这是一个创建于 3371 天前的主题,其中的信息可能已经有所发展或是发生改变。
抓了下 58 的通信,
http://app.58.com/api/detail/cat/26728112367433?appId=3&format=json&localname=cd&platform=ios&version=7.1.1 这手机号的加密看不出来啊( phonenum 字段)
加密前: 15258772433
加密后: C4AC67A843EED4C5033F1CFC8849B82F
有知道的朋友来讨论讨论啊!
http://app.58.com/api/detail/cat/26728112367433?appId=3&format=json&localname=cd&platform=ios&version=7.1.1 这手机号的加密看不出来啊( phonenum 字段)
加密前: 15258772433
加密后: C4AC67A843EED4C5033F1CFC8849B82F
有知道的朋友来讨论讨论啊!
第 1 条附言 2016-07-21 15:55:24 +08:00
ps: 手机版网页确实能看到手机号
应要求再加一对
E9996B3DA643692A0B44B1E3BC71A563
17078164702
应要求再加一对
E9996B3DA643692A0B44B1E3BC71A563
17078164702
第 2 条附言 2016-07-23 08:35:46 +08:00
感谢 @luobailiang ,确实如他所说
aes ecb 加密,密钥 crazycrazycrazy 加一位数字
aes ecb 加密,密钥 crazycrazycrazy 加一位数字
 | 1 metowolf 2016-07-21 15:23:29 +08:00  1 加 salt 的 md5 |
 | 4 forever139 OP |
 | 5 felixzhu 2016-07-21 15:39:07 +08:00 1 不应该是哈希,哈希的话客户端这边也没法解析啊,应该是对称加密的结果 |
| 6 metowolf 2016-07-21 15:39:34 +08:00 @forever139 md5 不可反解,既然是加密,就排除这种可能了。 |
 | 7 crab 2016-07-21 15:44:51 +08:00 1 如果你是要提取手机号码,直接访问手机页面就有了。 |
 | 8 mdzz 2016-07-21 15:49:19 +08:00 1 多来点明文密文对,只有一对没什么头绪 |
| 9 forever139 OP @crab 哈哈哈,确实如此,不过加密就没头绪了! |
 | 10 zhujinliang 2016-07-21 16:19:16 +08:00 1 16 字节 128bit ,有可能是 AES |
 | 11 iF2007 2016-07-21 16:22:57 +08:00 1 Client 和 Server 都没有共享 key ,怎么加密 应该是带 Salt 的 HASH ,看长度是 MD5 |
 | 12 greenman0007 2016-07-21 16:38:13 +08:00 1 应该是 AES |
 | 13 luobailiang 2016-07-21 16:49:59 +08:00 7 aes ecb 加密,密钥 crazycrazycrazy 加一位数字 |
 | 14 sc3263 2016-07-21 17:30:09 +08:00 @luobailiang 用 python 试了下,还真是这个密钥。。。好强。。。 |
 | 15 raysonx 2016-07-21 17:45:08 +08:00 via Android |
 | 16 21grams 2016-07-21 18:13:25 +08:00 @luobailiang 这个牛啊,怎么算出来的? |
 | 17 Troevil 2016-07-21 18:20:21 +08:00 @luobailiang 厉害 |
 | 18 20150517 2016-07-21 18:39:26 +08:00 via Android @luobailiang 拜牛人,能解释下怎么算出来的吗? |
| 19 20150517 2016-07-21 18:42:12 +08:00 via Android 1 哦明白了 ecb 如果同一密钥加密两个 block 是可以反推的 |
 | 20 RqPS6rhmP3Nyn3Tm 206-07-21 18:45:45 +08:00 via Android |
 | 21 xylophone21 2016-07-21 19:05:05 +08:00 @20150517 不至于吧,有相关资料吗? |
 | 22 jefferyfan 2016-07-21 19:47:36 +08:00 @luobailiang 厉害! aes 没那么容易推出来的吧,不然现在 aes 都没法用了啊。 求具体的破解的步骤 学习学习 |
 | 23 rekulas 2016-07-21 19:59:52 +08:00 1 ecb 是最弱的加密模式,其他模式现在还是比较安全的 |
 | 24 kevin1852 2016-07-21 20:11:58 +08:00 via iPhone @luobailiang 厉害,同求解释 |
| 25 luobailiang 2016-07-21 20:27:56 +08:00 via Android 1 @blackshow 反编译 app,密钥在里面 |
| 26 iF2007 2016-07-21 20:55:33 +08:00 @luobailiang 厉害。居然密钥硬编码 |
 | 27 Citrus 2016-07-21 20:56:48 +08:00 既然是对称加密,那怎么都能在客户端抓到密钥。。。 |
| 30 luobailiang 2016-07-21 21:38:25 +08:00 1 @Citrus 他这个就是在 so 里面,反编译 app 是找到整个加密过程,最后是调用 so 里面的加解密函数,密钥在原生函数里 |
| 31 Citrus 2016-07-21 21:52:33 +08:00 1 @luobailiang 是的,我找到这个 so 里面写的密钥了。我的意思是可能 58 觉得用 C 写个 So 比用 Java 难搞一点? |
| 32 luobailiang 2016-07-21 22:26:55 +08:00 1 @Citrus 可能认为放哪都一样就简单放里面了。像微信那些做的好一点的 app 会有自己的混淆算法 |
 | 33 allenhu 2016-07-21 22:34:10 +08:00 via Android 省省吧 |
 | 34 SharkIng 2016-07-22 10:02:21 +08:00 这种加密多半都有 Salt 之类的吧?要是随便让你解出来还加蜜干啥 |
| 35 luobailiang 2016-07-22 12:07:18 +08:00 @SharkIng 客户端能解就都能解啊 |
 | 36 tangdou 2017-03-25 08:47:12 +08:00 1 @luobailiang 您好,现在 58app 还能反编译出解密方法吗?求指点。。。 |
 | 37 101054110 2017-05-27 16:59:52 +08:00 @luobailiang 您说的“ aes ecb 加密,密钥 crazycrazycrazy 加一位数字 ” 我没看懂,密钥到底是什么啊 |
| 38 101054110 2017-05-27 17:00:27 +08:00 @forever139 找到密钥了吗? |
Select Language