安卓逆向百例十-币coin

已于 2024-08-23 11:43:12 修改
阅读量535 收藏 15
点赞数 7
分类专栏: 安卓逆向百例售价仅需99¥(包含视频) 文章标签: android python 开发语言
于 2024-08-23 11:37:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_fanyifan/article/details/141461468
版权 
typora-root-url: ./pic

安卓逆向百例十-币coin

现在售价依旧是99¥,计划更新100案例,平均一个案例1块钱,要什么自行车!

案例起源:

有位老哥 经过炒币失败后想做一个这种查询接口的app,但是苦于他的资金比较紧缺,就给我几百块,但是架不住苦苦哀求,我就做了,顺便当个案例。

版本: 币coin 4.0.3

包名: com.temperaturecoin

1.抓包分析

url是https://i.bicoin.com.cn/firmOffer/getUserAccountInfoBySecretNew?salt=8&sign=CDGCCEJCPCIGGGLICMVVBQOIEJTNNUQQN&time=1724126970032&userId=894919

位置在:


其中我们今天要去逆向的是 sign的生成,以及data的解密。

2.关键词定位

搜索

查找用例:

进入方法内 我们可以看的 sign是 经过了AESUtil.s

其中我们可以可以得到 :

time 就是时间戳 ,salt是一个 随机的值 sign 是 time + salt + "getUserAccountInfoBySecretNew"

接下来跳转到AESUtil.s 方法里面 跳转到这个位置:

hook验证一下入参:

查看一下加载的so文件是 ns:

打开ida 反编译 libns.so 搜索java我们发现是静态注册的 并且发现了 Java_com_bcoin_ns_S_s这个字眼:

进去看看喽!顺便把fastcall Java_com_bcoin_ns_S_s(int64 a1 的a1改成 JNIEnv *

jstring __fastcall Java_com_bcoin_ns_S_s(JNIEnv *a1, __int64 a2, __int64 a3)
{
  const char *v5; // x20
  const char *v6; // x21
  jstring result; // x0
  int v8; // w10
  __int64 (__fastcall *v9)(); // x10
  char v10; // w24
  int v11; // w9
  char *v12; // x20
  size_t v13; // w0
  char *v14; // x21
  unsigned __int64 v15; // x10
  char *v16; // x11
  unsigned __int64 v17; // x9
  char *v18; // x10
  char v19; // t1
  _OWORD *v20; // x12
  __int128 *v21; // x13
  unsigned __int64 v22; // x14
  __int128 v23; // q0
  __int128 v24; // q1
  _QWORD v25[2]; // [xsp+0h] [xbp-40h] BYREF
​
  v25[1] = *(_ReadStatusReg(ARM64_SYSREG(3, 3, 13, 0, 2)) + 40);
  v5 = (*a1)->GetStringUTFChars(a1, a3, 0LL);
  v6 = (*a1)->GetStringUTFChars(a1, token, 0LL);
  (*a1)->ReleaseStringUTFChars(a1, a3, v5);
  (*a1)->ReleaseStringUTFChars(a1, token, v6);
  result = 0LL;
  if ( v5 && v6 )
  {
    v8 = idxMethod % 3;
    if ( idxMethod % 3 )
    {
      if ( v8 == 2 )
      {
        v9 = jointMd5;
        v10 = 100;
      }
      else if ( v8 == 1 )
      {
        v9 = axor;
        v10 = 67;
      }
      else
      {
        v9 = chainXor;
        v10 = 97;
      }
    }
    else
    {
      v9 = cxor;
      v10 = 98;
    }
    if ( idxMethod == 2147483646 )
      v11 = 0;
    else
      v11 = idxMethod + 1;
    idxMethod = v11;
    v12 = (v9)(v5, v6);
    __android_log_print(3, "bc", "pre payload: %s", v12);
    if ( v12 )
    {
      v13 = strlen(v12);
      v14 = v25 - ((v13 + 1 + 15LL) & 0x1FFFFFFF0LL);
      *v14 = v10;
      if ( v13 >= 1 )
      {
        if ( v13 > 0x1FuLL && (v14 + 1 >= &v12[v13] || v12 >= &v14[v13 + 1]) )
        {
          v15 = v13 - (v13 & 0x1F);
          v20 = v14 + 17;
          v21 = (v12 + 16);
          v22 = v15;
          do
          {
            v23 = *(v21 - 1);
            v24 = *v21;
            v22 -= 32LL;
            v21 += 2;
            *(v20 - 1) = v23;
            *v20 = v24;
            v20 += 2;
          }
          while ( v22 );
          if ( (v13 & 0x1F) == 0 )
            goto LABEL_21;
        }
        else
        {
          v15 = 0LL;
        }
        v16 = &v12[v15];
        v17 = v13 - v15;
        v18 = &v14[v15 + 1];
        do
        {
          v19 = *v16++;
          --v17;
          *v18++ = v19;
        }
        while ( v17 );
      }
LABEL_21:
      v14[v13 + 1] = 0;
      free(v12);
      return (*a1)->NewStringUTF(a1, v14);
    }
    return (*a1)->NewStringUTF(a1, "");
  }
  return result;
}

