“ 分析一個神秘的網路棋牌應用,”
本文分析的這款棋牌應用,是一個神奇的存在,
它通過色情app推廣,看樣子,黃賭是一家,目標受眾類似,
在各大應用市場,是找不到它的身影的,在百度上,很多人在找它,相關搜索也很有趣:
看得出,在這款棋牌游戲里,很多人深陷其中,都賭輸了不少,
根據一系列分析,整合各種蛛絲馬跡,這款應用應該存在了好幾年了,竟然沒有被干掉,功力很深厚,
它的官網,也不是那種在東南亞運營的亞洲最大在線賭場的風格,而是自成一派,套路也不一樣,并且,它的IP,疑似有部分是阿里云的,
于是,我決定分析一下它,看看它到底是什么來頭,
本文將分為三個部分,大家各取所需,第一部分介紹它在百度上的留下的身影,第二部分展示它的外表與內在,第三部分當然是介紹它的協議流量的解密演算法,
不過,本文能寫的東西也就只能到此為止了,涉及的資訊對這款棋牌應用來說只是冰山一角,很多東西藏在底下,比如,這款棋牌游戲是誰運營的?流水怎樣?它背后的關系網?這些我不敢碰,畢竟人身安全才是最重要的,
有興趣的朋友,可以深入分析下,提供情報給警察叔叔,或許還會有不少獎勵,不用謝,
01
—
神秘的百度指數
雖然大家對百度的風評不好,總是被大家圍獵,但不可否認的是,百度的部分應用,在目前階段,還是有巨大價值的,比如百度指數,有的時候,它相當于一個網路資訊的風向標,
熟悉它的人應該知道,如果一個詞足夠熱門,在百度上被搜索的人足夠多,那它一定會在百度指數中被收錄,如果沒被收錄,那這個詞一定不夠熱門,
但是,如果一個詞被百度指數收錄了,確沒有任何資訊,這是個什么情況?
要么是這個詞是某人購買并一直跟蹤的,要么是見不得光被屏蔽的,
我說的是奧迪棋牌這個詞的百度指數,詞被收錄,卻無指數值,
奧迪棋牌百度指數:
再來個未收錄詞的對比,協議分析百度指數:
這個對比,似乎預示著一些東西被隱藏,
更大概率是,這個棋牌見不得光,
02
—
內與外
下載到這款棋牌后,自然要體驗一番,
首先看啟動界面,沒有性感荷官在線發牌:
歡快的主界面,進去自動幫你注冊好了,不用繁瑣的注冊步驟,體現了菠菜業的理念和科技先進性:
這個主界面,可圈點之處很多,重點突出,資訊豐富,
你看右上角的云閃付紅包,配合最近云閃付的推廣活動,一舉多得,
再看左下角,官網推廣,二維碼,雖然官網經常變,但還是得推廣的,
繼續看下方,月入百萬,這是招代理呀,不是東南亞的狗推,
右下角,讓你時時不忘記充值,
界面中央,一款款棋牌游戲,喊你來花錢,
還有下方的訊息,可以聯系客服,經親測,客服是活的,真人,可陪聊,很敬業,
充值界面,花錢從這里開始,支持很多第四方支付平臺:
主流渠道都支持,深入使用,會發現都是一些小商戶的賬號,這些賬號會經常換,以便逃避監管,也就是所謂的第四方支付平臺,
接下來是推廣,是這款棋牌游戲裂變的重要手段,聯系方式微信是主打,微信號換得很頻繁,看得出微信很努力了:
再看安裝包名,com.fengshengyule.win5843,這里面包含了一些資訊嗎?
繼續將APK解包,看看里面都有啥,一批內置字串,在各個平臺的key串,一般來說,可以到相關網站跟蹤到對應的人或組織的:
再例如一些URL之類:
安裝包里還有更豐富的資訊,有興趣的可以去深入挖掘,這里只是引子,
03
—
協議破解分析
本部分將對奧迪棋牌的協議進行分析,首先,當然要使用wireshark對它的流量進行抓包,
它的報文,一部分是明文HTTP傳輸的,大家應該都知道怎么去分析,這里就不分析了,
在這些HTTP明文資料中,混雜了兩個攜帶加密資料的HTTP,另外,還有一條TCP長鏈也是加密的,這里對它們仨進行分析,看看會解出什么資料來,
當然,它的流程,資料的識別,也會順帶提到,
這個app,首次啟動會從應用內置網址去下載后續通信使用的真正的服務器串列,內置的網址在檔案hall.json內,hall_slb_urls資料段內,一般是好幾個URL,根據app版本不同會有差異,但功能都是一樣的,有些能用有些不能用,能用的會回傳正常的資料,
一個版本的URL串列如下:
這些URL回傳的資料,部分內容加密,是后續互動用的ip:
回應體gzip解壓后,都是字串,只有其中的slb_url部分含義不明,是加密的:
加密方法在shell.jsc內,jsc檔案也需要解下密才能轉成js,這里怎么解密就不詳細說了,后續有需要再放上來,
這個jsc檔案解密出來后,shell.JSDecode函式內就是解碼演算法:
看我標記出來的密鑰,密鑰很粗俗,這么簡單的邏輯,怎么可能破解不了?
slb_url部分內容,解密出來得到類似“111.230.162.91:8041”,即后面的長連接用到的IP和埠,
上面是第一個HTTP的解密,下面講第二個HTTP的解密,
第二個需要解密的HTTP是登錄報文,說是登錄,其實是這個app自動做的,與人的操作無關,它使用的域名是前面HTTP回應的api_url欄位內的域名sapi.hongchengren.com:
這個里面,請求post體和回應體內都有個data欄位,這段資料顯而易見是base64編碼的,解出來,是二進制資料,很顯然是加密的,這個在有一定協議分析經驗后很容易看得出來,
經過分析,這兩個data的加密演算法也在shell.jsc內,在shell.Http中,用的是rc4,細看,竟然上下行密鑰不同:
上下行的密鑰圖中框出來了,
其它的HTTP,都是明文的,沒有加密,里面傳輸了豐富的資訊,比如一些它的客服的微信號,還有它前面招代理的資訊也是明文的:
再比如它的更新:
很山寨的樣子,
再例如這個,一些應用特征資訊:
接下來看它的長連接報文,是不是有點似曾相識:
資料當然是加密的,一直在看本號的朋友估計記得前面的這篇文章:
途游斗地主加密協議分析及破解
你一定猜到了,途游斗地主和這個奧迪棋牌長連接的加密演算法是相同的,二者看樣子關系很緊密,一個程式員寫的?或者是一個公司出品的?我啥都不知道,
再看看解出來的資料,好激動人心呀,一把贏上千塊,這就和前面的百度相關詞對應上了:
它的加密資料就這三個,都很簡單,作為安全行業的一員一定知道,流量不安全,相當于裸奔,對這個應用的使用者,也就可以任意蹂躪,比如下個馬之類,分分鐘的事,
當然,賭狗沒有隱私,也就無須在乎這款軟體是否安全了,
04
—
結尾
這款賭博軟體就分析到這里了,分析時間已經過了一陣,因此里面的URL,微信號之類大概率都換了幾遍,大概率核心邏輯和加密演算法是不會變的,期待大家把資訊用起來,祝大家玩得愉快,深挖背后的大佬,
如果為國為民,立了大功,不用謝,多來這里交流就可以,我只是知識的整合者,
長按進行關注,時刻進行交流,
點擊“在看”,與朋友一起分享↘
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/61913.html
標籤:其他
上一篇:大小端位元組序的來歷(摘自《深入理解計算機系統 第三版》)
下一篇:檔案包含漏洞