0x01 前言#

有时候逛商场坐地铁需要出示健康码，长时间不登陆就需要重新登陆，很麻烦。今天这个东西其实早在去年就发现了，但是没怎么注意，今天因为工作需要测试突然发现去年的那个链接现在居然还可以直接打开并且是实时获取的。

这里要说明，本篇文章仅供学习交流，严禁进行非法测试！！ #

0x02 正文#

夜神模拟器装好app之后，进行登陆，点进**码页面，然后开启Burp，由于app设置了SSL Pining证书校验，所以需要先绕过：

adb connect 127.0.0.1:62001          //连接到模拟器

adb shell

su

cd /data/local/tmp

./hluda-server-14.2.18-android-x86     //运行hluda-server

frida-ps -U        //新建终端，列出进程

frida -U -f package         //注入进程

接着开始绕过：

python3 frida-skeleton.py package

回到app，点击疫苗&核酸同时开启抓包

此时可以正常抓取到通信流量。

放包，直到看到code=字样

发送到Repeter ，进行重放

会得到一个跳转链接，取出其中的mw字段

填入下方（保命，不放出来了）

https://xxxx.gov.cn/smzy/fyz/qrcode?from=smy&latitude=&longitude=&address=&mw=yourmw&type=FY_QRCODE_01&usertype=1&m=

访问完整的链接，就会看到健康码，且实时动态刷新。

点击去年的链接

现在只需要访问这个链接就可以直接出示健康码，无需进行人脸识别的登陆。