phpmac/apk-api-extractor

APK/React Native API 提取

信息源优先级 (可靠性从高到低)

1. H5/Web页面 -- 最高可靠, JS代码未混淆, 直接暴露完整参数名和请求结构
2. app.config -- Expo应用配置文件, 暴露品牌/域名/更新服务/第三方集成
3. JS bundle (index.android.bundle) -- 可靠但需要去污染处理, 路径可能与代码粘连
4. APK AndroidManifest.xml -- 只能看到权限/组件, API信息有限

提取流程

阶段1: APK解包与配置提取

# 解包APK
apktool d app.apk -o /tmp/apk-assets

# 关键文件优先检查
assets/app.config          # Expo应用配置 (金矿!)
assets/index.android.bundle # React Native JS bundle (可能9MB+)
AndroidManifest.xml         # 权限和组件
res/values/strings.xml      # 硬编码字符串

阶段2: app.config 分析

Expo应用的 app.config / app.json 通常包含:

• 应用名称/包名/版本号
• 品牌变体 (双品牌构建如kxnb/mallex)
• 更新服务URL (暴露内部基础设施域名)
• EAS projectId
• 第三方SDK配置

# 格式化查看
python3 -m json.tool /tmp/apk-assets/assets/app.config

阶段3: JS Bundle 路径提取

注意: 正则提取会产生路径污染!

minified JS中路径会与相邻代码粘连, 例如:

"/gateway/trade/create"===t?"/gateway/trade/confirm"

正则匹配会抓到含引号/等号/变量名的垃圾路径.

正确做法:

# 1. 提取所有带引号包围的路径 (减少粘连)
grep -oP '"/gateway/[\w/-]+"' /tmp/apk-assets/assets/index.android.bundle | sort -u

# 2. 人工过滤明显粘连的路径

# 3. curl逐一验证 (空body POST), 根据响应判断:
#    - 返回JSON错误 -> 端点存在
#    - 返回404/Handler not found -> 路径被污染, 忽略

阶段4: H5页面参数发现 (最可靠)

APP通常有对应的H5注册/登录页面 (如 join.xxx.com), 这些页面的JS代码未混淆, 直接暴露:

• 完整API base URL
• 所有请求参数名
• 请求方法 (GET/POST)
• 响应格式和错误码

发现H5页面:

# 从JS bundle中搜索子域
grep -oP 'https?://[\w.-]+\.[\w]+' /tmp/apk-assets/assets/index.android.bundle | sort -u

# 对每个发现的子域, 检查是否有H5页面
curl -sL https://join.<domain>.com/ | head -200
curl -sL https://<domain>.com/join.html | head -200

H5页面JS分析方法:

1. 下载HTML页面
2. 搜索 $.ajax / fetch / axios / XMLHttpRequest 调用
3. 提取所有URL模板和data参数
4. 这就是最准确的API文档

阶段5: API验证

对提取到的端点用curl逐一验证:

# 无需认证的端点 -- 直接测试参数
curl -s -X POST https://api.example.com/gateway/session/send-sms \
  -H "Content-Type: application/json" \
  -d '{"countryCode":"86","mobile":"13800000000"}'

# 响应解读:
# {"code":"PARAMETER_ERROR","msg":"手机号不能为空"} -> 参数名是mobile
# {"code":"OK"} -> 成功 (注意安全风险!)
# {"code":"NOT_LOGIN"} -> 需要认证, 端点存在
# 404 -> 端点不存在或路径被污染

阶段6: 参数反推

Spring Boot后端可通过错误消息反推参数:

1. 发送空body {}
2. 读取错误消息中的参数名提示
3. 逐一填充参数, 直到没有PARAMETER_ERROR
4. 记录每个参数的验证规则 (格式/长度/必填)

安全发现记录模板

### [端点名] - [安全问题]
- 端点: `POST https://api.xxx.com/gateway/xxx/yyy`
- 请求体: `{...}`
- 问题: 无验证码/无频率限制/无Token
- 影响: 短信炸弹/信息泄漏/未授权访问
- 验证: curl命令和响应

反模式

• 禁止暴力破解验证码 (换思路: 找H5页面参数/抓包/静态分析)
• 禁止将JS bundle正则匹配的路径直接当作可用端点, 必须curl验证
• 禁止只分析JS bundle, H5页面通常更可靠且信息更完整
• 禁止忽略app.config, 它可能暴露关键基础设施域名
• 禁止在tmux中使用bash语法 (fish shell环境需用fish兼容写法)
• 传输长内容到远程时用base64编码, 超过2000字符需分段传输
• 写入脚本文件用 printf 或 echo 逐行追加, 不用heredoc (fish不兼容)

