Reverse Engineering the Drexel One API

通过MiTM得知App先通过authentication获取一个key,然后利用这个key进行一系列的hashing计算获得一个authentication_key,之后每次call api都将该authentication_key加载到HTTP header之上。

RE Android App,知道authentication_key的组成就是

{my username}:{Utils.generateHash method}:{timestamp}

Hashing的alg是HmacSHA1. 借助Free Online HMAC Generator,我们可以做个小测试.

最后作者将这个流程写成一个python script.

Ref

Reverse Engineering the Drexel One API – Tomer Shemesh – Medium

Show Comments