V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
dafei110
V2EX  ›  信息安全

掌上出行 App 接口逆向 求助

  •  
  •   dafei110 · 2022-08-20 14:20:34 +08:00 · 2169 次点击
    这是一个创建于 827 天前的主题,其中的信息可能已经有所发展或是发生改变。

    之所以逆向这个 app 是因为老家的公交只有这个软件支持公交实时状态,而这个软件又贼难用,楼主想拿到数据接口去重新开发一个 App 或者小程序,楼主是一个前端小萌新只能硬着头皮去尝试分析,奈何楼主水平有限,希望大家给出出主意

    过程

    我先进行了抓包(用的 burpsuite ),但是只抓到了一个相对有些价值的 XML 文件,是这个 APP 支持的所有地方公交的目录和这个地方的配置文件,公交目录链接: http://222.76.217.238:8090/App/MyBus/index.xml ,一阵瞎操作后也没有抓到啥有用的信息,无奈放弃。

    后来又想到对 App 包进行逆向源码,然后去分析他的网络请求。说干就干,一阵瞎折腾,如愿以偿的拿到了他的源码( smali 源码和 jar 包,非专业逆向选手,只能做到这一步😭),然后我就傻眼了,使用 Java 开发的 App 和前端混合开发的 App 完全两码事,而我又仅仅只是一个小小前端.....哭死,这条路又被堵死了,不过也并非完全没有收获,拿到了一些密钥信息,但一些关键的请求信息楼主依然没有拿到,只能求助各位道友了

    分析出的一些线索

    我把自己拿到的一些线索进行了分析整理,希望能帮到你

    vss00K.png

    文件地址: https://wwm.lanzouy.com/iM2lt09w1m0f

    说明

    Bus-smali   逆向出的 smali 文件
    Bus.apk     目标 APP
    Bus 扫描 URL.xls    扫描 APP 拿到的一些可疑 URL 地址
    bus 疑似密钥.md    逆向出的源码分析记录的一些可疑密钥
    classes.dex      App 逆向得到的 dex 文件
    classse-dex2jar.jar    App 逆向得到的 jar 的文件可用 jd-gui-window.zip 里压缩的软件打开
    jd-gui-window.zip
    
    

    目录截图

    快来看看有没有你的老家 vssh0f.jpg

    GeneralL
        1
    GeneralL  
       2022-08-20 14:33:48 +08:00
    不懂逆向技术,之前遇到过类似的情况,微信公众号有公交查询,但是不懂接口在哪里,后来是在当地的交通运输局网站找到了实时公交信息,后来用的爬虫解决。
    不知道你有没有看过当地的交通运输局有没有实时信息
    dafei110
        2
    dafei110  
    OP
       2022-08-20 14:44:21 +08:00
    @GeneralL 没有的,县一级经济不咋滴的二十八线小城市基本能有个 App 用就不错了,这个 App 是属于厦门蓝斯股份有限公司的,没有查到相关的 web 端的接口😭公众号里只有这个 App 的下载链接
    lhxsimon
        3
    lhxsimon  
       2022-08-20 15:10:38 +08:00
    之前车来了 APP 干这个事,赔了 50w

    http://rmfyb.chinacourt.org/paper/html/2019-05/23/content_155662.htm?div=-1

    自己偷偷弄可以,开发成 APP 或者小程序的话,有不少风险

    此外,从技术的角度讨论,这个 APP 没有做加固,学习一下 Frida 怎么去 Hook MD5Util 里面的 makeMD5 函数就可以
    gainsurier
        4
    gainsurier  
       2022-08-20 15:14:53 +08:00 via iPhone
    换个思路,投诉公交不提供查询接口
    mochanight
        5
    mochanight  
       2022-08-20 15:19:48 +08:00
    这就很刑
    leeg810312
        6
    leeg810312  
       2022-08-20 15:29:40 +08:00 via Android
    自己用可以,给公众使用就涉嫌犯罪
    dafei110
        7
    dafei110  
    OP
       2022-08-20 15:33:24 +08:00
    @lhxsimon 感谢大佬的建议,已放弃,不过准备去看一下 Frida ,再次感谢
    lyc8503
        8
    lyc8503  
       2022-08-20 20:26:36 +08:00 via Android
    http/https 协议一般都能抓包抓到的, 如果加密或者签名了只需要逆向 app 中的加密 /签名部分即可.
    zhensjoke
        9
    zhensjoke  
       2022-08-23 09:53:31 +08:00 via Android
    这界面怎么看怎么像套的 web...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   981 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 19:17 · PVG 03:17 · LAX 11:17 · JFK 14:17
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.