入门级,无壳app登录算法还原并实现发包

已于 2023-07-03 18:05:20 修改
阅读量233 收藏
点赞数
分类专栏: 算法还原 文章标签: android
于 2023-07-01 18:20:36 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75845723/article/details/131493332
版权

如题本文主要讲某app登录算法还原并实现发包的全过程,此app非常适合小白入门时拿来练手,

是一个无壳无混淆的app,软件链接我放在文章最下面,建议先看一下文章后,再去下载上手。

目录

追踪关键代码

上frida刺刀,开始动刀子。

继续追踪关键代码

frida再次出刀

python代码复现

​编辑最终登录算法发包代码的python实现: 

总结:

追踪关键代码

从jadx分析得到上图代码,是手机号加密码的发包位置,其中可见手机号和密码都被传入了login,跟踪进去后,可见的相关代码如下图。

 这里login又调用的私有方法doLogin,将手机号和密码传给了UserService里面,我们进行追踪,得到如下图代码。

 看到了密码登录参数,手机号和密码被传入了这里,密码被传进了getMD5后,加密后存入了params又传入了getRSAParams,然后传入request,先继续追踪getMD5,

 是一个普通的MD5,用python进行一下复现,代码如下。

import hashlib
 
def get_md5(val):
    m = hashlib.md5()
    m.update(val.encode('utf-8'))
    result = m.hexdigest()
    return result
 
print(get_md5("qwerty"))
# 结果:d8578edf8458ce06fbc5bb76a58c5ca4

然后追进getRSAParams里面得到下图代码,写的还挺多,又一层base64加密,还有RSA加密

上frida刺刀,开始动刀子。

先用frida来对这个对象动刀子,得结果如下

  1. getRSAParams is called, params: {password=d8578edf8458ce06fbc5bb76a58c5ca4, os=android, mobile=15536263522, version=2.2.3}
  2. getRSAParams ret value is {data=eyJwYXNzd29yZCI6ImQ4NTc4ZWRmODQ1OGNlMDZmYmM1YmI3NmE1OGM1Y2E0Iiwib3MiOiJhbmRyb2lkIiwibW9iaWxlIjoiMTU1MzYyNjM1MjIiLCJ2ZXJzaW9uIjoiMi4yLjMifQ==, 
  3. sign=DmxjCCvf8aJnZNve4BQkcy6turIGzkE13DkIu9JSnJF7yUDp3ZUxANRnSn6+BCN2nEogZsHFOm0fzzTU/NMnEqijA8lklHoxZspzVOe6Hkp8jYRrzvf0PQIh25lEL2GGWSslgzEK710opNDoQUVHA95ArOv9FQN95HxZuj7ywio=, 
  4. timestamp=1687264102}

传入之前的密码,和python复现的MD5结果相同,传入getRSAParams后成了后面的三项,data   sign   和   timestamp,然后这些数据和charles抓包得到的login数据相同。

继续追踪关键代码

先解决data,进行追踪得到下图代码。Base64加密与解密,

 对其进行python复现得到以下代码,运行结果与frida打印信息相同,

import base64
import json
 
def encode(data, charset='UTF-8'):
    datas=json.dumps(data,separators=(',', ':'))
    try:
       return base64.b64encode(datas.encode(charset)).decode(charset)
    except Exception as e:
        print('Error', e)
        return None
 
data = {"password":"d8578edf8458ce06fbc5bb76a58c5ca4","os":"android","mobile":"15536263522","version":"2.2.3"}
result = encode(data)
print(result)
#结果:eyJwYXNzd29yZCI6ImQ4NTc4ZWRmODQ1OGNlMDZmYmM1YmI3NmE1OGM1Y2E0Iiwib3MiOiJhbmRyb2lkIiwibW9iaWxlIjoiMTU1MzYyNjM1MjIiLCJ2ZXJzaW9uIjoiMi4yLjMifQ==

