在开始正文之前, 说一些题外话。

    1.这是本人在论坛注册后的第三次发帖,如果有格式错误, 发布的版块错误, 主题不合规侵犯什么权利之类的, 请各位明示指出。管理员也可以删帖。

    2.因为本人水平有限, 某些地方写的可能是错的, 也请各位大佬指正, 不胜感激。

    3.当前文章是xx医美8月的版本，8月份当月分析了大部分字段，写文章拖到了9月份，写完之后一直不满意，因为还有一些字段没有分析清楚就草草了结，而且整个思路也不是特别清楚，像流水账一样。现在在翻之前笔记的时候翻到了这个，想着不发出来比较可惜 ，发出来后大佬们指出来我一些错误我也能更好的进步，所以发出来跟大佬们交流下。

    4:文章于9月首发于易锦，作者为本人，当前版本是发布后两天内修改，修改内容不多。

以下正文：

写文章初衷

    1 最近在学习协议分析这块，很多时候一些apk只是简单看一下，大概看清楚流程就不想继续详细去分析了。没有很详细的去分析一个apk，想借这次写文章，梳理一下整个流程。

    2 答应了一个大佬要写一篇文章发出来。

    3 因为水平比较菜且时间不足，这次就选了一个简单的apk，虽然还有几个同样简单的apk在备选之列，但是我每天出入工地的时候，电梯广告总是在播放xx医美的广告，做女人整好 这个广告我每天都会看到几遍，那就撸它把。

这里选择了分析用账号密码登陆的登陆协议

测试账号：13355556666

测试密码：kkk111222

burpsuite 抓登陆包：

格式下各个字段 看着清楚一些

当我看到密码是明文的时候 真的是一口血吐了出来  很久没看到这么坦诚相见的apk了

当前app字符串并没有加密 因为要分析密码登录的协议  所以 可以搜索类 

login_name password  这样的字段 

尝试搜索后发现 password 在源码中引用太多 不太好定位分析 所以选择 login_name字段定位

当前app搜索 login_name可以 直接到到关键位置的  如下图

但是谨慎起见 为了防止流程跟踪出现错误

我一般会结合monitor 的方法跟踪 相互印证  打开monitor  按下登陆键

一般此类登陆协议 整理方法调用的时候 我一般会搜索 onclick() 这个按键的处理的方法 因为是按了登陆键才触发登陆流程的

  onclick() 一路跟随 整理出相关调用层级

整理调用层级的时候 可以用 jadx-gui 看一下这些方法的源码  方便后续分析

比较有亮点的是以下两个方法

1 void passwordLoginRequest(String, String)

2 TreeMap getCommonParasm(HashMap<String, String> , String)  

上面方法中 看到了登陆数据包的大量字段  所以决定重点分析两个方法

这里准备动态调试结合静态分析  所以先反编译apk  

转发端口

1 void passwordLoginRequest(String, String) 

调试得知 两个参数是明文的 手机号和密码  根据调试结果 修改变量名 增加可读性

上面的函数里有4个字段 

getkey()方法

getDeviceId()

搜索公司名字后 找到了 sdk的官网

看起来就是这个sdk产品 生产了唯一标识 可能防范黑产表哥把

一路跟踪 找到产生id的函数  

当前sdk混淆做的比较彻底 变量方基本都是 000OOooo之类的命名

对当前方法简单分析后 修改变量名 如下图

这里不继续分析  因为继续分析下去篇幅太大 有兴趣的小伙伴可以下载sdk 看看源码 或者自己直接逆向

第一个有字段的函数分析完毕  下面开始第二个 

--------------------------------------------------------------------------------------------------------------------------------

2 getCommonParasm(HashMap<String, String> hashMap, String str)  函数

大部分字段在这里完成拼接 下面是jadx-gui 反编译的源码

手动修改变量名 提升可读性后

列出函数中字段的顺序 逐个分析

整理后

这里 首先看 device_id  和 xy_device_token

跟随 getString方法 看到这里调用了AppSpHelper.getInstance().getString(str);、

跟随进去之后 发现调用了AppSpHelper.getString()方法

这里的sp成员的类型 时安卓sdk的一个接口 基于xml实现数据的存取

具体可以看官方的接口文档

综上 可知  device_id      xy_device_token   两个字段的值是直接访问 xml 文件从键值对取值

继续分析别的字段

由上图可知uuid的算法如上  uuid = new uuid(android_id, imei.hashcode() << 20 | imsi.hashcode())

request_id的算法也比较简单  request_id = md5(包名 + 毫秒数)

 pinyin 

这里检测了是否被调试 如果被调试 pinyin字段的值就是 soyong 这个操作是真的6

这里的 v2_1.flags & 2 == 0 等同于下面的语句

如果未处于调试状态  会调用另一个sdk的方法 获取返回值

[培训]科锐逆向工程师培训第53期2025年7月8日开班！