眼尖的朋友已经看见了 这里有个 __android_log_print 我们可以使用adb 来监控他的输出

在设备上运行日志记录工具 logcat,这是 Android 提供的一个工具,用于实时查看系统和应用程序的日志。

在终端中执行以下命令启动 logcat

adb logcat

这会显示设备上的所有日志信息。如果你想要过滤特定标签(例如 "bc"),可以使用:

adb logcat -s bc:D

这里的 -s 选项指定了过滤的标签,D 表示只显示 DEBUG 级别及以上的日志。

logcat:524b5a6860bad1a0bbe0712e48a5debb

抓包:d524b5a6860bad1a0bbe0712e48a5debb

我们从中可以发现 其实就是 结果 加了一个d 对吧,但是我们通过观察 logcat 和 抓包会发现有的时候是大写 有的时候是小写而且规律也不一样。他其实和这个有关系

这段代码根据 idxMethod 的值选择一个函数指针,并根据不同的条件设置函数的参数和值。接着调用这个函数,并将结果保存到 v12 中。代码的目的是根据不同的条件选择合适的处理函数,并在每次调用后更新 idxMethod 的值。

代码解释:

result = 0LL; // 初始化一个 long long 类型的变量 result 为 0
​
if (v5 && v6) // 如果 v5 和 v6 都不为 0(即它们都有效)
{
    v8 = idxMethod % 3; // 计算 idxMethod 除以 3 的余数,并将结果赋值给 v8
​
    if (idxMethod % 3) // 如果 idxMethod 除以 3 的余数不为 0
    {
        if (v8 == 2) // 如果余数是 2
        {
            v9 = jointMd5; // 将 v9 设置为 jointMd5(假设 jointMd5 是一个函数指针)
            v10 = 100; // 将 v10 设置为 100
        }
        else if (v8 == 1) // 如果余数是 1
        {
            v9 = axor; // 将 v9 设置为 axor(假设 axor 是一个函数指针)
            v10 = 67; // 将 v10 设置为 67
        }
        else // 如果余数是 0
        {
            v9 = chainXor; // 将 v9 设置为 chainXor(假设 chainXor 是一个函数指针)
            v10 = 97; // 将 v10 设置为 97
        }
    }
    else // 如果 idxMethod 除以 3 的余数为 0
    {
        v9 = cxor; // 将 v9 设置为 cxor(假设 cxor 是一个函数指针)
        v10 = 98; // 将 v10 设置为 98
    }
​
    if (idxMethod == 2147483646) // 如果 idxMethod 的值为 2147483646
        v11 = 0; // 将 v11 设置为 0
    else
        v11 = idxMethod + 1; // 否则,将 v11 设置为 idxMethod + 1
​
    idxMethod = v11; // 更新 idxMethod 的值为 v11
​
    v12 = (v9)(v5, v6); // 调用 v9 指向的函数,传入 v5 和 v6 作为参数,并将结果赋值给 v12
}
​

