“ 分析一个神秘的网络棋牌应用。”
本文分析的这款棋牌应用,是一个神奇的存在。
它通过色情app推广,看样子,黄赌是一家,目标受众类似。
在各大应用市场,是找不到它的身影的,在百度上,很多人在找它,相关搜索也很有趣:
看得出,在这款棋牌游戏里,很多人深陷其中,都赌输了不少。
根据一系列分析,整合各种蛛丝马迹,这款应用应该存在了好几年了,竟然没有被干掉,功力很深厚。
它的官网,也不是那种在东南亚运营的亚洲最大在线赌场的风格,而是自成一派,套路也不一样,并且,它的IP,疑似有部分是阿里云的。
于是,我决定分析一下它,看看它到底是什么来头。
本文将分为三个部分,大家各取所需。第一部分介绍它在百度上的留下的身影,第二部分展示它的外表与内在,第三部分当然是介绍它的协议流量的解密算法。
不过,本文能写的东西也就只能到此为止了,涉及的信息对这款棋牌应用来说只是冰山一角,很多东西藏在底下,比如,这款棋牌游戏是谁运营的?流水怎样?它背后的关系网?这些我不敢碰,毕竟人身安全才是最重要的。
有兴趣的朋友,可以深入分析下,提供情报给警察叔叔,或许还会有不少奖励,不用谢。
01
—
神秘的百度指数
虽然大家对百度的风评不好,总是被大家围猎,但不可否认的是,百度的部分应用,在目前阶段,还是有巨大价值的,比如百度指数,有的时候,它相当于一个网络信息的风向标。
熟悉它的人应该知道,如果一个词足够热门,在百度上被搜索的人足够多,那它一定会在百度指数中被收录。如果没被收录,那这个词一定不够热门。
但是,如果一个词被百度指数收录了,确没有任何信息,这是个什么情况?
要么是这个词是某人购买并一直跟踪的,要么是见不得光被屏蔽的。
我说的是奥迪棋牌这个词的百度指数,词被收录,却无指数值。
奥迪棋牌百度指数:
再来个未收录词的对比,协议分析百度指数:
这个对比,似乎预示着一些东西被隐藏。
更大概率是,这个棋牌见不得光。
02
—
内与外
下载到这款棋牌后,自然要体验一番。
首先看启动界面,没有性感荷官在线发牌:
欢快的主界面,进去自动帮你注册好了,不用繁琐的注册步骤,体现了菠菜业的理念和科技先进性:
这个主界面,可圈点之处很多,重点突出,信息丰富。
你看右上角的云闪付红包,配合最近云闪付的推广活动,一举多得。
再看左下角,官网推广,二维码,虽然官网经常变,但还是得推广的。
继续看下方,月入百万,这是招代理呀,不是东南亚的狗推。
右下角,让你时时不忘记充值。
界面中央,一款款棋牌游戏,喊你来花钱。
还有下方的讯息,可以联系客服,经亲测,客服是活的,真人,可陪聊,很敬业。
充值界面,花钱从这里开始,支持很多第四方支付平台:
主流渠道都支持,深入使用,会发现都是一些小商户的账号,这些账号会经常换,以便逃避监管,也就是所谓的第四方支付平台。
接下来是推广,是这款棋牌游戏裂变的重要手段,联系方式微信是主打,微信号换得很频繁,看得出微信很努力了:
再看安装包名,com.fengshengyule.win5843,这里面包含了一些信息吗?
继续将APK解包,看看里面都有啥,一批内置字符串,在各个平台的key串,一般来说,可以到相关网站跟踪到对应的人或组织的:
再例如一些URL之类:
安装包里还有更丰富的信息,有兴趣的可以去深入挖掘,这里只是引子。
03
—
协议破解分析
本部分将对奥迪棋牌的协议进行分析,首先,当然要使用wireshark对它的流量进行抓包。
它的报文,一部分是明文HTTP传输的,大家应该都知道怎么去分析,这里就不分析了。
在这些HTTP明文数据中,混杂了两个携带加密数据的HTTP,另外,还有一条TCP长链也是加密的,这里对它们仨进行分析,看看会解出什么数据来。
当然,它的流程,数据的识别,也会顺带提到。
这个app,首次启动会从应用内置网址去下载后续通信使用的真正的服务器列表,内置的网址在文件hall.json内,hall_slb_urls数据段内,一般是好几个URL,根据app版本不同会有差异,但功能都是一样的,有些能用有些不能用,能用的会返回正常的数据。
一个版本的URL列表如下:
这些URL返回的数据,部分内容加密,是后续交互用的ip:
响应体gzip解压后,都是字符串,只有其中的slb_url部分含义不明,是加密的:
加密方法在shell.jsc内,jsc文件也需要解下密才能转成js,这里怎么解密就不详细说了,后续有需要再放上来。
这个jsc文件解密出来后,shell.JSDecode函数内就是解码算法:
看我标记出来的密钥,密钥很粗俗,这么简单的逻辑,怎么可能破解不了?
slb_url部分内容,解密出来得到类似“111.230.162.91:8041”,即后面的长连接用到的IP和端口。
上面是第一个HTTP的解密,下面讲第二个HTTP的解密。
第二个需要解密的HTTP是登录报文,说是登录,其实是这个app自动做的,与人的操作无关,它使用的域名是前面HTTP响应的api_url字段内的域名sapi.hongchengren.com:
这个里面,请求post体和响应体内都有个data字段,这段数据显而易见是base64编码的,解出来,是二进制数据,很显然是加密的,这个在有一定协议分析经验后很容易看得出来。
经过分析,这两个data的加密算法也在shell.jsc内,在shell.Http中,用的是rc4,细看,竟然上下行密钥不同:
上下行的密钥图中框出来了。
其它的HTTP,都是明文的,没有加密,里面传输了丰富的信息,比如一些它的客服的微信号,还有它前面招代理的信息也是明文的:
再比如它的更新:
很山寨的样子。
再例如这个,一些应用特征信息:
接下来看它的长连接报文,是不是有点似曾相识:
数据当然是加密的,一直在看本号的朋友估计记得前面的这篇文章:
你一定猜到了,途游斗地主和这个奥迪棋牌长连接的加密算法是相同的,二者看样子关系很紧密,一个程序员写的?或者是一个公司出品的?我啥都不知道。
再看看解出来的数据,好激动人心呀,一把赢上千块,这就和前面的百度相关词对应上了:
它的加密数据就这三个,都很简单,作为安全行业的一员一定知道,流量不安全,相当于裸奔,对这个应用的使用者,也就可以任意蹂躏,比如下个马之类,分分钟的事。
当然,赌狗没有隐私,也就无须在乎这款软件是否安全了。
04
—
结尾
这款赌博软件就分析到这里了,分析时间已经过了一阵,因此里面的URL,微信号之类大概率都换了几遍,大概率核心逻辑和加密算法是不会变的,期待大家把信息用起来,祝大家玩得愉快,深挖背后的大佬。
如果为国为民,立了大功,不用谢,多来这里交流就可以,我只是知识的整合者。
长按进行关注,时刻进行交流。
点击“在看”,与朋友一起分享↘