浅析58招财猫变形RSA与变形BASE64

无名侠 · 发表于 2016-6-18 19:32

本帖最后由无名侠于 2016-6-18 20:00 编辑

这个app的加密有点好玩。
分析文章都在pdf中，这里展示概述内容：

0x0 概述：

58招财猫登陆密码算法经过：

libcom_wuba_uc_rsa.so中Java_com_wuba_uc_RsaCryptService_encrypt 函数加密，下面简称encrypt函数。

Encrypt先调用JByte2CChar 把Java byte数组转换为char *，然后进一步调用encrypt_default进行加密。

encrypt_default先解密rsa公钥文件，然后调用encrypt_d，最后把结果进行base64变形加密。

encrypt_d 先进行rsa加密，然后调用ch_crypt 对加密结果进行变换。

难点是ch_crypt 和变形base64

安全建议：

1、签名验证过于简单，建议与密码一同加密。

2、Rsa模式太简单，建议改成cbc

3、没有反调试

4、Base64变形太简单

5、ch_crypt过于简单。

本人坐标成都，希望暑假找一份端茶倒水的逆向工作（暑假工），欢迎联系本人。

pdf完整版下载：

嗟嗟嗟 · 发表于 2016-6-19 01:16

厉害👍👍👍👍👍👍👍👍👍👍👍

lonely_coder · 发表于 2016-6-18 20:10

wzy41718682 发表于 2016-6-18 19:37
我也要找端茶倒水的活（真倒水）。

我也差点被你的头像给骗了

FallStop · 发表于 2016-6-18 19:36

本帖最后由 FallStop 于 2016-6-18 20:22 编辑

沙发，好腻害

wzy41718682 · 发表于 2016-6-18 19:37

我也要找端茶倒水的活（真倒水）。

kuwo911 · 发表于 2016-6-18 21:31

俺是进来喝水的，感谢分享！

绍离 · 发表于 2016-6-18 22:14

我是来看评论的.....0.0

弹指之间 · 发表于 2016-6-20 11:10

分享的都是好人。

Gordon0918 · 发表于 2016-6-20 15:30

牛人总是这么多

愚公 · 发表于 2016-6-22 17:46

我看看，到底怎么样

帐号		自动登录	找回密码
密码			注册[Register]

[Android 原创] 浅析58招财猫变形RSA与变形BASE64