我们这里可以直接看他走 jointMd5 的位置 然后 直接查看入参不就行了 ,然后固定参数去请求。这样就不用还原 chainXor 和 cxor 函数了。

我们查看joinmd5这个函数 映入眼帘的是 这两个

v8 = strcpy(v6, s); 
​
strcat(v8, a1);

所以我直接去hook joinMd5 这个函数:

args1来源token:

抓包和adb 记录的:

所以就是 MD5(token + times + salt + 'getUserAccountInfoBySecretNew') 这个已经验证过了是标准的md5

str = '2c06cef65865431546fdb751f255508b'+str(times)+"6"+'getUserAccountInfoBySecretNew'
# print(str)
sign = 'd'+calculate_md5(str)

所以我们请求的时候 固定salt 就行了

具体代码放在文章最后...

3.返回值解密

一般来说 同一个数据包的加密的位置在都在一块,所以我们就顺藤摸瓜,就找到

hook验证:

去so层看看 :

一进去我们就看到 AES 128 pkcs5 的字眼:

进来后发现:

好家伙 Key = getKey(); IV = getIV(); 这么明显吗?那就不怪我了

上frida hook: hook到key 和 iv了

hook代码如下:

​
// key
var addr = Module.findBaseAddress('libns.so');
var KEY = addr.add(0x10144);
console.log(KEY);
Interceptor.attach(KEY,{
    onEnter:function (args){
        console.log("---------key 进入了-----------")
​
    },
    onLeave:function(retval) {
        console.log("--------------------")
        console.log('KEY 返回值:',hexdump(retval,{length:16}))
    }
})
// IV
var addr = Module.findBaseAddress('libns.so');
var IV = addr.add(0x10144);
console.log(IV);
Interceptor.attach(IV,{
    onEnter:function (args){
        console.log("---------IV 进入了-----------")
​
    },
    onLeave:function(retval) {
        console.log("--------------------")
        console.log('IV 返回值:',hexdump(retval,{length:16}))
    }
})

至此我们整个流程就已经完成了。

4.python代码还原

import time
from loguru import logger
import requests
​
import hashlib
from Crypto.Cipher import AES
import base64
import requests
​
def unpad(data):
    """去除填充"""
    pad_length = data[-1]
    return data[:-pad_length]
def decrypt_aes_cbc(ciphertext_base64, key, iv):
    # key = bytes(key_text, 'utf-8')
    # iv = bytes(iv_text, 'utf-8')
    ciphertext = base64.b64decode(ciphertext_base64)
​
    cipher = AES.new(key, AES.MODE_CBC, iv)
    plaintext = cipher.decrypt(ciphertext)
    plaintext = unpad(plaintext).decode('utf-8')
    return plaintext
def calculate_md5(data):
    # 创建一个MD5哈希对象
    md5_hash = hashlib.md5()
    # 更新哈希对象
    md5_hash.update(data.encode('utf-8'))
    # 返回MD5哈希的十六进制表示
    return md5_hash.hexdigest()
​
headers = {
 xxx
}
times = int(time.time() * 1000)
# 17236209670982
# 1723621530537
# 1723621708604
# print(times)
str = 'token'+str(times)+"6"+'getUserAccountInfoBySecretNew'
# print(str)
sign = 'd'+calculate_md5(str)
logger.info("sign签名{}".format(sign))
# print(sign)
headers['Sign'] = sign
headers['Time'] = f'{times}'
url = "https://i.bicoin.com.cn/firmOffer/getUserAccountInfoBySecretNew"
params = {
    "salt": "6",
    "sign": f"{sign}",
    "time": f"{times}",
    "userId": "894919"
}
response = requests.get(url, headers=headers, params=params).json()
print(response)
data = response['data']
key_hex = '8971483f9910300bdffee864cb135f34'
iv_hex = '8971483f9910300bdffee864cb135f34'
data = decrypt_aes_cbc(data, bytes.fromhex(key_hex), bytes.fromhex(iv_hex))
print(data)
#2c06cef65865431546fdb751f255508b17236221106396getUserAccountInfoBySecretNew
#2c06cef65865431546fdb751f255508b17236215305376getUserAccountInfoBySecretNew
交流群:

