[经验分享] web逆向之某量算术的传输加密逆向破解

思路

• 通过谷歌浏览器的 source XHR/fetch breakpoints   拦截目标请求连接
• 查看 Stack 对应堆栈， 找到requests 发送处 ， （一般也会有 response 接受处, 所以搜索response 打断点）
• 在一个response 处成功定位到具体解析，刷新界面跟踪堆栈就能找到key,iv。

原理

• 从源码可知，此次response 加密本质就是 base64+Aes_cbc 加密的
• key，iv 是两个base64 字符， 先字符串替换-》base64 解密-》转 unicode 字节数组
• Data 数据 同理， 也是先字符替换-》base64 解密-》转unicode 字节数组-》AES CBC 模式解密-》 utf-8 编码
• 如果是python 实现注意去除补位
• 去除代码
• un_pad = lambda s: s[:-ord(s[len(s) - 1:])]
  

总结
总体来说是一个很简单的加密

注：若转载请注明大神论坛来源（本贴地址）与作者信息。