0x00 背景

某个授权项目遇到的案例，需要对一款app进行渗透，客户端的问题拿了一个扫描器扫了扫，水平有限，也就能做到这样了。重点还是放在针对服务器端交互的分析上。

0x01 环境准备

夜神模拟器，安装burp证书，然后配置代理到burp监听的端口，抓了一个数据包，如下：

显然整个数据包都加密了，无法修改报文进行重放一类的攻击测试。

0x02 分析过程

首先查看是否加壳，直接用工具检测一下，未加壳，好消息。

执行如下命令，直接使用工具apktool逆向app

java -jar apktool.jar d xx.apk

发现存在两个dex包，使用d2j得到jar包，然后将jar包导入到jadx中，查看具体代码。

直接在代码中搜索 encry，encode等带有特征的字符串，寻找加密入口点。

des3加密，对称加密，密钥肯定在jar包了。ctrl+g功能，继续全文查找入口点，找到了半天没找到。

想起来还有另一个jar包，打开对应jar包，搜索DES3utils，定位到类文件，发现源代码文件中的偏移，加密key，填充方式等参数的值。

在某些站点，配置好填充、偏移量等参数的值，成功获取报文明文。

0x03 自动化爆破

app的的登陆口没有验证码等措施，可以进行爆破，但需要自动化处理加密报文。

https://github.com/whwlsfb/BurpCrypto

从如上地址下载插件，导入到burp，配置相应的参数，生成加密模块入口。

中间使用过程中，发现插件存在问题

排查了n久，没找到原因，测试了一下旧版本的burp，发现旧版本是正常的。

直接配置burp的爆破模块，选择迭代器模式，先加载明文密码组合后使用插件配置的加密器加密，实现自动化爆破。

原文始发于微信公众号（Pa55w0rd）：记一款安卓APP数据包解密过程分析