一、抓一下登录的数据包
POST http://www.100hhr.com/App/Login/login HTTP/1.1 Content-Type: application/x-www-form-urlencoded Content-Length: 120 Host: www.100hhr.com Connection: Keep-Alive Accept-Encoding: gzip User-Agent: okhttp/3.9.1 data=%7B%22password%22%3A%2219791180110%22%2C%22phone%22%3A%2215836353612%22%7D&apisign=0353050f4f445336805b87376ace9a7e
二、数据分析
1、data数据看起来像url编码%XX,经分析发现就是我们提交的手机号及密码
data={"password":"123456789","phone":"15836353612"}&apisign=0353050f4f445336805b87376ace9a7e
2、将apk拖进jadx代码分析,搜索apisign
3、随便点击一个进去
4、apisign参数,用到的是md5算法,按着ctrl键,点击MD5_KEY,发现该值是常量“d367f4699214cec412f7c2a1d513fe05”
5、进入ToMD5方法,就是MD5_KEY+data,然后再进行一次MD5
6、验证结果:
禁止非法,后果自负
