技术标签: app android 定位 android studio ssl
前言
Android逆向是一个很大很深的话题,我们这个系列探讨的是爬虫工程师日常的逆向需求,比如签名算法啊,post请求中的加密啊,乱七八糟的随机字段等,下面看看我们每次要分析的app。
抓包
抓包前将手机和电脑连接到同一WIFI,在手机设置好代理,装好证书,就可以开始抓包了,抓包工具随意
抓包环境配置好后,在注册页面随便输入一个账号,然后点击注册
查看抓到的数据包,找需要分析的参数进行分析
deviceCode 是IMEI 码,这次逆向的重点也就是分析sign,appcode生成逻辑。
分析
看到这个sign 我首先想到用objection trace 一下,没了解过 objection的可以自行百度,也可以参考roysue的文章:
https://www.anquanke.com/post/id/197657?from=timeline&isappinstalled=0
使用命令:
android hooking search classes sign
找到含有sign的类
其中有条成功引起了我的注意,找的时候先查找携带包名的类,然后触发一下:
android hooking watch class com.******hotel.app.whnetcomponent.utils.SignUtil
触发后得到以下结果,又发现两个比较可疑的方法,继续跟踪:
android hooking watch class_method com.******wehotel.app.whnetcomponent.utils.SignUtil.getAppCode --dump-args --dump-return
android hooking watch class_method com.******wehotel.app.whnetcomponent.utils.SignUtil.getSignString --dump-args --dump-return
再次触发后看到拿到的正好是我们需要的结果,这样就定位到了参数位置:
现在我们去看看app 代码。
脱壳加验证
这个app 使用某数字壳,直接使用葫芦娃的脱壳工具:
https://github.com/hluwa/FRIDA-DEXDump
对于体积比较大的app来说,使用dex-finder能让我们更快速的查看需要的类和参数,Gitub地址:
https://github.com/LeadroyaL/dex-finder
找到我们需要查看的类所在的dex,使用命令:
使用下面命令
java -jar dex-finder.jar -f 目录 -c com.******wehotel.app.whnetcomponent.utils.SignUtil
找到我们需要的dex后 ,用jadx 打开查看:
一眼就能看见sign 是md5,appcode 是AES加密,然后跟进去就找到了key,加密模式和填充方式
AesUtil.encrypt(timestamp + "+" + ascii + "+" + devicesNo + "+" + latlng);
1585278419269, 51405, 00000000-30ae-6a3e-a3c1-fe290033c587, 0,0
1585274763545+1974+00000000-30ae-6a3e-a3c1-fe290033c587+0,0
这里可以看到ascii ,但是不知道怎么来的,打印下堆栈,然后去上一级找,很快找到了生成位置decodeASCII,
Python改写如下:
query = {"systemVersion":"5.1.1", "sid":"306259","userId":"0", "mobile":mobile, "clientVersion":"4.2.9", "deviceType":"google Pixel 2","nationCode":"86","deviceCode":"865166010285875"}
k = list(query.values())
asc = str(sum([sum([ord(i) for i in j]) for j in k ]))
然后接下来看sign ,加密方式就是这样,hook 下参数:
md5.getMD5ofStr(md5.getMD5ofStr(userId + appChannel + devicesNo + timestamp + latlng + ascii) + timestamp + ascii + devicesNo + latlng);
0, vadjlr4k3o;qj4io23ug9034uji5rjn34io5u83490u5903huq, 00000000-30ae-6a3e-a3c1-fe290033c587, 1585278419367, 0,0, 1974
"0vadjlr4k3o;qj4io23ug9034uji5rjn34io5u83490u5903huq00000000-30ae-6a3e-a3c1-fe290033c58715852784193670,01974"
B4BB10ECF03A740174AFABA1EC93E00E1585278419367197400000000-30ae-6a3e-a3c1-fe290033c5870,0
A298CD04C866C7F0BF9E0D4456AFD7B1
A298CD04C866C7F0BF9E0D4456AFD7B1
两次md5 对比后发现appChannel是固定,其他就可以自己伪造了
最后再说下 deviceId 的生成方式,其实不重要,uuid伪造就行了,
clientInfo.setDeviceId(new UUID((long) androidId.hashCode(), (((long) tmDevice.hashCode()) << 32) | ((long) tmSerial.hashCode())).toString());
到此 分析完毕,Python改写请求即可:
// 下面是验证参数用到的fria脚本
function showStacks() {
Java.perform(function() {
console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
});
}
function hook(){
Java.perform(function(){
var util = Java.use('com.******wehotel.app.whnetcomponent.net.JJSignInterceptor');
var Buffer = Java.use("okio.Buffer");
var aci = Java.use("com.******wehotel.app.whnetcomponent.utils.SignUtil")
var device = Java.use("com.******wehotel.app.whnetcomponent.utils.DeviceUtil");
var ut = Java.use("com.******wehotel.app.whnetcomponent.utils.Utils");
var client = Java.use("com.******hotel.app.whnetcomponent.net.ClientInfo");
var WHGetDeviceIdUtil = Java.use("com.******hotel.app.componentservice.WHGetDeviceIdUtil");
var Settings = Java.use("android.provider.Settings$Secure");
var TelephonyManager = Java.use("android.telephony.TelephonyManager");
var UUID = Java.use("java.util.UUID");
util.handlerRequest.implementation = function (request) {
showStacks();
var ret = this.handlerRequest(request);
