阿里系App抓包分析（三）

上一篇文章《阿里系App抓包分析（二）》简单介绍了Mtop的初始化，发现IMtopInitTask是主要用来处理Mtop的初始化的类，经过查看它有三个实现类：

• InnerMtopInitTask

• OpenMtopInitTask

• ProductMtopInitTask

三个实现分别对应的instanceId为：OPEN、INNER、PRODUCT，咱们主要看InnerMtopInitTask这个实现，分析里面重要的初始化步骤，最后再使用Charles完成抓包。

IMtopInitTask接口只有二个方法：

.method public abstract executeCoreTask(Lmtopsdk/mtop/global/MtopConfig;)V
.end method

.method public abstract executeExtraTask(Lmtopsdk/mtop/global/MtopConfig;)V
.end method

分别执行不同的初始化任务，分析executeCoreTask它主要做了四件事：

• 设置ISign的实现类

• 设置FilterManager

• 设置AntiAttackHandler

• 设置callFactory

对应的设置与实现类如下（基于大麦网：7.5.4）：

设置项	抽象类	实现类	作用
MtopConfig.sign	mtopsdk.security.ISign	mtopsdk.security.b	参数签名
MtopConfig.filterManager	mtopsdk.framework.manager.FilterManager	tb.anj	网络请求过滤器
MtopConfig.antiAttackHandler	mtopsdk.mtop.antiattack.AntiAttackHandler	mtopsdk.mtop.antiattack.AntiAttackHandlerImpl	滑动解锁处理类
MtopConfig.callFactory	mtopsdk.network.Call$Factory	mtopsdk.network.impl.a	网络请求Call工厂类

再看executeExtraTask里面主要是调用了SwitchConfig.initConfig()方法，一看SwitchConfig里面全是设置方法，细看下发现两个关键的hook点：

• setGlobalSpdySslSwitchOpen

• setGlobalSpdySwitchOpen

先使用Frida调一下试试：

function hookNetwork(){
    var enableSpdy = false;
    var SwitchConfig = Java.use('mtopsdk.mtop.global.SwitchConfig')
    var instance = SwitchConfig.getInstance();
    
    instance.setGlobalSpdySslSwitchOpen(enableSpdy);
    instance.setGlobalSpdySwitchOpen(enableSpdy);
}

Java.perform(function () {
    hookNetwork();
});

用上面的脚本，启动App试试：

frida -U  -l src/index.js  -f cn.damai

设置好手机代理，再启动Charles查看是否有请求数据，如果有那说明爬包成功了：

抓到包看到数据基本上是完成一小步了，为什么是一小步呢？因为Mtop有签名机制和防机器人机制，这些要解决才能爬到数据的，不然调不了API或者人机校验过不了的。