好友
阅读权限30
听众
最后登录1970-1-1
|
首先抓一个登陆包
参数有很多,登陆两次看看那些是变动的
要撸的就是这个signature,上面是时间戳后面应该是随机字符串,下面应该还是aes加密的账号密码,还写了sha1
hook一下
对比一下,XY-API-SIGNATURE搞定
X-API-SIGNATURE看着像base64,拿去接一下发现就是之前sha1存在的
结果都对的上
后面还有两个,疑似aes的加密后的账号密码,去hook看看
前置知识,得知道aes是怎么用的,传入那些参数,针对性的hook参数
rXodpmmMhWK7epPKptFqJA== 转base64的结果是 ad 7a 1d a6 69 8c 85 62 bb 7a 93 ca a6 d1 6a 24
ylbACUnyjreGJa8jHhYR1w== 转base64的结果是 ca 56 c0 09 49 f2 8e b7 86 25 af 23 1e 16 11 d7
我们看看hook的结果里面有没有hex,发现在里面
找到input key iv mode algorithm就可以调用了
入参
key选16位,ecb不需要iv
进行加密,发现账号密码都是匹配的
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2023-6-23 18:25
