目标场景
在移动互联网时代,很大一部分企业抛弃了传统的网站,选择将数据、服务整合到 App 端,因此 App 端无论是爬虫还是反反爬都显得尤为重要。
常见的 App 端的爬虫方式是利用 Appium 和 Airtest 驱动手机打开应用,操作页面,然后通过元素 ID 获取元素的内容,又或者借助 mitmproxy 捕获到请求的数据,最后将数据保存下来。
如果要完成复杂的操作,加快爬虫的效率,就必须破解 App 端的登录,获取一些关键的数据,直接模拟接口请求,达到快速高效地爬取数据的目的。
准备工作
在开始编写脚本之前,需要做好如下准备工作
1、待破解的 APK 应用,可去官网或者各大应用市场去下载,然后安装应用到手机中
2、反编译工具,mac OSX 推荐 Android Crack Tool 工具集,Win OS 可以使用 dex2jar 来反编译 APK 应用包
3、源码浏览工具:jadx-gui
4、抓包工具:Charles 或者 Fiddler
编写脚本
第 1 步,确保手机配置好代理之后,就可以利用 Charles 对「获取验证码」和「登录」进行抓包操作,得到请求地址、请求参数和请求头等数据。
第 2 步,对请求参数、请求头中「没有规律的数据」寻找生成的规律,并用 Python 代码来生成这些数据。
首先,我们查看获取验证码这一请求的参数,发现除了手机号码外,参数 t 可以很容易想到是请求的时间戳,唯独参数 token 在没有其他网络请求的情况下生成了。
所以,我们大胆猜测:这个 token 是 App 端通过一定的逻辑生成的;同理,请求头中 token 也是由 App 端生成。
在我们多次发起获取验证码的操作之后,我们得出一个规律:参数中的 token 保持不变,与请求时间没有关系;请求头的 token 会随着时间的变化的也会发生变化。
我们利用 Android Crack Tool对 APK 应用进行反编译,得到源码 Jar 包。
然后就可以使用 jadx-gui 工具打开源码 Jar 包,通过请求地址中的「关键词:login」搜索源码,就能找到请求发送的位置。
由于应用源码打包的时候混淆了代码,因此,我们需要根据上面的搜索结果去定位参数初始化位置及实现逻辑。
逐步往上追溯应用源码,可以找到按钮点击事件的监听函数。
具体实现逻辑是把用户输入的手机函数传给混淆后的函数 :b()
点击查看函数 b() 的实现逻辑,会发现方法中对手机号码进行了截取,获取当前日期时间,进行字符串的「第一次拼接」操作。
对第一部分的拼接我们用 Python 代码进行实现。
第一次拼接完成之后,我们发现又调用了一个函数 a(),参数为上面拼接生成的两个变量。
函数 a() 的内部使用「DES + Base64」加密算法来进行第二步的处理。
加密的操作用 Python 可以很轻松的实现。
需要注意的是,b()函数的最后一行,对第二步生成的字符串进行了特殊字符的替换操作,生成 Token 之前需要对数据进行同样的处理。
通过以上三步操作,就可以生成网络请求中的参数 Token。
同样的方式,针对请求中的 Token,我们通过查询 token 关键字查询源码。
通过观察,我们发现类 e 中的 b()函数的功能就是往请求中添加请求头,继续查看函数 b() 的实现类,发现这个类也全部被混淆了。
如果你细心一点,一定会发现当前实现类的包名是 Okhttp3,我们可以从 Github 下载 Okhttp3 的源码,然后进行对比,就能很清晰的知道里面的实现逻辑了。
ps:okhttp 是 Android 使用很多一个网络请求库。
通过对比没有混淆过的代码,可以很容易的编写出生成请求头中 Token 的逻辑。
至此,这一步就完成两个 Token 的生成。
第 3 步就可以利用 Python「模拟发起一个请求」,来获取手机验证码了。
同理,后面的登录请求也是先通过抓包,使用上面生成的 Token 逻辑去修改请求头中 Token,然后模拟请求,就可以正常登录了。
结果结论
通过模拟获取验证码的请求,等待手机收到验证码之后,输入验证码,然后再模拟登录的请求,就可以获取登录成功后的令牌。
由于验证码是由服务器产生的,这里没法获取生成逻辑,但是针对安卓手机可以监听通知栏消息元素,拿到短信验证码进行自动填入,就不需要人工输入了。
拿到登录令牌之后,理论上 App 上页面的各类网络请求都可以利用 Python 去模拟,后面提供的源码包含了一个完整抢票的流程。