“ 这是一场试炼 ”
01
—
环境版本
环境:
手机,Android 15 未root
电脑,Windows 11专业版 23H2
软件:
微信,Android 8.0.58
edge,136.0.3240.50
02
—
操作步骤
1、Android手机开发者选项打开USB调试
2、微信开启调试
http://debugxweb.qq.com/?inspector=true
3、打开目标小程序,USB连接电脑,默认仅充电即可
4、edge浏览器打开
edge://inspect/#devices
5、手机允许USB调试
6、edge调试资讯页面
7、搜索encrypt关键字,断点发现he为明文,pe为key,1为加密,xe为undefined
8、调用sm4函数与网络验证,输出结果与请求加密参数requestData一致
9、断点decrypt,发现he为密文,pe为key,0为解密,xe为undefined
10、全局导出sm4函数,将网络的响应加密参数responseData赋值给he,key赋值给pe
11、调用sm4解密出明文响应
“
”
原文始发于微信公众号(挖个洞先):【银行逆向百例】01小程序逆向之webview动态调试
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论