• 斗鱼APP签名校验绕过

  • 发布日期:2019-09-16 22:36   来源:未知   阅读:

  斗鱼是自己非常喜欢的一家直播平台,由于经常在斗鱼看lol比赛,加上又是武汉的互联网企业,所以就逆向了下斗鱼,看能不能过签名校验。

  首先我们正常登录APP,可以正常加载APP各种页面,登录的时候再尝试用QQ号登录,会正常来到授权页面。如下图:

  一般APP的签名验证有3种:本地验证、网络验证、本地验证+网络验证,其中本地验证也分Java层和Native层验证。那么要分析APP的是否存在签名校验一般的方法是先反编译APP,然后直接回编译再签名,运行APP查看是否存在闪腿或者弹toast提示签名错误。斗鱼的签名验证有问题的时候会无法连接网络,如果再尝试用QQ进行辅助验证的话就可以很明显看出存在签名校验,如下图:

  header头中有个dy-sign的字段,我们是否可以猜测是不是签名校验中的网络校验,先把获取到的app校验值传给服务端进行判断,如果正确在是正版app。,否则就是伪造的app。那么我们直接反编译app,不做任何修改,启动自己签名的app后在把dy-sign改成前面获取的看看:

  根据前面介绍的,发现使用伪造签名的app时。进去后会提示无法连接服务器,加载失败的提示,所以就先根据这个错误提示来找找看:

  上面的图片就是根据提示信息,找到这个提示消息所对于的string name,然后根据string name找到这个提示信息的ID号,在全局搜索ID号,查看哪里有调用的地方,一步步分析。

  通过jd-gui查看调用的java代码,并没有发现有0x7f080304的地方,我们把0x7f080304变成十进制再搜可以搜索,但是并没有什么卵用。

  参数说明:from接口发起方标识,由管理员分配secret密钥,由管理员分配sign签名timestamp时间戳s(用于校验签名有效期)sign算法;1.对所有参数(此时不含sign参数)升序排列得出...博文来自:rdisme

  首先是不需要登录的API获取当前全部直播请求地址:参数:limit:一次获取的个数of...博文来自:我是谁的博客

  近期更新Android应用可要注意了,不要随意点个链接就升级,你的正宗应用可能升级成山寨应用哦。Google在12月发布的安全公告中提到的“Janus”漏洞,可使攻击者在不改变原应用签名的情况上,注入...博文来自:要想到做到——微信公众号“编程阳光”

  之前已经介绍了一款自动爆破应用签名工具kstools,不了解的同学还可以去看这篇文章:Android中自动爆破应用签名工具kstools;有了这个工具,就不用在担心签名校验了,不过在发布工具之后,很多...博文来自:Android应用安全防护和逆向分析-----作者

  ~~ APP加密(混淆打包防反编译)的步骤:~~ ①准备一个app文件包,apk原包即可。 ② 登陆移动APP加密防破解爱加密官网,没有账号的需要先注册账号(登...博文来自:forwordlove的博客

  因为要在腾讯开发平台创建一个应用,需要填入app的包名以及32位的签名,也就是MD5的签名,然后莫名就踩了一些坑,记录共勉1、第一种是命令行,进入.android目录中,输入命令行:keytool.e...博文来自:Jacinth40的博客

  前景介绍之前有自己去做过上架,也去了解了下这方面的知识,最近也继续的去了解了一下,这边也想自己总结下。我们如果要上架肯定是少不了证书的签名的,www.680690.com,我们配置证书也是要在苹果官网来进行的,一般的步骤是这样子的...博文来自:ZCMUCZX的博客

  在之前的文章中说过Android中的安全和破解是相辅相成的,为了防止被破解,很多应用做了一些防护策略,但是防护策略也分等级,一般简单的就是混淆代码和签名校验,而对于签名校验很多应用都是会做的,一般现在...博文来自:Android应用安全防护和逆向分析-----作者

  前言:签名:1为什么要签名?2如何签名?加密:1为什么要进行加密?2如何加密?参考链接:...博文来自:drinkingcode

  首先问大家一个问题,你在写开放的API接口时是如何保证数据的安全性的?先来看看有哪些安全性问题在开放的api接口中,我们通过httpPost或者Get方式请求服务器的时候,会面临着许多的安全性问题,例...博文来自:weixin_34250434的博客

  1.签名的意义为了保证每个应用程序开发商合法ID,防止部分开放商可能通过使用相同的PackageName来混淆替换已经安装的程序,我们需要对我们发布的APK文件进行唯一签名,保证我们每次发布的版本...博文来自:lcfeng1982的专栏

  @APP签名apk签名的意义在于保证开发者的合法利益,每一个发布的APP签名都是唯一的,所以要求开发者再发布APP之前,必须拥有一个自己独立的签名,没有签名的APP上线不了。应用市场上APP签名不允许...博文来自:jackeyycl的博客

  Andriod应用程序如果要在手机或模拟器上安装,必须要有签名!1.签名的意义为了保证每个应用程序开发商合法ID,防止部分开放商可能通过使用相同的PackageName来混淆替换已经安装的程序,我...博文来自:苦涩的风的博客

  AndroidApp签名的目的是确保App安装包来自于原创作者,且App没有被篡改。Android手机在App安装的时候会对签名信息进行校验,只有校验通过的App才能成功安装。Android手机是如何...博文来自:的博客

  目前看来不走原生开发就是一条不归路,而且是走的磕磕绊绊。当XE8风风火火出现的时候,我还在坚守XE4,因为某个历史遗留问题不得不继续在此版本上填坑。App需要发布,虽然不上架,但是也需要给他签个名,好...博文来自:ynynynynx4的博客

  App签名原理以及应用的重签名在日常开发中,我们都是利用Xcode来打包签名我们的应用的,在签名过程中需要的是文件主要包括:1、CertificateSigningRequest.certSignin...博文来自:WJ的博客

  AndroidAPP的签名Android项目以它的包名作为唯一的标识,如果在同一部手机上安装两个包名相同的APP,后者就会覆盖前面安装的应用。为了避免AndroidAPP被随意覆盖,Android要求...博文来自:salary的专栏

  前言自己开发的或朋友给的.ipaor.app如何理所当然的安装到你想要安装的手机上?解决方案除了上架AppStore我们还可以利用重签名让我或者公司开发的app安装到非测试设备上,也就是本文主要内容。...博文来自:IT.ZhangBao的博客

  1.写在前面以前只管完成需求功能,这些事都是经理操心的,最近独立开发app慢慢的踩这些坑。希望能帮到你们!2.区分a.首先我们要区分这些词,debugkeystore和releasekeystore,...博文来自:guozhaohui628

  感谢作者bang的授权发布,版权归原作者所有,未经允许,请勿转载。原文地址:作者:陈振焯,网名bang,iOS开发者,推特中文圈/JS...博文来自:CSDN的移动开发朋友们

  应用程序签名打包方法步骤一 进入签名打包界面打开AndroidStudio,依次选择菜单栏上“Build”-“GenerateSignedAPK...”,这样就进入了Android程序签名打包界面。...博文来自:小白的究极进化

  在开发中经常遇到CP的包拿过来少添加了UDID之类的,为了方便测试,需要对ipa重签名,重签名就是把配置文件替换掉(配置文件制作的时候和UDID关联,所以替换掉,就相当于改动UDID,个人理解)。重签...博文来自:wang_Bo_JustOne的博客

  我们的app程序开发完后必须要就行签名,证明这是属于我的app,之后才能上线或者公开使用....签名的意义:为了保证每个应用程序开发商合法ID,防止部分开放商可能通过使用相同的PackageName来...博文来自:wenzhi的博客