Flutter APK 分析 (与RN的关键差异)

判断框架类型

解包后先判断是RN还是Flutter:

| 特征 | React Native | Flutter | |------|-------------|---------| | 主代码文件 | assets/index.android.bundle (文本) | assets/flutter_assets/kernel_blob.bin (二进制, 100MB+) | | AOT编译产物 | 无 | lib/arm64-v8a/libapp.so (不一定存在) | | 配置文件 | assets/app.config (JSON) | 无集中配置文件 | | native SDK | 不明显 | lib/arm64-v8a/lib*.so 原生库列表直接暴露SDK |

Flutter 阶段1: 优先解包关键文件

# Flutter关键文件 (按优先级)
assets/flutter_assets/kernel_blob.bin   # Dart kernel快照, 主代码 (必取)
assets/flutter_assets/AssetManifest.json # 资源清单, 暴露功能模块
lib/arm64-v8a/libapp.so                  # AOT编译快照 (可能不存在)
lib/arm64-v8a/lib*.so                    # 原生SDK库列表 -> 推断第三方服务

Flutter 阶段2: 二进制字符串提取

kernel_blob.bin 是二进制格式, 必须用 strings 提取可读内容:

# 提取API端点
strings kernel_blob.bin | grep -oP '"/api/[a-zA-Z0-9/_-]+"' | sort -u

# 提取域名
strings kernel_blob.bin | grep -iEo 'https?://[a-z0-9.-]+' | sort -u

# 提取 Firebase 配置
strings kernel_blob.bin | grep -E 'AIzaSy|DefaultFirebaseOptions|firebase' | sort -u

# 提取 SDK App ID
strings kernel_blob.bin | grep -iE 'sdkAppId|app_id.*[0-9]{5,}' | sort -u

Flutter 阶段3: 过滤引擎噪音

kernel_blob.bin 含大量Flutter框架内置URL (dartlang.org/flutter.dev/api.jquery.com等), 必须先过滤再分析:

必过滤模式: dartlang\.org|flutter\.dev|w3\.org|whatwg\.org|jquery\.com|developer\.android\.com|apple\.com/documentation|learn\.microsoft\.com|pub\.dev|material\.io|dartbug\.com

Flutter 阶段4: 开发者指纹提取

Dart kernel快照 保留开发机文件路径, 这是RN没有的信息源:

strings kernel_blob.bin | grep -oP 'file:///Users/[^"]+' | sort -u
# 示例输出: file:///Users/zona/Desktop/item/adia/lib/main.dart
# 暴露: 开发者用户名/项目目录名/项目结构

Flutter 阶段5: 原生库SDK推断

通过 .so 文件列表直接推断第三方服务 (不需要读代码):

| .so 文件 | 对应服务 | 说明 | |----------|---------|------| | libImSDK.so | Tencent Cloud IM | 即时通讯 | | libliteavsdk.so | Tencent TRTC | 实时音视频 | | libtuikitengineroom.so | Tencent TUIKit | 会议室引擎 | | libtpcore-master.so | 腾讯TUIPlayer | 直播播放 | | libwechat*.so | 微信SDK | 微信登录/支付 | | libflutter.so | Flutter引擎 | 框架自身(忽略) |

方法: unzip -l app.apk | grep 'lib/arm64-v8a/' | grep -v 'libflutter\|libc++\|libapp' 列出业务相关原生库.

Flutter 阶段6: 配置项搜索策略

Flutter没有集中配置文件, 配置散落在编译后的Dart代码中, 需用关键词模式搜索:

| 搜索目标 | strings 关键词模式 | |---------|-------------------| | API Base URL | api\.|baseUrl|base_url|API_URL | | Firebase | AIzaSy|firebase|DefaultFirebaseOptions|project- | | 微信AppID | wx[0-9a-f]{16} | | 腾讯IM SDKAppID | sdkAppId.*[0-9]{5,} | | Google验证码 | google-site-verification | | SMTP/MS服务 | protection\.outlook\.com|secureserver\.net|MS=ms |

Flutter 反模式

• 禁止将 strings 输出直接当作端点列表, kernel_blob.bin噪音极大, 必须先过滤后验证
• 禁止只搜 kernel_blob.bin 忽略 libapp.so, 两种编译模式都存在, 需要两者都检查
• 禁止忽略 AssetManifest.json, 它通过资源文件名直接暴露功能模块 (wallet/meeting/chat/ai等)
• 禁止跳过 .so 库列表分析, 它是判断第三方服务的最快方式 (不需读代码)
• 禁止忽略开发机路径泄露, 这是Flutter特有的高价值信息源