接着追踪sign的相关代码,得到下图代码 

frida再次出刀

这里用frida进行hook,得到信息如下,可见这里是data与timestamp的拼接被传入了sign,被privateKey进行了加密,然后得到的sign

  1. sign is called, content: data=eyJwYXNzd29yZCI6ImQ4NTc4ZWRmODQ1OGNlMDZmYmM1YmI3NmE1OGM1Y2E0Iiwib3MiOiJhbmRyb2lkIiwibW9iaWxlIjoiMTU1MzYyNjM1MjIiLCJ2ZXJzaW9uIjoiMi4yLjMifQ==&timestamp=1687276955, 
  2. privateKey: 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
  3. sign ret value is Z5dDahgsBp06lh76v1fos8GSqX4HdcB+vJBJgw4qWN6wJ52T2LkX9e/WqtLrb+biSg10J23/f0KIQW57GFLIWEgLwQRWgKaacvJJVMtoeETAXhgMvYU9LWmjFzrtd1EuRLyHLVkWik7IbJM5mySllm+bG/nfcPvohXp6ATRqy7k=

sign的python还原,生成的结果与frida的hook结果相同:

from Crypto.Hash import SHA
from Crypto.Signature import pkcs1_15
from Crypto.PublicKey import RSA
import base64
 
def sign(content, private_key):
    private_key_value = base64.b64decode(private_key)
    key = RSA.import_key(private_key_value)
    # 计算 SHA-1 哈希值
    hash_value = SHA.new(content.encode('utf-8'))
    # RSA 的钥长度为 1024 位
    k = 1024
    # 计算最大签名长度,根据 Java 的实现方式计算
    em_len = k // 4
    h_len = 20
    t_len = 3
    s_len = em_len - h_len - t_len - 1
    # 进行签名
    signature_value = pkcs1_15.new(key).sign(hash_value)[:s_len]
    # 返回 Base64 编码的结果
    return base64.b64encode(signature_value).decode()
content = "data=eyJwYXNzd29yZCI6ImQ4NTc4ZWRmODQ1OGNlMDZmYmM1YmI3NmE1OGM1Y2E0Iiwib3MiOiJhbmRyb2lkIiwibW9iaWxlIjoiMTU1MzYyNjM1MjIiLCJ2ZXJzaW9uIjoiMi4yLjMifQ==&timestamp=1687276955"
private_key = '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'
signature = sign(content, private_key)
print(signature)
#Z5dDahgsBp06lh76v1fos8GSqX4HdcB+vJBJgw4qWN6wJ52T2LkX9e/WqtLrb+biSg10J23/f0KIQW57GFLIWEgLwQRWgKaacvJJVMtoeETAXhgMvYU9LWmjFzrtd1EuRLyHLVkWik7IbJM5mySllm+bG/nfcPvohXp6ATRqy7k=

sign完成,然后就是将已经实现的python代码进行拼接,并完成发包。

部分代码复现

首先实现手机号与密码的输入,传入parems,实现相同的login。

python实现代码如下 :

import hashlib
def login(mobile, word):
    params = {
        "password": get_md5(word),
        "os": "android",
        "mobile": mobile,
        "version": "2.2.3",
    }
    return params
 
def get_md5(val):
    m = hashlib.md5()
    m.update(val.encode('utf-8'))
    result = m.hexdigest()
    return result
 
mobile = input("请输入16手机号:")
parem = input("请输入密码:")
params = login(mobile,parem)
print(params)
#运行结果:{'password': 'a7026e07535acfd00f0a8a4a97992291', 'os': 'android', 'mobile': '13685446446', 'version': '2.2.3'}

接着实现下图代码: 

python实现代码如下: 

def jiaparams(params):
    # 将参数转换为 JSON 字符串,并进行 Base64 编码
    params_json = json.dumps(params,separators=(',', ':'))
    print("json转成功:",params_json)
    data = base64.b64encode(params_json.encode('utf-8')).decode('utf-8')
    print("data成功:",data)
 
    # 对加密后的参数进行签名
    signstr = f"data={data}&timestamp={times()}"
    print("时间戳:",times())
    print("拼接成功",signstr)
 
    signss = sign(signstr, pey)#sign加密的地方
    print("sign成功",signss)
 
    # 创建一个空字典用于存储加密后的参数
    result = {}
    result['data'] = data
    result['sign'] = signss
    result['timestamp'] = times()
    return result

最终实现发包代码如下图: 

最终登录算法发包代码的python实现: 



import requests

import json

import time

import hashlib

from Crypto.Hash import SHA

from Crypto.Signature import pkcs1_15

from Crypto.PublicKey import RSA

import base64



pey = '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'



url = 'https://api.langshiyu.com/user/v2/account/login'



def md5(pwd_str):

    md5_obj = hashlib.md5()

    md5_obj.update(pwd_str.encode('utf-8'))

    return md5_obj.hexdigest()



def times():

    return str(int(time.time()))



def sign(content, private_key):

    private_key_value = base64.b64decode(private_key)

    key = RSA.import_key(private_key_value)



