#日常 昨天看了一下某个人作软件,这个软件存在两个权益,是通过服务器获取的,通过抓包可以看到其内容,有个 sign 字段对服务器传回的 data 进行合法性校验,看着像 AES 证书签。本来打算看看能不能搞定它的 sign 校验逻辑顺带直接从逻辑层面把两个权益给拿下的,但是搞了半天搞不定,技术不到家,但是拿到了 sign 的原文组合方式。
后面尝试搜索证书的位置,一开始在 dll 里面找有没有硬编码,发现没有,开始搜索所有文件内容,发现其证书是在文件直接保存的,所以可以直接替换,于是在哈基米的帮助下做了一个用 MITMProxy 拦截并修改请求的启动器,成功拦截了登录短信发送、登录请求和权益获取请求,并用 mock 数据返回,于是就成功 get 到了权益(>‿◠)✌️
注:我是有这个软件的权益的,只是想试试而已
题外话:这个软件能看出是 vibe coding 产物,说实话,AI 是真的很不注意安全这一块,我抓包的时候还发现他的短信登录接口没做验证码,可以直接用,奈何小软件,还是跟作者说一下这个问题吧,别让人破费了╮(╯▽╰)╭
后面尝试搜索证书的位置,一开始在 dll 里面找有没有硬编码,发现没有,开始搜索所有文件内容,发现其证书是在文件直接保存的,所以可以直接替换,于是在哈基米的帮助下做了一个用 MITMProxy 拦截并修改请求的启动器,成功拦截了登录短信发送、登录请求和权益获取请求,并用 mock 数据返回,于是就成功 get 到了权益(>‿◠)✌️
注:我是有这个软件的权益的,只是想试试而已
题外话:这个软件能看出是 vibe coding 产物,说实话,AI 是真的很不注意安全这一块,我抓包的时候还发现他的短信登录接口没做验证码,可以直接用,奈何小软件,还是跟作者说一下这个问题吧,别让人破费了╮(╯▽╰)╭
