自制北京某医院挂号工具

引言

最近听说亲戚家的小孩生病,但是经常挂不上号,每次都要找黄牛帮忙挂号,黄牛每次都要收300块钱,所以我就想帮帮他们,所以写了一个挂号工具,通过它可以更快的完成『查票->挂号->付款』的操作流。本文记录了制作该工具的思路和使用的工具。

开发流程

因为这个医院有一个手机APP,预约挂号都是在这个APP上进行的,所以我就从这个APP入手,开始了我的破解历程。

抓包

最初,本着试一试的态度,我先是从抓包入手,打算看一看这个挂号APP的请求内容。在这个过程中使用到了Mac平台的抓包工具Charles,使用流程如下:

  1. 打开Charles的HTTP代理(默认会使用8888端口)
  2. 将手机与电脑连接到同一个网络中
  3. 配置手机上的WIFI代理,填入Mac的IP和Charles的代理端口

配置好抓包工具后,发现了第一个问题:该APP和服务器是通过HTTPS通讯的,Charles无法解析请求内容。于是我进行了如下操作:

  1. 打开Charles的HTTPS代理功能
  2. 在Charles的SSL Proxy Setting中设置需要HTTPS代理的host:port,这里我填了 *:443
  3. 将Charles的CA证书下载到手机中
  4. 在手机设置中添加信任Charles的证书

本来以为这样就能在Charles中看到HTTPS报文内容,但是这里又遇到了一个坑,就是Google在Android6.0之后(不包括6.0)更新了对用户级CA证书的默认信任策略,即Android6.0之后,除非APP中特别声明该APP信任用户级证书,否则,只会信任系统级证书。更详细的说明可以从Android的开发者文档中查看。
解决这个问题有两个方案:

  1. 找一台Android6.0的手机进行抓包测试(我选择了这个方案,最简单)
  2. 解包APP,在res中添加网络安全设定,使这个APP信任Charles的证书,然后重新打包(感觉超麻烦,还不一定能成功)

至此,我已经能在Charles中查看该APP的所有请求内容了,分析各种操作的请求报文后,我发现该APP是通过HTTP请求中的一些Header数据来做身份验证的。其中,大部分的数据都是不变的或者很容易推算的,只有x-bchapi-signature是每次请求都不一样,只从抓包的信息中无法推断该数据是什么。为了搞清楚x-bchapi-signature是什么,我对该APP进行了反编译。

反编译

反编译部分,初期我使用到了如下工具:

  1. ApkTool: 通过它可以可以解出Apk文件中的静态资源,比如xml文件,图片等。
  2. dex2jar: 将dex文件(即apk文件中的java class数据)转换成jar文件。
  3. JD-GUI: 可以直接查看jar文件的内容。

这一阶段的操作流程如下:

  1. 使用ApkTool拆解出来所有静态资源和AndroidManifest.xml,拆解出来的静态资源,会在之后分析代码时用到,因为Android中通常会将一些恒量存在/res/values/*.xml中。此外,我还看了一下里面确实没有之前抓包时提到的网络安全配置,这也印证了之前在Android6.0以上手机HTTPS不好用的推断。
    • apktool d xxx.apk
  2. 使用rar解压工具解压了apk,里面有一个classes.dex文件
  3. 使用dex2jar反编译classes.dex,最终得到classes-dex2jar.jar
    • sh d2j-dex2jar.sh classes.dex
  4. 使用JD-GUI打开classes-dex2jar.jar

打开classes-dex2jar.jar后,发现里面没有什么代码,只显示了一些奇虎360的类,所以我推测他可能使用了一些代码混淆技术,为了得到真正的源码,我随后对apk进行了一些反混淆操作。
classes-dex2jar.jar

反混淆

反混淆部分,我使用到了如下工具:

  1. FDex2: 通过Hook ClassLoader的loadClass方法,反射调用getDex方法取得Dex(com.android.dex.Dex类对象),在将里面的dex导出。
  2. VirtualXposed: 无需root手机即可使用Xposed框架。

上述的两个工具是配合使用的,Xposed是一个代码钩子框架,它需要root才能正常使用,而这里我们用到的VirtualXposed是一个虚拟的Xposed,它可以在不root的手机上运行Xposed框架。
FDex2是一个运行在Xposed框架下的插件,通过他来得到所有apk代码。
这一阶段的操作操作流程如下:

  1. 手机安装VirtualXposed
  2. 在VirtualXposed中安装FDex2以及要破解的apk
  3. 启动FDex2并设定让其分析我们要破解apk
  4. 打开要破解的apk,并将挂号的完整流程都走一遍,这样才能分析到完整的挂号代码
  5. 将FDex2分析得到的dex文件下载到电脑上,这一步我用到了一个文件资源管理器
  6. 通过反编译时使用的dex2jar解析dex文件,最终得到jar文件
  7. 使用JD-GUI打开最终生成的jar文件

至此,我已经看到了该apk下的所有核心代码,很快我就找到了x-bchapi-signature的构造方式,它是通过请求的url,请求的参数,当前时间等整合加密所得。随后,我马上通过postman构造了一个请求,并且成功发送了。

抢票工具的开发

有了反混淆后得到的代码,剩下的工作就很简单并且重复了,它基本都是遵循如下流程:

  1. 打开Charles,并在手机上点击想要破解的操作
  2. 在Charles中找到该操作的请求内容
  3. 在源码中搜索该操作传输的数据含义
  4. 在Java中使用HTTP Client构造相同的请求

参考内容

[1] Mac下用Charles实现Android http和https抓包
[2] 反编译Android APK详细操作指南
[3] Android APK脱壳

贝克街的流浪猫 wechat
您的打赏将鼓励我继续分享!
  • 本文作者: 贝克街的流浪猫
  • 本文链接: https://www.beikejiedeliulangmao.top/tools/hospital-register-tool/
  • 版权声明: 本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!
  • 创作声明: 本文基于上述所有参考内容进行创作,其中可能涉及复制、修改或者转换,图片均来自网络,如有侵权请联系我,我会第一时间进行删除。