【Web逆向】实战解析:Protobuf数据逆向的两种高效方法
1. 认识Protobuf数据逆向
第一次接触Protobuf逆向时,我盯着那一串串"乱码"数据完全摸不着头脑。后来才发现,这其实是Google开发的一种高效数据序列化格式,在Web开发、微服务通信等领域应用非常广泛。简单来说,它就像是一个数据压缩包,把结构化信息变成紧凑的二进制格式,传输效率比JSON高3-10倍。
在实际Web逆向工作中,我们经常会遇到两种典型场景:一种是请求头明确带有content-type: application/grpc-web+proto标识;另一种是响应数据看起来像乱码,但用普通解码方法无效。这时候就需要考虑是不是遇到了Protobuf数据。
Protobuf数据有几个明显特征:
- 二进制格式,用文本编辑器打开显示为乱码
- 通常以
.bin文件形式出现 - 请求头可能包含proto/grpc相关标识
- 数据体积比同等信息的JSON小很多
我遇到过最棘手的情况是某电商APP的商品详情接口,返回数据用常规JSON解析完全无效,后来用hexdump查看才发现是Protobuf格式。下面我就分享两种经过实战验证的解析方法。
2. 方法一:blackboxprotobuf模块实战
2.1 环境准备与安装
blackboxprotobuf是我最常用的Python第三方库,它的优势是不需要.proto定义文件就能直接解析。先确保你的Python环境是3.6+版本,然后一条命令就能安装:
pip install blackboxprotobuf这里有个小坑要注意:如果同时安装了protobuf库,最好指定版本pip install protobuf==3.20.*,避免版本冲突导致解析异常。我在Windows和Mac上都测试过,安装过程一般很顺利。
2.2 核心解析代码
假设我们已经从网络请求中获取到了二进制数据(比如通过Charles或Fiddler抓包),保存为response.bin。解析的核心代码其实非常简单:
import blackboxprotobuf with open('response.bin', 'rb') as f: data = f.read() result, types = blackboxprotobuf.decode_message(data) print(result)这段代码我用了不下50次,其中decode_message()函数会返回两个值:
result是解析后的字典结构,包含原始数据types是各字段的类型映射,对理解数据结构很有帮助
2.3 常见问题排查
但事情并不总是一帆风顺。上周解析一个短视频APP的接口时,就遇到了DecodeError: Error parsing message错误。经过反复测试,发现几个常见失败原因:
- 数据不完整:抓包时可能丢失了部分字节,建议用Wireshark完整捕获TCP流
- 嵌套过深:遇到多层嵌套时,可以尝试
max_depth参数调整 - 特殊字段类型:新版Protobuf的一些类型可能需要更新库版本
我常用的调试技巧是先用hex编辑器查看文件头尾,确认数据完整性。如果还是失败,可以尝试下面的第二种方法。
3. 方法二:protoc工具链解析
3.1 工具安装配置
protoc是Google官方的Protocol Buffers编译器,需要手动安装:
- 从GitHub releases页面下载对应系统版本(建议选最新稳定版)
- 解压后把
bin/protoc添加到系统PATH - 验证安装:
protoc --version
这里有个实际案例:去年分析某智能硬件协议时,blackboxprotobuf解析失败,但用protoc却成功了。关键区别在于protoc需要类型定义文件(.proto),但有时可以通过--decode_raw绕过。
3.2 基础解析命令
最基础的解析命令格式如下:
protoc --decode_raw < response.bin这个命令会直接输出解析结果,适合快速查看内容。但更专业的做法是配合.proto定义文件:
protoc --decode=MyMessage myproto.proto < response.bin其中MyMessage是.proto文件中定义的消息类型。如果没有定义文件怎么办?这时候就需要逆向工程了。
3.3 高级逆向技巧
通过--decode_raw的输出,我们可以反推proto结构。比如看到输出中有:
1: 100 2: "example" 3 { 1: 200 }对应的proto定义可能是:
message MyMessage { optional int32 field1 = 1; optional string field2 = 2; optional SubMessage field3 = 3; } message SubMessage { optional int32 sub_field1 = 1; }这个过程需要反复试验。我通常会先用小样本测试,逐步完善proto定义,直到能完整解析所有数据。
4. 实战案例对比分析
最近逆向一个物联网设备协议时,我同时使用了两种方法,对比结果很有意思:
| 对比项 | blackboxprotobuf | protoc |
|---|---|---|
| 准备时间 | 5分钟安装库 | 15分钟下载配置 |
| 解析速度 | 较快 | 极快 |
| 数据完整性 | 可能丢失部分复杂类型 | 完整解析 |
| 输出可读性 | 直接生成Python字典 | 需要转换输出格式 |
| 适用场景 | 快速探索未知结构 | 有.proto文件时的精确解析 |
实际工作中,我建议先用blackboxprotobuf快速摸底,遇到复杂情况再上protoc。两种方法配合使用,能覆盖90%的Protobuf逆向场景。
5. 进阶技巧与优化建议
经过几十个项目的实战,我总结出一些教科书上找不到的经验:
- 混合使用两种方法:先用blackboxprotobuf获取字段映射关系,再编写.proto文件用protoc解析
- 处理大文件的技巧:对于超过100MB的bin文件,可以用
mmap方式读取避免内存溢出 - 自动化解析脚本:我写了个自动重试的wrapper函数,遇到解析失败会自动尝试不同编码
def safe_decode(data, retry=3): for i in range(retry): try: return blackboxprotobuf.decode_message(data) except Exception as e: if i == retry - 1: raise data = data[:-i*10] # 尝试截断尾部- 常见字段类型识别:记住这些映射关系能提高效率:
- 1→int32, 2→float, 3→string
- 5→bool, 9→bytes
最后提醒一点:Protobuf数据可能包含敏感信息,解析时要注意数据脱敏。我曾遇到过直接包含用户手机号的案例,这在正式报告中必须做模糊处理。