console.log(request);
try {
console.log("MyInterceptor.intercept onEnter:", request, "\nrequest headers:\n", request.headers());
var requestBody = request.body();
var contentLength = requestBody ? requestBody.contentLength() : 0;
if (contentLength > 0) {
var BufferObj = Buffer.$new();
requestBody.writeTo(BufferObj);
console.log("\nrequest body String:\n", BufferObj.readUtf8(), "\n");
};
} catch (error) {
console.log("error 1:", error);
};
console.log(ret);
var context = ut.getApp();
var a = device.readClientInfo(context);
var tmDevice = "" + WHGetDeviceIdUtil.getDeviceId(context);
var pm = context.getSystemService("phone")
var b = Java.cast(pm,TelephonyManager);
var tmSerial = b.getSimSerialNumber();
var androidId = "" + Settings.getString(context.getContentResolver(), "android_id");
console.log(tmDevice,tmSerial,androidId);
console.log(a.getDeviceId());
return ret;
}
aci.decodeASCII.implementation = function (a) {
// showStacks();
console.log(a);
var ret = this.decodeASCII(a);
console.log(ret);
return ret;
};
aci.stringToAscII.implementation = function (a) {
// showStacks();
console.log(a);
var ret = this.stringToAscII(a);
console.log(ret);
return ret;
};
UUID.$init.implementation = function (a,b) {
// showStacks();
console.log("a",a);
console.log("b",b);
var ret = this.$init(a,b);
};
});
};
setImmediate(function(){
setTimeout(hook, 2000);
});
大功告成!就这样,下次再见。
文章浏览阅读3.8k次,点赞9次,收藏28次。直接上一个工作中碰到的问题,另外一个系统开启多线程调用我这边的接口,然后我这边会开启多线程批量查询第三方接口并且返回给调用方。使用的是两三年前别人遗留下来的方法,放到线上后发现确实是可以正常取到结果,但是一旦调用,CPU占用就直接100%(部署环境是win server服务器)。因此查看了下相关的老代码并使用JProfiler查看发现是在某个while循环的时候有问题。具体项目代码就不贴了,类似于下面这段代码。while(flag) {//your code;}这里的flag._main函数使用while(1)循环cpu占用99
文章浏览阅读347次。idea shift f6 快捷键无效_idea shift +f6快捷键不生效
文章浏览阅读135次。Ecmacript 中没有DOM 和 BOM核心模块Node为JavaScript提供了很多服务器级别,这些API绝大多数都被包装到了一个具名和核心模块中了,例如文件操作的 fs 核心模块 ,http服务构建的http 模块 path 路径操作模块 os 操作系统信息模块// 用来获取机器信息的var os = require('os')// 用来操作路径的var path = require('path')// 获取当前机器的 CPU 信息console.log(os.cpus._node模块中有很多核心模块,以下不属于核心模块,使用时需下载的是
文章浏览阅读10w+次,点赞435次,收藏3.4k次。SPSS 22 下载安装过程7.6 方差分析与回归分析的SPSS实现7.6.1 SPSS软件概述1 SPSS版本与安装2 SPSS界面3 SPSS特点4 SPSS数据7.6.2 SPSS与方差分析1 单因素方差分析2 双因素方差分析7.6.3 SPSS与回归分析SPSS回归分析过程牙膏价格问题的回归分析_化工数学模型数据回归软件
文章浏览阅读7.5k次。如何利用hutool工具包实现邮件发送功能呢?1、首先引入hutool依赖<dependency> <groupId>cn.hutool</groupId> <artifactId>hutool-all</artifactId> <version>5.7.19</version></dependency>2、编写邮件发送工具类package com.pc.c..._hutool发送邮件
文章浏览阅读867次,点赞2次,收藏2次。docker安装elasticsearch,elasticsearch-head,kibana,ik分词器安装方式基本有两种,一种是pull的方式,一种是Dockerfile的方式,由于pull的方式pull下来后还需配置许多东西且不便于复用,个人比较喜欢使用Dockerfile的方式所有docker支持的镜像基本都在https://hub.docker.com/docker的官网上能找到合..._docker安装kibana连接elasticsearch并且elasticsearch有密码
文章浏览阅读1.3w次,点赞57次,收藏92次。整理 | 郑丽媛出品 | CSDN(ID:CSDNnews)近年来,随着机器学习的兴起,有一门编程语言逐渐变得火热——Python。得益于其针对机器学习提供了大量开源框架和第三方模块,内置..._beeware
文章浏览阅读7.9k次。//// ViewController.swift// Day_10_Timer//// Created by dongqiangfei on 2018/10/15.// Copyright 2018年 飞飞. All rights reserved.//import UIKitclass ViewController: UIViewController { ..._swift timer 暂停
文章浏览阅读986次,点赞2次,收藏2次。1.硬性等待让当前线程暂停执行,应用场景:代码执行速度太快了,但是UI元素没有立马加载出来,造成两者不同步,这时候就可以让代码等待一下,再去执行找元素的动作线程休眠,强制等待 Thread.sleep(long mills)package com.example.demo;import org.junit.jupiter.api.Test;import org.openqa.selenium.By;import org.openqa.selenium.firefox.Firefox.._元素三大等待
文章浏览阅读3k次,点赞4次,收藏14次。Java软件工程师职位分析_java岗位分析
文章浏览阅读2k次。Java:Unreachable code的解决方法_java unreachable code
文章浏览阅读1w次。1、html中设置标签data-*的值 标题 11111 222222、点击获取当前标签的data-url的值$('dd').on('click', function() { var urlVal = $(this).data('ur_如何根据data-*属性获取对应的标签对象