带带弟弟学爬虫__
关注
  • 7
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Android中怎么破解游戏之修改金
hgfujffg的博客
01-25 4695
Android中怎么破解游戏之修改金
linux反编译unity手游,Unity3D安卓手游逆向
weixin_39785669的博客
05-01 1931
本文就是记录自己的一次瞎胡闹!!随便在网上找了一款使用Unity3D 开发Android 手游,其运行效果是这样的Unity3D逆向工具使用ApkDb 反编译apk 文件(在apk 上右键–>使用APKDB编译),得到以下文件夹使用Unity3D 开发Android 游戏的资源、C# 代码都在assets 文件夹中!Unity3D 所有资源、代码都在/assets/bin/data 里面...
Android逆向之CrakeMe系列------02
李孝贤
12-28 375
APK概述: * CrakeMe02是一个放置类型的单机手机游戏。 特此声明 : * 本文只是用来学习使用,禁止用于商业或其他用途,违者后果自负! * 游戏主界面: 商店: 分析工具 Apktool 2.4.1 Android Killer V1.3.1.0 dnSpy v6.1.2 目的: 让金变成最大值,可以随意买买买~~~ 分析过程: 1.首先还是老套路,将apk拖入Andro...
安卓逆向笔记(课外资料)
qq_43593334的博客
04-06 1494
安卓逆向笔记(二) 只有知识点 分析apk主要组成 1、AndroidMainfest.xml-----配置清单       该文件是每个应用都必须定义和包含的,它描述了用的名字、版本、权限、引用的库文件等等信息,如果要把apk上传到Google Market上,也要对这个xml做一些配置。在apk中的AndroidMainfest.xm...
Android逆向-Android逆向基础11(so demo分析)
王嘟嘟的博客
02-17 1948
0x00 前言 导航 博客导航戳这里 这里有所有博客的集合,以及每一个博客的内容。 练习资源戳这里 这里有很多可以练习的资源,一起其他网上找不到的资源。 说明 感谢鬼哥的,跟着鬼哥学so分析系列。也感谢鬼哥提供的练习apk。 别人走的路,你总得走一下,才知道是什么感觉。看着别人走,得到的总没有自己走一走 内容 1.金修改demo 2.用户等级更改demo ...
Android逆向Unity3D——XXX快跑破解
王嘟嘟的博客
04-07 7754
本文首发于I春秋,未经允许,禁止转载。 感谢蛋总~ 0x00 前言 说明 Unity3D是一款3D引擎,用来开发3D游戏,同样的还有Unity2D用来开发2D游戏的。咳咳,我又来啰嗦了。说白了就是说你玩的有模型的Android手游基本都是Unity3D开发的。 有开发就有破解。 所以我们走着先。 内容 1.环境介绍(无聊选择跳过) 2.贝瑞快跑——金初始...
逆向教程->软件积分逆向分析
Sarkozy Blog
09-28 2370
今天遇到一个游戏居然没办法回
IL2CPP框架某手游逆向分析
热门推荐
q759451733的博客
04-09 1万+
很久没发文章了,这段时间学习了不少Android新知识,发出来学习学习,顺便总结一下。 以下内容仅供学习。 可以看出该手游是IL2CPP框架的游戏,那么在apk中肯定还有一个global-metadata.dat文件(除非加密)。 将global-metadata.dat和libil2cpp.so文件拷贝到同一个文件夹下。 使用Il2CppDumper将global-metadata.dat和libil2cpp.so进行解析,下载网站:https://github.com/Perfare/Il2CppD
吾爱破解安卓逆向入门教程学习心得(1-4)
m0_51295934的博客
04-10 4082
其实用activity记录看一下,这里adactivity还是有的,只不过改成0显示时间短了。点进loadAd,可以看到这里有个0xbb8转进制就是3000,把这个改成0x0就可以了。修改if-ge为if-le,if-le就是p0<=v0发生跳转,硬这里通过后。这里的堆栈可以理解为逻辑执行的顺序,我们复制这个,到dex里面查找。第四关是三秒广告,一个更新弹窗,两个广告弹窗,还有一条横幅弹窗。可以看到版本号是1,需要改成更高版本的,这里就假设改成2。就看loadAd(),这里设置的3000ms就是3秒,
