确定从移动应用到 API 的 Post 请求的加密算法

Posted 2023-03-28

【中文标题】确定从移动应用到 API 的 Post 请求的加密算法

【英文标题】：Determine the encryption algorithm of Post request from mobile application to API

【发布时间】：2021-12-24 02:04:17

【问题描述】：

我试图了解当我从移动应用程序向 API 提交 POST 请求时，移动应用程序如何加密密码 这样我就可以编写一个可以使用相同算法的 python 代码向与移动应用程序相同的 API 发送加密密码。

我厌倦了捕捉移动应用程序的私有 API，我收到了应用程序发送请求的请求，但有趣的是应用程序在通过 POST 请求将密码发送到 API 之前对密码进行了加密，这就是密码在请求中查找：

password=GmdKoBhIne4g3KR8JeR/Cg==

移动应用程序正在对密码进行编码，当它向 API 发送请求时我已经知道密码，但我想要的是捕捉这个移动应用程序加密密码的方式，加密类型不是 Base64（当然大声笑），我厌倦了在没有加密的情况下向 API 发送请求，我得到了一个错误。这意味着 API 正在解密密码。

所以我厌倦了反编译移动应用程序，我得到了源代码，很麻烦，代码源很复杂，函数名称随机，很难阅读lol，我反编译后随机生成变量APK。

所以我厌倦了在代码源中搜索（密码，API .....）之类的关键字，最后我找到了可以开始的行， 我试图了解移动应用程序如何将密码字符串转换为未知的加密类型，在两天前我反编译了一个 APK 文件，但加密仍然难以捕捉:( 我发现了这个：

然后函数返回：

if (str21 != null) 
        i = str21.hashCode();
    
return hashCode23 + i;

但仍然无法从加密算法中理解任何内容:(

我正在搜索代码源，发现两个文件 CERT.SF 和 CERT.RSA 我不知道，但我觉得这两个文件可以帮助我，CERT.SF 文件包含许多 SHA-256-Digests 和我看不懂的 RSA。

我厌倦了以我在应用程序上发布请求的形式测试字母，例如： 我虽然可以捕捉到像 (A, B, C ..... 1,2,3....) 这样的字母 但是当我发布 A 时，我在 Burp-suite 上收到了密码再次生成为像以前一样的随机字符串，所以没有任何改变

如果有密码学的人可以帮助我解决这个问题可能会很棒

谢谢。

【问题讨论】：

软件逆向工程是一项艰苦的工作，你有一个好的开始。不幸的是，您显示的代码似乎都没有提供有关密码如何加密的很多线索。

在浏览代码源后，我发现该应用程序正在使用 RSA 加密密码，如果您对此有所了解，我们可以私下讨论。

由于加密的密码只有 16 个字节，因此不太可能使用 RSA。

有两个文件CERT.SF && CERT.RSA //我在代码源上也看到了很多publicKey和privateKey：instance.init(1, (RSAPublicKey) publicKey);

看起来该应用程序是 android 应用程序，对吗？如果是，您可以尝试在有根设备/模拟器上安装应用程序，并使用 frida/objection 挂钩所有加密方法。如果应用程序使用 Android 提供的加密算法（因此使用真正的加密，而不仅仅是自己开发的东西），那么跟踪加密方法将向您显示输入、密钥和加密输出。

【参考方案1】：

所以，感谢一些帮助我弄清楚这一点的中文文章。

移动应用程序被混淆了，但感谢上帝，我发现了一些应用程序正在使用 AES/CBC/PKCS5Padding 的痕迹，所以我跳了起来，我植根了我的设备并绕过 SSL 平移和我在我的设备外壳上安装了友好的 Frid​​a 服务器，并获得了移动应用程序的 PID，我发现了许多有助于检测移动设备上的密钥的脚本，但没有任何脚本有效。所以我厌倦了理解 Frida 是如何检测密钥的，我编写了一个自定义的 python 脚本来从移动应用程序中删除密钥。 对于我无法共享的自定义 python 脚本，因为它包含我正在对其进行预测试的移动应用程序功能。 但我可以通过一些资料来帮助了解 Frida 如何绕过密码算法

弗里达：https://github.com/frida/frida

利用代码：https://github.com/Kc57/blog_post_code/tree/master/frida-python-bindings-example