EduVE:技成培训网加密火候欠佳,服务器验证秘钥可被暴力猜解!

jc

网站介绍:

    深圳市技成科技有限公司(www.jcpeixun.com)成立于2007年,是一家致力于制造业职业教育的互联网在线教育企业,其宗旨是整合国内外优秀的教师资源,利用互联网的跨地域性,为广大技术从业人员及职业院校学生提供最实用的制造业应用技术培训和就业指导推荐服务。使其技术水平得到迅速和全面的提高。

    今天要说的技成培训网,是一家非常有意思的谈不上纯互联网的机构,因为大多是实操类机械操作,所以在线教育还是很特别的。时刻不忘分析结构图。

解密流程

我们进入任意课程试看,发现一个很有意思的播放下载方式,主要是播放名。

f

不知道大家有没有发现,播放地址的结构呢..哈,发现了吧,播放地址是前面固定结构,加上播放名称的手写字母缩写。即间接寻址01–jjxz01。通过这个规律,其实我们就可以拿到免费不高清的所有视频数据了。当然我们作为专业评测机构,怎么会用这么笨拙的方式来获取数据呢,并且拿到的数据也是不完整不高清的,不甘心。

通过上面命名的方式,我们得到了下载地址方式,同时也知道了,视频并没有托管,全部存放在自己的服务器。现在我们要做的就是如何拿到高清完整收费课程。继续分析

我们模拟抓取到了一处可用的api,包含了所有我们想要的数据,大概结构如下,我们可以发现该接口包含了 JC加密文件地址,刚才的非高清flv地址,及各种解密参数key,m3u8地址等,可以说,到这里,技成培训网已经完全暴露。

111

我们尝试下载JC文件,经过分析,其实就是hls的ts文件流,不过经过了简单的加密,加密算法一看就懂,就是***,可以说异常简单。

222

 

虽然说算法极其简单,但是这也算是一种hls变异,独有加密算法,说明产品及开发还是有意思的。最终下载文件解密完整如下,我们可以发现是很高清的完整文件了,46分钟,之前的flv非高清都是几分钟,可以说下载破解完整文件已经实现。

444

当然直接解密playlist.m3u8里面的单独ts片组合也是一致的。在之后的分析中,我们还发现了一些可以突破的地方,比如他的播放器,未做任何保护直接反编译看到整个登录解密验证等流程。

555

至此技成培训评测完成,也了解了其整个播放架构,无论是在线播放还是本地播放器离线播放加密文件,都得以逆向分析解密,还是很有意思的,但是需要进一步优化,安全性有待提高。本机构评测文章仅作技术研究,细节不予公布,也不会发布任何相关工具。

 

 

———-网校等级评价:(满分5颗星)———-

技成培训网校内容:

技成培训网校数据安全:

技成培训网校认知度:

技成培训网校总体评价:

—————————————————

请技成培训网校注意保护贵站的数据信息安全

 

声明:

    eduve.org 原创出品文章仅作数据安全评测分析相关内容不得用于商业或非法用途!转载请注明文章出处,内容不得修改!

—————————————————————

联系我们:service@eduve.org

未经允许不得转载:eduve.org » EduVE:技成培训网加密火候欠佳,服务器验证秘钥可被暴力猜解!

赞 (5) 评论 (0) 分享 ()