Python爬虫进阶之APP逆向(二)

本文介绍了一个app逆向的实战案例,通过抓包发现手机号和密码加密,使用jadx或AndroidKiller反编译APK,然后通过Python实现RSA/ECB/PKCS1Padding和base64加密的破解,最终验证登录成功。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

写在前面的话

本文首发于本人公众号【Python编程与实战】

今天分享另一个app逆向的实战
如果觉得对你有用,还请关注下公众号,后续会有更多的app逆向实战篇,以免错过!
话不多说,进入正题,开搞

抓包

国际惯例,先抓包
分析请求参数,可以看到,手机号码以及密码都是加密的

请求

响应

app反编译

使用 jadx 直接打开 apk 文件

jadx

或者用 AndroidKiller 也可以,最近在研究 app逆向,这个工具用的比较多。
其实结果都是一样的,看个人习惯用哪一种工具。

参数搜索

搜索界面

加密源码

加密源码

破解

根据源码中参数的加密方式,使用 python 代码来生成。

可以看到是 RSA/ECB/PKCS1Padding 加密,密匙使用了base64加密

然后再将 RSA 加密的结果再进行base64加密

在python中可以使用 pycryptodome 模块来实现 AES加密

有些源码看不懂没关系,多尝试,多查下 java 的用法,还有就是多问!

验证

登录验证

响应

上面是使用 Python 代码模拟登录结果和 fiddler 抓包的响应结果

从两者的结果比较中我们可以看到:

code 都是为 0,登录后的 token_onlie 的结果是一致

说明登录成功了,加密参数也破解了!

推荐阅读

Python爬虫之JS逆向入门篇

用python一键生成你的微信好友头像墙

pyecharts可视化和微信的结合

python数据可视化神器–pyecharts 快速入门

在这里插入图片描述

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

全村之希望

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值