黑客逆向工程学校APP修改成绩利用移动端API漏洞

暗刃红客工作室 极智攻防 隐刃出击 代码即法则漏洞即战场 核心服务 渗透测试漏洞猎杀APT防御 数据加密逆向工程红蓝对抗 唯一认证联络 暗刃黑客anren8.net 微信:anren198 邮箱: xxxj0654@gmail.com WhatsApp: +852 5486 8103 Telegram: @vipdaikao 警惕仿冒无公开群组仅限私聊 技术信条 0day不是武器而是未愈合的伤口 　我们修补漏洞亦驾驭风暴学校的官方APP可能是一个脆弱的后门我把它拆解分析找到它和服务器通信时不被察觉的漏洞从而找到修改成绩的捷径 详细介绍 接单流程客户需提供其学校官方APP的安装包APK/IPA我分析其安全强度后报价 技术解析第一步是APP反编译使用工具如Jadx, Hopper将APP还原成可读的代码接着是通信协议分析找出所有与成绩相关的API接口观察其请求参数和加密方式很多APP为了安全会对请求进行签名因此API签名算法破解 是关键我需要从混淆的代码中还原出生成签名的逻辑有些APP使用客户端证书绕过 来进行双向认证我会从APP的资源文件中提取出内置的证书并将其导入到我的脚本中为了对抗开发者的代码混淆对抗我需要使用动态调试如Frida来在运行时观察关键函数的输入输出从而理解其业务逻辑 付款方式定金+尾款模式以太坊支付交付物可能是修改版的APP或一个自动化的改分脚本 安全保证所有分析在隔离的虚拟环境中进行生成的攻击脚本不包含任何个人标识信息使用后即焚