本帖最后由 南故 于 2022-03-26 22:01 编辑
现在网络上貌似没有,出于学习与兴趣,对此APP通信进行分析,仅供学习。 使用fiddler4,测试机使用代理连接并配置证书,此处不做讲解 某校园提供多种登陆方式,包括微信支付宝等。这里我们研究下密码登陆以及短信验证码登陆。 首先我们选择密码登陆,界面大概是这样子:
输入账号密码后,点击登陆,可以发现客户端发起了一个请求公钥的请求,并发送学校ID、设备ID、平台信息的webform的封装。然后服务端返回公钥与成功的json: 
获取公钥后,客户端发起密码登陆的请求,内容包括账号信息(手机号)、经过加密后的密码、设备ID等。如果账号或密码错误,用户重新登陆客户端会重复发起公钥请求、登陆请求,并且公钥在一段时间内相同,超过有效时间会无效: 
此处的密码加密困扰了我一会。一开始将密码明文使用请求的公钥进行加密,发现不对(后来才知道RSA公钥加密会填充16位伪随机数),怀疑加盐,尝试选择明文攻击,无果,于是对客户端APK进行逆向: 
随后发现软件进行了加固与混淆,对于我这种逆向菜鸟来说太难了 
还尝试了下网页工具反混淆,但是效果很差 | 
发表于 2022-03-26 22:01
