要找的东西
观察value特征 很明显可以看到base64的特征（=），干完才想到这里可以通过hookbase64的java库来快速定位代码。

字符串定位

直接使用jadx搜索"mobileNumber"这个uri字符串 查找他组包的过程

这里就是无聊的重复过程 frida hook 看走没走 如果走打印堆栈

之后定位到了这里invokeSuspend 函数

注意这里 使用frida打印参数后发现 这两个字符串是
协议中的两个字段

在观察这个类的名称
应该是找到了
hook 这个init函数

查看内容 发现encryptValue 是mobileNumber" 这个字段的值，查看这个类的的其他方法 发现tostrig 方法吧可以字段名称给还原了

打印这个构造的堆栈
跟踪这个 encryptValue 是怎么来的定位到加密函数

接着就是还原 对这个逻辑详细分析还原逻辑 ，不说 as强制生成的检查对还原轮廓及帮助很大

协议

1.随机生成aes密钥
2.使用固定rsa公钥对aes密钥 加密并base64 加盐（"FREECHARGE_V2|"）再次base64，放在cske字段
3.把rsa公钥放在pke 字段 ？？？（这里不是用私钥解密吗我去）
3.对密文使用aes加密 加密并base64 加盐（"FREECHARGE_V2|"）再次base64，放在mobileNumber字段

结语

这个字段搞了十几个小时，几乎有七八个小时都耗在抓包上了，只能够说自己的底蕴还是不够，花了很多时间找相关资料并试错，以此贴纪念自己第一次协议逆向吧，也帮助和我一样的萌新体验一次抓包逆向的全流程。

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课