美文网首页安卓逆向
安卓双向认证逆向

安卓双向认证逆向

作者: 苦海飘摇 | 来源:发表于2020-04-21 17:47 被阅读0次
近期工作中发现了一个双向认证的app,特此记录一下。
  • 上图为抓包结果,这是一个GET请求,当不加代理的时候是可以访问通的,加了代理就会报400 No required SSL certificate was senthook SSL Pinning后还是同样的结果,经过百度得知是双向认证。

  • 解压该apk找到其证书


  • charles加入证书,Proxy->SSL Proxying Settings ->Client Certificates,导入证书。

  • 再次请求,要求输入密码。


  • 寻找密码,通过jeb搜索client.p12




    image
  • 找到libsoul-netsdk.so用IDA打开,搜索字符串"getStorePassword"F5之后分析代码。

相关文章

网友评论

    本文标题:安卓双向认证逆向

    本文链接:https://www.haomeiwen.com/subject/ddyuihtx.html