app逆向入门分析——APP登陆请求参数

时间：2019-09-23 14:57:51 阅读：144 评论：0 收藏：0 [点我收藏+]

标签：static substring end 简单为我响应 null ram 逆向

环境配置：

Pyhton
Java
dex2jar（将apk反编译成java源码）
jd_gui（源码查看）
jadx
已root的手机或者安卓模拟器
fiddler

分析：

首先我们用fiddler抓包工具对app的登陆进行抓包，这个app抓包需要开启全局代理，不然会抓不到数据。

如果还不会使用全局代理抓包的朋友，可以看下前面一篇文章，里面有详细的抓包教程。

抓包的数据如下：
<ignore_js_op>

发送验证码请求参数

我们可以看到有个 token 的参数，有经验的朋友知道，这是服务器后台生成的，而且在发送登陆验证码请求之前并没有其它的数据交换！

<ignore_js_op>

登录请求参数

这时候我们就要去看 app 源码找到这个参数的加密方式，然后用转换成 Python 代码生成。

接下来就带大家就一步一步来破解这个参数。

破解过程：

我们要获取app源码，就要对app进行反编译，反编译方式很简单，直接用工具搞定。
有两种反编译方式可供选择，反编译过程如下：

1.将安卓app的后缀更改为可解密的包，并解压
<ignore_js_op>

2.将解压后生成的后缀为 .dex 复制到 dex2jar 安装目录中
<ignore_js_op>

3.DOS命令行进入此文件夹，然后执行命令：dex2jar.bat classes.dex

这个app有两个 *.dex *文件，所以两个* .dex* 文件都需要执行

执行完之后会生成两个对应的 .jar 文件，效果如下：

<ignore_js_op>

4. 生成.jar文件就是apk的源码了，我们使用 jd_gui 来查看源码 <ignore_js_op>

幸运的是这个app并没有加固，有app进行了加固，像腾讯乐固，360加固等等
<ignore_js_op>
<ignore_js_op>

对于这种我们不能直接反编译，首先需要脱壳，然后再反编译

5.第二种反编译的方法是直接使用工具 jadx 打开 .apk 文件

剩下的事就是仔细阅读代码，分析其中的逻辑了。

6.根据请求或响应的参数去源码中搜索加密方式

需要注意的是，反编译的代码非常混乱，错误很多，并且apk经过混淆，变量名都消失了，这时一定要有有耐心，仔细研究代码。
根据前面请求、响应参数去搜索，或者请求的 url 地址去搜索，而且经验很重要

<ignore_js_op>

搜索结果

然后根据这些搜索到的结果慢慢去找。我们主要找到发送请求的时候定义参数的代码，然后往上追溯，
在查找的过程中要尽可能的多尝试，大胆猜测

最后我根据 keycode 找到了登录响应参数的生成函数

<ignore_js_op>

登录响应参数

其中有下划线的地方，我们可以直接点进去

<ignore_js_op>

加密方法

这部分代码就是加密的方法！

验证我们把源码拷贝出来，分析加密参数
private String c(String paramString)
  {
Date localDate = new Date();
Locale localLocale1 = Locale.CHINA;
String str1 = new SimpleDateFormat("yyyyMMdd", localLocale1).format(localDate);
Locale localLocale2 = Locale.CHINA;
String str2 = new SimpleDateFormat("MMdd", localLocale2).format(localDate);
StringBuilder localStringBuilder1 = new StringBuilder();
String str3 = paramString.substring(7);
StringBuilder localStringBuilder2 = localStringBuilder1.append(str3);
StringBuilder localStringBuilder3 = localStringBuilder1.append(str2);
String str4 = localStringBuilder1.toString();
StringBuilder localStringBuilder4 = new StringBuilder();
StringBuilder localStringBuilder5 = localStringBuilder4.append(paramString);
StringBuilder localStringBuilder6 = localStringBuilder4.append("|");
StringBuilder localStringBuilder7 = localStringBuilder4.append(str1);
String str5 = localStringBuilder4.toString();
try
{
   str5 = zxw.data.c.b.a(str5, str4);
}
catch (Exception localException)
{
   localException.printStackTrace();
   str5 = null;
}
return c.a(str5);
  }
其中生成了两个参数 str5, str4 传到加密函数。
下面是 str5 的生成代码
String str1 = new SimpleDateFormat("yyyyMMdd", localLocale1).format(localDate);
StringBuilder localStringBuilder4 = new StringBuilder();
StringBuilder localStringBuilder5 = localStringBuilder4.append(paramString);
StringBuilder localStringBuilder6 = localStringBuilder4.append("|");
StringBuilder localStringBuilder7 = localStringBuilder4.append(str1);
String str5 = localStringBuilder4.toString();
str1 = 20190319，也就是今天的日期
str5 = 传过来的参数 + ‘|‘ + ‘20190319‘
那么 str4 呢
String str2 = new SimpleDateFormat("MMdd", localLocale2).format(localDate);
StringBuilder localStringBuilder1 = new StringBuilder();
String str3 = paramString.substring(7);
StringBuilder localStringBuilder2 = localStringBuilder1.append(str3);
StringBuilder localStringBuilder3 = localStringBuilder1.append(str2);
String str4 = localStringBuilder1.toString();