首页
论坛
专栏
课程

[原创]iS***t——某app逆向分析(一)绕过签名验证

2019-5-14 15:18 2760

[原创]iS***t——某app逆向分析(一)绕过签名验证

2019-5-14 15:18
2760

声明:本文及其软件仅用于学习交流,请勿用于商业用途和违法行为,使用产生的后果由使用者承担,本作者不承担任何法律责任和风险。如需转载请注明一下出处。

这个iS***t我本想******这个分析了一波之后发现这是个新手练手的好样本,所以就来多分析一下。

一、        绕签名验证

AndroidKiller反编译一下,发现没有壳,很好。重打包,安装,正常进入,但是不能正常登录发现有这个:


全局搜索,搜不到??????!,证明可能在so里,可能是服务端发过来的。在jad-x里打开apk,搜索Login,分析定位到下图,大致意思是把用户名和加密后的密码发给服务端,服务端验证再返回数据。




先把dialog去掉看看吧,在smali中定位那个dialog,就是下图那行,注掉。打包回手机发现并不能正常运行,此路不通。


分析上述代码,它一共post发了3个参数,一个用户名一个密码,另外一个ut,下面来看一下final String ut, 这个ut是什么。


所以这是个什么我是真没看懂hh。开始抓包,抓了不同签名的包,发现只有ut不同,判断基本是ut包含签名认证。



现在我有一个大胆的想法,把签名错误的包的ut直接改成对的,话说ut每次都不一样,但是这么改可以成功,可以可以……再优化一下,把doLogin里的ut直接改成下面这个“ dd4865e670e3cb62f27d8bafb24fa3d5645f68afc1fb3658f50e7daafd286609”:


签名验证到此就绕过了。

萌新初次发帖。(逃




[招聘]欢迎市场人员加入看雪学院团队!

最后于 2019-5-16 15:27 被BOSSSUN编辑 ,原因: 图片不清晰,重传
最新回复 (10)
刘铠文 2019-5-14 15:34
2
0
巧了,软件的用户在此
bluth 2019-5-14 19:02
3
0
这是个干啥的APP
Wuli_484316 2019-5-15 02:10
4
0
bluth 这是个干啥的APP
同问
BOSSSUN 2019-5-15 09:46
5
0
挺无聊的,大学生练英语的,
MsScotch 2019-5-15 09:48
6
0
这个AV画质 真实糟透了心
BOSSSUN 2019-5-15 10:46
7
0
MsScotch 这个AV画质 真实糟透了心
我也好奇为啥我是av画质,,,原图是清晰的
pushmop 2019-5-16 09:43
8
0
分析的挺好, 只是这个图再编辑下吧,重传试下。
Wika 2019-5-16 13:10
9
0
av画质....
BOSSSUN 2019-5-16 15:27
10
0
图重新传了一下,标清无码吧
Explainaur 2019-5-29 21:45
11
0
ssj牛逼
最后于 2019-5-29 21:46 被Explainaur编辑 ,原因:
游客
登录 | 注册 方可回帖
返回