news 2026/7/7 20:13:00

某尚读书参数逆向分析

作者头像

张小明

前端开发工程师

1.2k 24
文章封面图
某尚读书参数逆向分析

0x0 抓包初探:发现请求/响应数据加密

在对某尚读书 进行网络流量抓包分析时,发现所有请求参数返回内容均已被加密。

  • 目标:确定加解密函数的位置、算法、密钥和待加密数据。

  • 初步方法:使用Frida Hook目标 URL 处理函数,打印调用堆栈信息,以快速定位加密流程的入口点。

0x1 Frida Hook 定位加密函数入口

通过分析堆栈信息,Frida 脚本来 Hook 一个高度可疑的方法:[XXTEA + encryptToBase64String:stringKey:]

function hook_XXTEA_encryptToBase64Str(){ // 导入 Objective-C 框架 if (ObjC.available) { try { // 找到目标方法 const targetMethod = ObjC.classes['XXTEA']['+ encryptToBase64String:stringKey:']; // 挂钩方法 Interceptor.attach(targetMethod.implementation, { onEnter: function(args) { // 在方法进入时执行的代码 console.log('call XXTEA:encryptToBase64Str') var arg2 = args[2] if (targetMethod.argumentTypes[2] == "pointer"){ arg2 = ObjC.Object(arg2) } console.log("arg2:"+arg2); var arg3 = args[3] if (targetMethod.argumentTypes[3] == "pointer"){ arg3 = ObjC.Object(arg3) } console.log("arg3:"+arg3); }, onLeave: function(retval) { var ret = retval if (targetMethod.returnType == "pointer"){ ret = ObjC.Object(retval) } console.log(`XXTEA:encryptToBase64Str ret:` + ret) console.log('leave XXTEA:encryptToBase64Str') } }); }catch(err) { console.log(`[!] hook XXTEA:encryptToBase64Str Exception2: ` + err.message); } } } setImmediate(hook_XXTEA_encryptToBase64Str)

发现encryptToBase64String:stringKey:生成了加密的参数值,进一步查看ida伪代码

0x2 观察 Hook 结果与初步推测

执行 Hook 脚本并触发网络请求后,成功捕获到了加密函数调用的参数和返回值:

  • 待加密数据 (arg2):arg2:{length = 27, bytes = 0x7b226368 616e6e65 6c5f6b65 79223a31 ... 70616765 223a307d }(这是一个 JSON 结构的十六进制表示,即请求体明文:{"channel_key":1, ..., "page":0}

  • 密钥参数 (arg3):arg3:CIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDQWvANhvD8hd/Hy8bH+t2XAg05i4lvwqVv8tn8Xk1eVGDZyK0kZhSVLoGZyMPSanFjvcqrl2xirkn3lsqzy6deBXxoop9S7cuROi2uOoSeMiOJO3aWTAQTrG4VsWbbY5jX8Oh0mn1dy5YaWsxl+UPQPvnzN50d17WVKIX81hho6wIDAQAB(一个标准的Base64 编码的 RSA 公钥格式字符串)

  • 加密结果 (ret):XXTEA:encryptToBase64Str ret:aX3R/fM6Zm/+1tdLTL+Uv1F9EOInITuGv0G9RPCT7vI=

初步推测:由于密钥参数arg3具有明显的 RSA 公钥特征,且函数名包含XXTEA,我们推测这里可能使用了混合加密机制(Hybrid Encryption):

  1. 数据加密:实际数据 (arg2) 使用XXTEA对称加密。

  2. 密钥保护:XXTEA 的对称密钥可能被 RSA 公钥 (arg3) 加密传输。

0x3 IDA Pro 静态分析:揭示真实密钥提取逻辑

为了确认 XXTEA 的实际密钥来源,使用 IDA Pro 对目标方法+ encryptToBase64String:stringKey:所在的二进制文件进行静态分析。

通过对汇编代码的跟踪,我们定位到以下关键代码片段:

__memcpy_chk(&v31, v8, objc_msgSend(v6, "length"), 16LL);
  • 分析结果:实际的 XXTEA 对称密钥并非整个arg3字符串,而是从arg3v8指向的 Key 字符串)中截取了前 16 个字节16LL)。

  • 最终结论:

    • 加密算法:XXTEA

    • 明文数据:arg2(JSON 请求体)

    • 加密密钥:arg3字符串的前 16 个字节

  • XXTEA decrypt:key

0x4 Python 复现策略:模拟客户端行为

成功定位并解析加解密算法(XXTEA)及密钥提取逻辑后,下一步是编写 Python 代码来模拟客户端的加解密行为,以便能够构造合法的请求并解析服务器的响应。

  1. 确定工具:使用 Python 语言,并引入相应的加解密库(如pyteax或自定义实现 XXTEA)。

  2. 密钥处理:在 Python 中,必须严格按照逆向分析的结果,从固定的 RSA 公钥字符串中截取前 16 字节作为 XXTEA 的密钥。

解密返回值

加密参数值

版权声明: 本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若内容造成侵权/违法违规/事实不符,请联系邮箱:809451989@qq.com进行投诉反馈,一经查实,立即删除!
网站建设 2026/7/7 10:39:46

基于单片机的智能花盆自动浇水系统设计【附代码】

📈 算法与建模 | 专注PLC、单片机毕业设计 ✨ 擅长数据搜集与处理、建模仿真、程序设计、仿真代码、论文写作与指导,毕业论文、期刊论文经验交流。✅ 专业定制毕业设计✅ 具体问题可以私信或查看文章底部二维码本系统设计目标是创建一个能够自动监测盆栽…

作者头像 李华
网站建设 2026/7/7 4:28:08

Linly-Talker适用于哪些行业?全面应用场景盘点

Linly-Talker 的行业应用全景:从技术融合到场景落地 在智能交互日益普及的今天,用户对“看得见、听得清、能对话”的虚拟角色需求正迅速增长。传统数字人依赖昂贵的3D建模与动画制作,动辄数周周期和高昂人力成本,难以适应快速迭代…

作者头像 李华
网站建设 2026/7/7 20:06:32

LobeChat能否集成GitHub?代码协作更高效

LobeChat与GitHub集成:让AI深度参与代码协作 在现代软件开发中,一个常见的痛点是上下文切换频繁——开发者需要在IDE、终端、浏览器中的GitHub页面、即时通讯工具之间来回跳转。每一次切换都打断了心流,累积起来消耗大量注意力资源。如果有一…

作者头像 李华
网站建设 2026/7/7 17:10:59

Flutter:在代码与像素之间,重建移动开发的诗意

Flutter:在代码与像素之间,重建移动开发的诗意 凌晨两点,我盯着模拟器里那个没对齐的按钮,第 17 次调整 EdgeInsets。 不是因为产品经理的要求有多苛刻,而是我知道——在这个用 Dart 写成的世界里,每一像素…

作者头像 李华
网站建设 2026/7/7 9:25:18

java7

java7

作者头像 李华