这是一个创建于 612 天前的主题,其中的信息可能已经有所发展或是发生改变。
之所以逆向这个 app 是因为老家的公交只有这个软件支持公交实时状态,而这个软件又贼难用,楼主想拿到数据接口去重新开发一个 App 或者小程序,楼主是一个前端小萌新只能硬着头皮去尝试分析,奈何楼主水平有限,希望大家给出出主意
过程
我先进行了抓包(用的 burpsuite ),但是只抓到了一个相对有些价值的 XML 文件,是这个 APP 支持的所有地方公交的目录和这个地方的配置文件,公交目录链接: http://222.76.217.238:8090/App/MyBus/index.xml ,一阵瞎操作后也没有抓到啥有用的信息,无奈放弃。
后来又想到对 App 包进行逆向源码,然后去分析他的网络请求。说干就干,一阵瞎折腾,如愿以偿的拿到了他的源码( smali 源码和 jar 包,非专业逆向选手,只能做到这一步😭),然后我就傻眼了,使用 Java 开发的 App 和前端混合开发的 App 完全两码事,而我又仅仅只是一个小小前端.....哭死,这条路又被堵死了,不过也并非完全没有收获,拿到了一些密钥信息,但一些关键的请求信息楼主依然没有拿到,只能求助各位道友了
分析出的一些线索
我把自己拿到的一些线索进行了分析整理,希望能帮到你
文件地址: https://wwm.lanzouy.com/iM2lt09w1m0f
说明
Bus-smali 逆向出的 smali 文件
Bus.apk 目标 APP
Bus 扫描 URL.xls 扫描 APP 拿到的一些可疑 URL 地址
bus 疑似密钥.md 逆向出的源码分析记录的一些可疑密钥
classes.dex App 逆向得到的 dex 文件
classse-dex2jar.jar App 逆向得到的 jar 的文件可用 jd-gui-window.zip 里压缩的软件打开
jd-gui-window.zip
目录截图
快来看看有没有你的老家
 |
1
GeneralL 2022-08-20 14:33:48 +08:00
不懂逆向技术,之前遇到过类似的情况,微信公众号有公交查询,但是不懂接口在哪里,后来是在当地的交通运输局网站找到了实时公交信息,后来用的爬虫解决。
不知道你有没有看过当地的交通运输局有没有实时信息 |
 |
2
dafei110 OP @GeneralL 没有的,县一级经济不咋滴的二十八线小城市基本能有个 App 用就不错了,这个 App 是属于厦门蓝斯股份有限公司的,没有查到相关的 web 端的接口😭公众号里只有这个 App 的下载链接
|
 |
3
lhxsimon 2022-08-20 15:10:38 +08:00
之前车来了 APP 干这个事,赔了 50w
http://rmfyb.chinacourt.org/paper/html/2019-05/23/content_155662.htm?div=-1 自己偷偷弄可以,开发成 APP 或者小程序的话,有不少风险 此外,从技术的角度讨论,这个 APP 没有做加固,学习一下 Frida 怎么去 Hook MD5Util 里面的 makeMD5 函数就可以 |
 |
4
gainsurier 2022-08-20 15:14:53 +08:00 via iPhone
换个思路,投诉公交不提供查询接口
|
 |
5
mochanight 2022-08-20 15:19:48 +08:00
这就很刑
|
 |
6
leeg810312 2022-08-20 15:29:40 +08:00 via Android
自己用可以,给公众使用就涉嫌犯罪
|
 |
8
lyc8503 2022-08-20 20:26:36 +08:00 via Android
http/https 协议一般都能抓包抓到的, 如果加密或者签名了只需要逆向 app 中的加密 /签名部分即可.
|
 |
9
zhensjoke 2022-08-23 09:53:31 +08:00 via Android
这界面怎么看怎么像套的 web...
|
Select Language