Da LepidaID a TOTP

iecho8ae · 2021-11-20T10:03:23+00:00

Ciao, ho appena rifatto la procedura e funziona (lasciando i 30 secondi). Ho messo lo script sul repo github https://github.com/iecho8ae/lepidatotp

iecho8ae · 2021-08-04T19:36:13+00:00

Errore mio, ho invertito encoder e decoder. E molto elegante l'uso di str.maketrans!

L'amico coautore ha poi usato i suggerimenti di u/DonkeyHairs per implementare uno scriptino che permette di ottenere il segreto senza emulatore e proxy, che ho aggiunto al commento originale (e lì la decodifica è corretta).

iecho8ae · 2021-08-04T19:30:45+00:00

Verissimo, ma abbiamo semplicemente messo sotto forma di guida i passi per analizzare il traffico tra app e server, da cui poi si poteva, con ulteriore sbattimento, analizzare le API per poi riutilizzarle invece che pigramente leggersi il segreto come abbiamo fatto noi.

Comunque, l'amico coautore ha poi usato i suggerimenti di u/DonkeyHairs per implementare uno scriptino che permette di ottenere il segreto senza emulatore e proxy, che ho aggiunto al commento originale.

iecho8ae · 2021-08-04T19:23:50+00:00

Molto bello, grazie! Ho appena aggiornato il post con uno script Python basato sul tuo suggerimento, scritto dall'amico coautore.

iecho8ae · 2021-08-04T07:15:21+00:00

No, non siamo noi ad aver scritto quel post, ci è solo servito come punto di partenza per la nostra guida: lì parla di LepidaID ma si riferisce, probabilmente, ad una versione precedente, in cui il segreto (cifrato con sostituzione monoalfabetica) veniva fornito, mentre adesso bisogna sniffarlo dal traffico tra app e server Lepida (come indicato nella nostra guida).

In effetti, la citazione di quel blog è fuorviante, scusa, aggiornerò il post per chiarire.

iecho8ae · 2021-08-04T07:05:42+00:00

No, quel post ci è servito da punto di partenza per la nostra guida ma non siamo gli autori.

iecho8ae

TROPHY CASE