PC协yiQQ 9.2.3版本0825提交和返回包解析

夏夜 · 发表于 2020-4-18 08:50:01

本帖最后由夏夜于 2020-4-18 09:18 编辑

后期有时间录制发布视频教程附加Demo，仅供学习

会一样不算什么，我也在多学的路程中。

抓包工具：Wireshark 分析工具：xxarser hook，OD莫尝试崩溃，百度均有。
代码就不放了，没多大意义。本教程不定时更新，仅做交流分析思路，不做任何开发。

技术交流裙：948169872

---------------------------华丽的分割线---------------------------------------

0825发送包

[NO.0 0 14.116.136.247:8000 SEND 147字节]

02 //包头

38 59 //版本

08 25

4D 24 //序号

BE C1 45 8C [QQ号码]

03 00 00 00 01 01 01 00 00 69 66 00 00 0000 //固定

A3F9 49 55 6A F0 BE 24 B1 3F A1 4B 0C FE 3A 42

E6 20 DD F9 BD 55 3B 15 F7 DE 1D EC D0 3684 9C

C5 1A C8 12 51 15 F9 3F 4C 50 A1 7C 70 B504 0A

F4 F4 A0 2D A8 32 D6 5C 28 C4 CA 73 A5 BEC8 74

04 2B D8 52 06 5E 12 47 13 37 7A FB AE 7CA8 07

79 9A A0 1E D7 BA 74 02 85 FA 2F 99 CA C98D 1D

91 A6 F0 61 12 9D 86 1A 49 B5 F1 A7 46 4E25 4F

5C B2 05 B7 38 3C D8 97

[key:A3 F9 49 55 6A F0 BE 24 B1 3F A1 4B 0CFE 3A 42]（随机生成key）

#region 密文

00 18 00 16 00 01 //固定 0825_fix1

00 00 04 57 00 00 00 01 00 00 16 39 //固定 0825_fix2

BE C1 45 8C [QQ号码:3200337292]

00 00 00 00 03 09 00 08 //固定

00 01 //第几次发送08 25 包

0E 74 88 6C [ip地址:14.116.136.108] //当前服务器IP

00 02 00 36 00 12 00 02 00 01 00 00 00 00 00 00

00 00 00 00 00 00 00 00 01 14 00 1D 01 03 //暂时固定

00 19 //接下来0x19（换成10进制是25字节）

03 EB 0C 2F 82 C0 40 C4 D1 3E BF 0A 41 1D 51 CA

7F 08 D4 26 BD E8 9E 04 0E //（ecdhkey 公钥）

#endregion

03 //包尾

--------------------

0825 返回包

[NO.1 0 14.116.136.247:8000 RECV 119字节]

02

38 59

08 25

4D 24

BE C1 45 8C [QQ号码]

00 00 00

CD 83

17 09 70 1F 35 EB A2 70 F3 26 E5 9F 1E 7039 ED

02 EE 55 8E 53 0D 07 EC F2 DE 0D DE DE 6B68 0A

93 F4 77 3E 64 95 B4 18 B2 8C 98 C5 E7 0719 68

9E 7F 72 EE 2C 96 C7 EA 7C 4A 6E 0C 93 2AD9 0B

64 2C FF EE 69 1D 19 2C 2E 82 A0 35 E8 C2D3 66

83 D8 C0 0A 62 50 D1 0A 5C A0 B1 F4 13 00FF F2

20 36 57 B4 DD CB

[key:A3 F9 49 55 6A F0 BE 24 B1 3F A1 4B 0CFE 3A 42]（发送包里随机生成的key）

#region 密文

00 //服务器重定向不更换为：00 更换为：01

01 12 //固定

00 38 //令牌长度，接下来(0x38，字节数56）

B9 C3 A8 A6 B6 D6 BC 3C 88 E0 6A 60 91 E7 16 F9

A0 C0 21 F8 33 AA BC 07 33 34 6C B1 50 A4 F0 4B

83 2F BE 97 4A F1 92 10 F8 CA B1 0F DD 55 C7 1C

B2 1D 85 6C 1F DF 35 22 //0825_token

00 17 00 0E 00 01 //固定

5E 6E 53 98 [时间:2020-03-16 0:11:04]

B6 69 34 B0 //客户端Ip

0F A9 //4009

00 00 03 10

00 04

0E 74 88 F7 //服务端Ip

#endregion

03 //包尾

---------------------------华丽的分割线---------------------------------------

会分析你就会写，再多的源码也许只是拷贝模仿，连有没有后门，也许都搞不明白，自己多学才是真。

天源程皓 · 发表于 2020-11-22 09:28:06

楼主牛啊

云随风而去 · 发表于 2020-8-13 11:21:27

在0825key上面

云随风而去 · 发表于 2020-8-13 11:21:08

你不觉得多了一个00

44944 · 发表于 2020-6-29 14:51:03

有没有好工具推荐

陌梵MouFan · 发表于 2020-5-16 16:55:27

给你点个超级赞，学习了

q1151816994 · 发表于 2020-5-3 19:27:22

学习学习支持大佬xiexie

冷宝宝 · 发表于 2020-4-27 17:59:59

感谢分享

geegtb · 发表于 2020-4-24 19:12:42

好好学习下

一剑磨十年 · 发表于 2020-4-22 05:08:20

工具也分享下吧俺也没有找到⊙﹏⊙

		自动登录	找回密码
密码			注册

[技术专题] PC协yiQQ 9.2.3版本0825提交和返回包解析