自制北京某医院挂号工具

引言

最近听说亲戚家的小孩生病，但是经常挂不上号，每次都要找黄牛帮忙挂号，黄牛每次都要收300块钱，所以我就想帮帮他们，所以写了一个挂号工具，通过它可以更快的完成『查票->挂号->付款』的操作流。本文记录了制作该工具的思路和使用的工具。

开发流程

因为这个医院有一个手机APP，预约挂号都是在这个APP上进行的，所以我就从这个APP入手，开始了我的破解历程。

抓包

最初，本着试一试的态度，我先是从抓包入手，打算看一看这个挂号APP的请求内容。在这个过程中使用到了Mac平台的抓包工具Charles，使用流程如下：

1. 打开Charles的HTTP代理(默认会使用8888端口)
2. 将手机与电脑连接到同一个网络中
3. 配置手机上的WIFI代理，填入Mac的IP和Charles的代理端口

配置好抓包工具后，发现了第一个问题：该APP和服务器是通过HTTPS通讯的，Charles无法解析请求内容。于是我进行了如下操作：

1. 打开Charles的HTTPS代理功能
2. 在Charles的SSL Proxy Setting中设置需要HTTPS代理的host:port，这里我填了 *：443
3. 将Charles的CA证书下载到手机中
4. 在手机设置中添加信任Charles的证书

本来以为这样就能在Charles中看到HTTPS报文内容，但是这里又遇到了一个坑，就是Google在Android6.0之后（不包括6.0）更新了对用户级CA证书的默认信任策略，即Android6.0之后，除非APP中特别声明该APP信任用户级证书，否则，只会信任系统级证书。更详细的说明可以从Android的开发者文档中查看。
解决这个问题有两个方案：

1. 找一台Android6.0的手机进行抓包测试（我选择了这个方案，最简单）
2. 解包APP，在res中添加网络安全设定，使这个APP信任Charles的证书，然后重新打包（感觉超麻烦，还不一定能成功）

至此，我已经能在Charles中查看该APP的所有请求内容了，分析各种操作的请求报文后，我发现该APP是通过HTTP请求中的一些Header数据来做身份验证的。其中，大部分的数据都是不变的或者很容易推算的，只有x-bchapi-signature是每次请求都不一样，只从抓包的信息中无法推断该数据是什么。为了搞清楚x-bchapi-signature是什么，我对该APP进行了反编译。

反编译

反编译部分，初期我使用到了如下工具：

1. ApkTool: 通过它可以可以解出Apk文件中的静态资源，比如xml文件，图片等。
2. dex2jar: 将dex文件（即apk文件中的java class数据）转换成jar文件。
3. JD-GUI: 可以直接查看jar文件的内容。

这一阶段的操作流程如下：

1. 使用ApkTool拆解出来所有静态资源和AndroidManifest.xml，拆解出来的静态资源，会在之后分析代码时用到，因为Android中通常会将一些恒量存在/res/values/*.xml中。此外，我还看了一下里面确实没有之前抓包时提到的网络安全配置，这也印证了之前在Android6.0以上手机HTTPS不好用的推断。

   • apktool d xxx.apk
2. 使用rar解压工具解压了apk，里面有一个classes.dex文件

3. 使用dex2jar反编译classes.dex，最终得到classes-dex2jar.jar

   • sh d2j-dex2jar.sh classes.dex
4. 使用JD-GUI打开classes-dex2jar.jar

打开classes-dex2jar.jar后，发现里面没有什么代码，只显示了一些奇虎360的类，所以我推测他可能使用了一些代码混淆技术，为了得到真正的源码，我随后对apk进行了一些反混淆操作。

反混淆

反混淆部分，我使用到了如下工具：

1. FDex2: 通过Hook ClassLoader的loadClass方法，反射调用getDex方法取得Dex(com.android.dex.Dex类对象)，在将里面的dex导出。
2. VirtualXposed: 无需root手机即可使用Xposed框架。

上述的两个工具是配合使用的，Xposed是一个代码钩子框架，它需要root才能正常使用，而这里我们用到的VirtualXposed是一个虚拟的Xposed，它可以在不root的手机上运行Xposed框架。
FDex2是一个运行在Xposed框架下的插件，通过他来得到所有apk代码。
这一阶段的操作操作流程如下：

1. 手机安装VirtualXposed
2. 在VirtualXposed中安装FDex2以及要破解的apk
3. 启动FDex2并设定让其分析我们要破解apk
4. 打开要破解的apk，并将挂号的完整流程都走一遍，这样才能分析到完整的挂号代码
5. 将FDex2分析得到的dex文件下载到电脑上，这一步我用到了一个文件资源管理器
6. 通过反编译时使用的dex2jar解析dex文件，最终得到jar文件
7. 使用JD-GUI打开最终生成的jar文件

至此，我已经看到了该apk下的所有核心代码，很快我就找到了x-bchapi-signature的构造方式，它是通过请求的url，请求的参数，当前时间等整合加密所得。随后，我马上通过postman构造了一个请求，并且成功发送了。

抢票工具的开发

有了反混淆后得到的代码，剩下的工作就很简单并且重复了，它基本都是遵循如下流程：

1. 打开Charles，并在手机上点击想要破解的操作
2. 在Charles中找到该操作的请求内容
3. 在源码中搜索该操作传输的数据含义
4. 在Java中使用HTTP Client构造相同的请求

文章说明

更多有价值的文章均收录于贝贝猫的文章目录

版权声明： 本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！

创作声明： 本文基于下列所有参考内容进行创作，其中可能涉及复制、修改或者转换，图片均来自网络，如有侵权请联系我，我会第一时间进行删除。

参考内容

[1] Mac下用Charles实现Android http和https抓包
[2] 反编译Android APK详细操作指南
[3] Android APK脱壳