    # 计算 SHA-1 哈希值

    hash_value = SHA.new(content.encode('utf-8'))



    # RSA 的密钥长度为 1024 位

    k = 1024



    # 计算最大签名长度,根据 Java 的实现方式计算

    em_len = k // 4

    h_len = 20

    t_len = 3

    s_len = em_len - h_len - t_len - 1



    # 进行签名

    signature_value = pkcs1_15.new(key).sign(hash_value)[:s_len]



    # 返回 Base64 编码的结果

    return base64.b64encode(signature_value).decode()



def login(mobile, param):

    params = {

        "password": md5(param),

        "os": "android",

        "mobile": mobile,

        "version": "2.2.3",

    }

    return params



def jiaparams(params):

    # 将参数转换为 JSON 字符串,并进行 Base64 编码

    params_json = json.dumps(params,separators=(',', ':'))

    print("json转成功:",params_json)

    data = base64.b64encode(params_json.encode('utf-8')).decode('utf-8')

    print("data成功:",data)



    # 对加密后的参数进行签名

    signstr = f"data={data}&timestamp={times()}"

    print("时间戳:",times())

    print("拼接成功",signstr)



    signss = sign(signstr, pey)#sign加密的地方

    print("sign成功",signss)



    # 创建一个空字典用于存储加密后的参数

    result = {}

    result['data'] = data

    result['sign'] = signss

    result['timestamp'] = times()

    return result



mobile = input("请输入16位手机号:")

parem = input("请输入密码:")

params = login(mobile,parem)

paramss = jiaparams(params)

print("发包内容:",paramss)

fb= requests.post(url, paramss)

print("结果:",fb.text)bjsdm



#结果:{"code":0,"message":"该账户不存在","reqdata":{"data":0},"reqtime":"0.015238"}

​

总结:

有部分简单的代码实现,以及开头通过objection的SSL屏蔽后charles进行抓包进行找的关键点,都没有在文章里面写,不过这些都是不必要的,所以文章是有一小部分省略。
整体对小白非常友好的软件,难度不算很高,只要花时间就可以掌握关键点,进行复现。

