黑客逆向工程学校APP修改成绩利用移动端API漏洞

暗刃红客工作室 极智攻防 隐刃出击 代码即法则漏洞即战场 核心服务 渗透测试漏洞猎杀APT防御 数据加密逆向工程红蓝对抗 唯一认证联络 暗刃黑客anren8.net 微信:anren198 邮箱: xxxj0654@gmail.com WhatsApp: +852 5486 8103 Telegram: @vipdaikao 警惕仿冒无公开群组仅限私聊 技术信条 0day不是武器而是未愈合的伤口 　我们修补漏洞亦驾驭风暴黑客改考试成绩 #APP反编译 #通信协议分析 #API签名算法破解 #客户端证书绕过 简介学校的官方APP可能是一个脆弱的后门我把它拆解分析找到它和服务器通信时不被察觉的漏洞 详细介绍 我下载了目标大学的官方APP使用反编译工具将其扒得一丝不挂在混淆的代码中我寻找硬编码的API密钥加密算法的实现漏洞通过抓包分析我进行通信协议分析理解了APP与服务器通信的过程我发现它在提交成绩查询请求时虽然使用了HTTPS但对请求体的签名验证存在逻辑缺陷服务器没有校验时间戳的 freshness导致我捕获的请求包可以被重放Replay Attack于是我的黑客改考试成绩流程如下先通过APP正常请求一份成绩单捕获这个请求包然后我编写脚本修改数据包中的成绩数据并利用漏洞API签名算法破解生成合法签名然后将其重放给服务器服务器误以为这是APP发来的又一次合法请求便用我篡改后的数据更新了数据库这种方式实现了高效的成绩修改因为我是模仿合法客户端的行为