coin数据加密接口分析
leaon的博客
07-31 375
MRS X8, #3, c13, c0, #2"表示将协处理器13(c13)的寄存器0(c0)的第2个字段(#2)的值读取到X8寄存器中。静态分析过,X0是传进来的参数,然后动态单步到 STUR X0, [X29,#var_30] 这里,才开始获取到传入的变量。对比在java 层的传入参数,token 和 时间戳字符串,确认这是核心加密函数 cxor。这个报错是因为我的机子是armx64,而我用的是32位的ida。下面是java 层的data 参数,比较简单,简单说一下。
duino-coin-aur:Duino-auin硬
04-19
杜伊诺箱Duino硬的AUR! 您现在可以在AUR上获得整个duino-coin捆绑包。 只需使用您最喜欢的AUR Helper进行安装(例如:yay)。 为了更快地获取它,我将在这里为您提供帮助: 安装git sudo pacman -S git 您必须...
Coin3D-Qt.zip_Coin3D_Molongcoin-qt代理_qt-coin3d
09-19
Coin3D与Qt结合开发详解》 在IT行业中,跨平台的图形用户界面(GUI)开发是一项重要的任务,而Coin3D与Qt的结合应用则为此提供了强大的解决方案。本资料主要围绕“Coin3D-Qt.zip_Coin3D_Molongcoin-qt代理_qt-...
NoMiner - Block Coin Miners-crx插件
04-02
当您浏览互联网时,addon不断监视包含Crypto-Coin Miming第三方域的网站。 检测到URL后,它会立即阻止它在浏览器中加载。 这样,没有网站可以使用您的计算机资源来挖掘数码货。 注意:要报告错误,请填写addon...
Random-simulation-topic-toss-a-coin.rar_coin matlab_coin matla
09-20
coin_tosses = randi([0 1], 1, 10); ``` 这段代码将生成一个10维向量,每个元素为0或1,表示10次投掷的结果。 进一步地,我们可以统计正面出现的次数,计算二项分布的期望和方差。期望E(n)等于投掷次数n乘以成功...
vue-coin-hive:1秒内开始在Vue项目中挖掘硬
02-04
yarn add vue-coin-hive 使用npm npm i --save vue-coin-hive 用法 < vue siteKey = ' SF4YQtgkNYmwR21W8NzKwixVdHB8wlDf ' found = ' this . found '></ vue> API 名称 类型 默认 描述 开始 布尔型 真正 启动...
dynamic-datasource-spring-boot-starter多数据源配置
最新发布
wyazyf
08-22 80
这种多数据源的配置方式可以不用区分包和扫描路径。放在同一路径下即可。默认在主数据库中加载。调用其他数据源的时候,只需要在mapper.java文件上配置@DS(“mainData”)即可。
[第五空间 2021]EasyCleanup
liaochonxiang的博客
08-18 252
注意的是,如果我们只上传一个文件,这里也是不会遗留下Session文件的,所以表单里必须有两个以上的文件上传。【文件包含&条件竞争】利用session.upload_progress文件包含进行RCE。
MySQL数据库——表的CURD(Delete)
m0_63596031的博客
08-19 217
truncate [table] table_name 注意:这个操作慎用 1.只能对整表操作,不能像DELETE一样针对部分数据操作; 2.实际上MySQL不对数据操作,所以比DELETE更快,但是TRUNCATE在删除数据的时候,并不经过真正的事务,所以无法回滚 3.会重置AUTO_INCREMENT项
Android笔试面试题AI答之Kotlin补充考点
学无止境,止于至善
08-22 396
博客中虽然包含了大量关于Kotlin的面试题,但并未涵盖Kotlin所有可能的面试考点。这些考点可能不会在每一次面试中都出现,但它们对于深入理解Kotlin语言和其在不同场景下的应用非常重要。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值