掌上出行 App 接口逆向 求助

2022-08-20 14:20:34 +08:00
 dafei110

之所以逆向这个 app 是因为老家的公交只有这个软件支持公交实时状态,而这个软件又贼难用,楼主想拿到数据接口去重新开发一个 App 或者小程序,楼主是一个前端小萌新只能硬着头皮去尝试分析,奈何楼主水平有限,希望大家给出出主意

过程

我先进行了抓包(用的 burpsuite ),但是只抓到了一个相对有些价值的 XML 文件,是这个 APP 支持的所有地方公交的目录和这个地方的配置文件,公交目录链接: http://222.76.217.238:8090/App/MyBus/index.xml ,一阵瞎操作后也没有抓到啥有用的信息,无奈放弃。

后来又想到对 App 包进行逆向源码,然后去分析他的网络请求。说干就干,一阵瞎折腾,如愿以偿的拿到了他的源码( smali 源码和 jar 包,非专业逆向选手,只能做到这一步😭),然后我就傻眼了,使用 Java 开发的 App 和前端混合开发的 App 完全两码事,而我又仅仅只是一个小小前端.....哭死,这条路又被堵死了,不过也并非完全没有收获,拿到了一些密钥信息,但一些关键的请求信息楼主依然没有拿到,只能求助各位道友了

分析出的一些线索

我把自己拿到的一些线索进行了分析整理,希望能帮到你

文件地址: https://wwm.lanzouy.com/iM2lt09w1m0f

说明

Bus-smali   逆向出的 smali 文件
Bus.apk     目标 APP
Bus 扫描 URL.xls    扫描 APP 拿到的一些可疑 URL 地址
bus 疑似密钥.md    逆向出的源码分析记录的一些可疑密钥
classes.dex      App 逆向得到的 dex 文件
classse-dex2jar.jar    App 逆向得到的 jar 的文件可用 jd-gui-window.zip 里压缩的软件打开
jd-gui-window.zip

目录截图

快来看看有没有你的老家

2199 次点击
所在节点    信息安全
9 条回复
GeneralL
2022-08-20 14:33:48 +08:00
不懂逆向技术,之前遇到过类似的情况,微信公众号有公交查询,但是不懂接口在哪里,后来是在当地的交通运输局网站找到了实时公交信息,后来用的爬虫解决。
不知道你有没有看过当地的交通运输局有没有实时信息
dafei110
2022-08-20 14:44:21 +08:00
@GeneralL 没有的,县一级经济不咋滴的二十八线小城市基本能有个 App 用就不错了,这个 App 是属于厦门蓝斯股份有限公司的,没有查到相关的 web 端的接口😭公众号里只有这个 App 的下载链接
lhxsimon
2022-08-20 15:10:38 +08:00
之前车来了 APP 干这个事,赔了 50w

http://rmfyb.chinacourt.org/paper/html/2019-05/23/content_155662.htm?div=-1

自己偷偷弄可以,开发成 APP 或者小程序的话,有不少风险

此外,从技术的角度讨论,这个 APP 没有做加固,学习一下 Frida 怎么去 Hook MD5Util 里面的 makeMD5 函数就可以
gainsurier
2022-08-20 15:14:53 +08:00
换个思路,投诉公交不提供查询接口
mochanight
2022-08-20 15:19:48 +08:00
这就很刑
leeg810312
2022-08-20 15:29:40 +08:00
自己用可以,给公众使用就涉嫌犯罪
dafei110
2022-08-20 15:33:24 +08:00
@lhxsimon 感谢大佬的建议,已放弃,不过准备去看一下 Frida ,再次感谢
lyc8503
2022-08-20 20:26:36 +08:00
http/https 协议一般都能抓包抓到的, 如果加密或者签名了只需要逆向 app 中的加密 /签名部分即可.
zhensjoke
2022-08-23 09:53:31 +08:00
这界面怎么看怎么像套的 web...

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/874182

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX