本帖最后由 蜗牛杰 于 2024-03-26 21:57 编辑
第一次发帖,如有不足之处,请见谅网站:'aHR0cHM6Ly93d3cubmZ0Y24uY29tL2g1Lz90YWJJZD1jZXJ0Iy9wYWdlcy9wcm9qZWN0L2xvZ2luL3Bhc3N3b3JkTG9naW4/dXJsPQ==' 抓包分析登陆接口,提交的没有加密,我们看一下请求头 ![](/images/article/0ca96f9c-fae7-401e-b786-a69d9d129724.png)
请求头里面发现有这几个看不懂的头部字段,一个是时间戳,另外两个看不懂,但是我们在本地直接复制发包就不行,我们直接开始逆向这两个字段吧 ![](/images/article/3958eb04-872a-495f-8e57-37e08825f9ec.png)
过无限debugger打开 f12 就发现进入了无限debugger ![](/images/article/b6bdb7a3-3898-4dc5-8285-2b535c567b0d.png)
直接点到第三个堆栈,有一个函数调用,然后下一个条件断点,把这个函数置空(都在图里了),然后f5刷新网页,就会发现一个debugger过了,又出现了另外一个,上面的方法一样都可以过,都是第三个堆栈,一个函数调用,然后置空,f5 刷新网页,有五个无限debugger。直接置空完就行了。剩下的我就不再演示了 ![](/images/article/fb4e1f65-a8dc-4ed2-b863-e220e5938a56.png)
定位加密参数通过搜索关键字可以直接定位到下面这,画红框的部分明显在赋值,而且另外两个参数也在这,所以我们在此下个断点 ![](/images/article/f2084fb5-26f5-4866-92dd-570e6a93de78.png)
发现直接点赋值那里下断点,点不动,我们往上或往下多点一下,下好断点之后,再去登陆 ![](/images/article/da5b18be-e09d-4a01-8615-9aef8eff9aba.png)
我们可以分析到 nftcnApiAppSecret 这个字段是在上面生成的 ![](/images/article/cd9f34a3-a6de-4a12-a9c4-ec208991bd2d.png)
我们发现是这里生成的,我们分析这段代码 ![](/images/article/41c5522e-243d-4b46-9acb-130c8e4f17db.png)
最终结果是32位的,我们猜测是 md5 转大写的 ![](/images/article/e4092d10-d3d6-4b9a-81a4-2a7b19bf306e.png)
![](/images/article/e0debd73-3917-4c8b-8636-014f20012ccd.png)
其中里面还有一段随机数生成,发现在上面生成的了,是一个函数返回,我们直接点进去函数查看 ![](/images/article/52f3fc47-30ba-4704-91ef-b512e705c645.png)
发现是随机生成的,我们直接扣下来 ![](/images/article/9203609b-4760-4ade-b859-1ee38f0abcc9.png)
![](/images/article/349761a3-52a1-4b3b-bbbc-9e689b7be7e9.png)
这个参数是md5转大写那个:nftcnApiAppSecret 这个参数是随机生成的那个:nftcnApiNonce 至此,还剩下最后一个参数nftcnApiSignature 向下看,nftcnApiSignature 找到这个赋值的地方 ![](/images/article/b07e62ba-374d-45fa-877f-31151308035e.png)
参数是拼接的,然后通过函数调用,生成一个加密,我们点进函数里面然后分析 ![](/images/article/3bb8cdab-445f-4f93-afdb-d57f82f97fa4.png)
进到函数内部,简单分析一下可知,是一个'SHA256withRSA'签名 ![](/images/article/0c415a28-007d-48b8-b4b5-a463981cf141.png)
直接使用乐易助手生成,对比结果发现一致,至此三个参数分析完毕 ![](/images/article/ca330c85-fe6c-443e-8b24-57fb03f14b64.png)
![](/images/article/5c803a96-e6da-4b2c-8169-7a17cba01178.png)
![](/images/article/bbfedb36-1f69-4590-af75-02589630f43d.png)
注:若转载请注明大神论坛来源(本贴地址)与作者信息。
|