某人app算法逆向分析

1337163122

​某人app算法逆向分析 (qq.com)
某人app算法逆向分析web安全工具库 web安全工具库
微信号 websec-tools
功能介绍 将一些好用的web安全工具和自己的学习笔记分享给大家。。。
5天前
收录于话题

特别声明：最近网络安全类公众号可能随时失联，为防止失联，希望大家有时间加一下微信号：ivu123ivu，或者关注公众号小号：逆向有你

​

之乎者也吧 ，
#安卓逆向#算法分析

视频号
一、抓一下登录的数据包
​

1. POST http://www.100hhr.com/App/Login/login HTTP/1.1
   
2. Content-Type: application/x-www-form-urlencoded
   
3. Content-Length: 120
   
4. Host: www.100hhr.com
   
5. Connection: Keep-Alive
   
6. Accept-Encoding: gzip
   
7. User-Agent: okhttp/3.9.1
   
8. data=%7B%22password%22%3A%2219791180110%22%2C%22phone%22%3A%2215836353612%22%7D&apisign=0353050f4f445336805b87376ace9a7e

复制代码

​ 二、数据分析
1、data数据看起来像url编码%XX，经分析发现就是我们提交的手机号及密码

​

       
• 
  

data={"password":"123456789","phone":"15836353612"}&apisign=0353050f4f445336805b87376ace9a7e

2、将apk拖进jadx代码分析，搜索apisign

​

3、随便点击一个进去

​

4、apisign参数，用到的是md5算法，按着ctrl键，点击MD5_KEY，发现该值是常量“d367f4699214cec412f7c2a1d513fe05”

​

5、进入ToMD5方法，就是MD5_KEY+data，然后再进行一次MD5

​

6、验证结果：

​

​