今天的目标是研究保险和加密技术,所以我关注了一些保险信息,并顺便分析了某个保险资讯app的加密方法。
在分析过程中,我通过抓包工具观察到了咨询页面的请求。以下是请求头中的重要参数:
这里的sign参数是动态变化的,而token参数则保持不变,因此今天的分析重点是App请求头中的sign字段。
从请求头中的user-agent信息可以得知,该请求是由Chrome内核发出的,很可能是基于H5的应用。因此,我直接使用PC上的Chrome进行联调。
如果你不了解什么是H5应用,可以参考之前的文章:
Crack App | 某 H5 App 反调试对抗
在之前的文章中,我们使用xposed和frida分别测试了hook来对抗H5应用的反调试机制。
然而,今天的这个App增加了360的壳,使得分析变得更加复杂:
虽然可以脱壳并通过hook绕过反调试,但这显然太麻烦了。有没有更简便的方法呢?
当然有。逆向工程领域的大佬们已经开发了一些现成的工具。经过搜索,我找到了一个名为WebViewDebugHook的xposed插件,可以用来解决这个问题。安装好插件后:
然后进行测试:
可以看到,我们可以正常调试了:
接下来是加密参数的分析与还原。由于调试的内核版本较低,无法显示js调用栈页面。为了快速定位,我设置了一个xhr断点:
然后切换标签页重新捕获请求,这样就可以找到以下代码位置:
从代码中可以看出,this.GetHeaderSign就是我们需要分析的算法。点击进去,可以看到以下代码:
这实际上是一个加盐的md5加密算法。其他加密内容包括一些传入的参数:
结合请求链接,完成md5加密内容的拼接:
最后,将内容全部转换为大写,然后再次进行md5加密生成最终结果。
我们先在网站上测试一下:
然后再与App的加密结果进行对比:
结果是一样的,这样分析就完成了。