app放在有道云文章里面,想尝试一下的小白可以进去拿一下。
算法还原过程有道云文章链接:https://note.youdao.com/s/Yf9jGzqk

小阿伏
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
微服务入门|微服务架构怎么设计
chenxuyuana的博客
06-29 1107
将一个单体应用拆分成一组微小的服务组件,每个微小的服务组件运行在自己的进程上,组件之间通过如RESTful API这样的轻量级机制进行交互,这些服务以业务能力为核心,用自动化部署机制独立部署,另外,这些服务可以用不同的语言进行研发,用不同技术来存储数据。通过以上的定义描述,我们可以基本确定给出微服务的节特征:用微服务来进行实践到生产项目中,首先要考虑一些问题。比如下图的微服务业务架构:在上图图表展示的架构图中,我们假设将业务商户服务A、订单服务B和产品服务C分别拆分为一个微服务应用,单独进行部署。此时,我们
Python安全攻防-从入门到入狱
热门推荐
Yasso的博客
01-31 1万+
Python安全攻防-从入门到入狱
某音乐App 抓包和signature签名分析
fenfei331的博客
09-24 487
一、目标 李老板:奋飞呀,最近我想下个歌,现在听歌软件都这么顽固了,包都抓不到? 奋飞:抓不到包的原因太多了,咱们得用排除法分析下。 某音乐App 10.8.4 二、步骤 排查协议 李老板也跟我们混了这么多期,所以基本排除抓包环境的问题。 那么另一个可能就是像某手使用的 quic协议 或者某鱼使用的 spdy协议 了。 上jadx搜一下 “quic”,如果搜不到还可以直接试试 quic 有6个结果,看来我们的猜测是对的,一个一个结果看过来,第三个结果应该有点猫腻。 看上去像是传个协议名称进来。 上O
数据结构与算法之美总结(数组、链表、栈、队列、递归、排序及二分)
凡的博客
07-17 1万+
数据结构与算法之美总结(数组、链表、栈、队列、递归、排序及二分)
Android组件化入门,先收藏了
m0_56252652的博客
05-10 144
前言 2020年过去了,很久之前就希望自己可以潜心研究源码,研究技术,但是空闲时间不是看电影,就是玩游戏都没有认真看技术方面的东西感觉很内疚,今年一定要好好的研究端正态度,认真学习技术。 1、Java 相关 容器(HashMap、HashSet、LinkedList、ArrayList、数组等) 需要了解其实现原理,还要灵活运用,如:自己实现 LinkedList、两个栈实现一个队列,数组实现栈,队列实现栈等。 HashMap、HashTable 和 CurrentHashMap 的核心区别(并发.
网络安全web方向入门题合集
dra_p0p3n's blogs
08-15 3899
这是我大三在实习的时候做的一些题目,以后准备搞人工智能方向,应该也不会再接触网安了,就在这里汇总一下之前做的简单题吧,虽然简单但是也用了很多功夫去写这些,提高也很大,以此留作纪念吧。
网易严选App感受Weex开发
大灰狼的小绵羊哥哥的博客
11-16 839
自打出生的那一天起,WEEX就免不了被拿来同React Native“一决高下”的命运。React Native宣称「Learn Once, Write Anywhere」,而WEEX宣称「Write Once, Run Everywhere」。在我看来,并没有谁更好,只有谁更合适。下面我将围绕WEEX入门进行讲解。 (如果你尚不了解React Native,并想简单入门,可以阅读【整理】Rea...
[ctfshow web入门]常用姿势801-806
weixin_45751765的博客
04-14 4296
php单引号和双引号包裹的区别
ACMer 入门级算法模板
02-19
**ACMer 入门级算法模板** ACMer(也称为AC自动机)是对参与国际大学生程序设计竞赛(ICPC)的选手的一种昵称。这些竞赛通常涉及到一系列算法问题,要求参赛者快速、准确地编写代码来解决问题。入门级算法模板是...
SLAM 14讲,slam入门级算法,很好的入门资源。
11-29
另一份"slam入门级算法.pdf"可能会涵盖上述部分或全部内容,但可能会以不同的角度或者更具体的算法实现进行讲解。总的来说,这两份资源将帮助初学者建立起对SLAM的全面理解,为进一步深入学习和实践SLAM算法奠定坚实...
粒子群算法(PSO)的python的入门级实现
08-25
本代码实现了粒子群算法(PSO)的python 实现入门级),可以实现简单的优化功能, 需根据实际问题改变优化目标,以及部分代码
一份通俗易懂的遗传算法入门级介绍(包含实例和程序说明).docx
08-10
遗传算法入门级介绍 遗传算法是基于自然选择和遗传学的生物学原理的一种智能优化算法。它通过模拟生物进化的过程来搜索最优解。该算法的核心是种群的进化,种群由多个个体组成,每个个体代表一个可能的解。通过自然...
AdaBoost算法Java实现:机器学习入门指南.zip
04-30
AdaBoost算法Java实现提供了高效的分类解决方案。该资源包含完整的Java源代码、教程文档、示例数据和测试脚本,旨在帮助用户快速理解和应用AdaBoost算法。适用于对机器学习感兴趣的开发者、数据科学家以及需要提升...
JAVA入门到放弃
herojeo的博客
01-29 2831
JAVA入门知识梳理 学习了有一段时间的java了,那么今天来梳理下java的相关知识吧。 主要是自己用来复习,有需要的可以收藏。 文章目录JAVA入门知识梳理前言一、框架简述二、JAVASE环境的搭建三、java基础知识1.java概述总结 前言   JAVA的应用前景十分可观,java可以做网站,可以做游戏,可以做android应用,也能做电脑软件。   网站:Java可以用来编写网站,现在很多大型网站都用Jsp写的,JSP全名Java Server
高通平台 android7.1 蓝牙的可见性设置
韩家老大的博客
07-10 317
Android7.1 高通 蓝牙 可见性
展开说说:Android之View基础知识解析
最新发布
Hidanchaofan的博客
07-13 498
View虽不属于Android四代组件,但应用程度却非常非常广泛。在Android客户端,君所见之处皆是View。我们看到的Button、ImageView、TextView等等可视化的控件都是View,ViewGroup是View的子类因此它也是View。但是现在我们把View和ViewGroup当成两个类来看待,ViewGroup可以容纳View和ViewGroup,但View不可以再容纳其他View或ViewGroup,这种容纳的关系可以一直延伸仿佛一棵大树,从内而外有了父子关系,因此有个概念叫做Vi
Android高级——Logger日志系统
松仔Log的博客
07-11 1074
1是因为标签和内容后面跟着’\0’,用来区分和解析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值