现在售价依旧是99¥,计划更新100案例,平均一个案例1块钱,要什么自行车!
还原一下我逆向此app的方法
1.抓包分析:
我这边用socksDroid抓不到数据包,但是小黄鸟可以,那就用Reqable结合电脑端进行抓包,不纠结。
我们可以看到请求头中有个authentication这个经过测试多次携带同一个值不影响,所以我们把重点放在响应体的解密中。
这里给大家先给出一个细节,响应体的解密中有个"."这个重点圈起来后面要考:
2.使用blutter工具
这个不多说了写了好几期了,这次我就省略了。忘记的翻前几期笔记
最后导出ida的符号
3.分析ida中so文件
首先因为我们的目标是将密文进行解密,所以我们先去尝试搜索一下,decrypt:
出来这些 不算多,观察一下 我们发现了一个AES_decrypt和一个RSA_decrypt
我们先hook encrypt这个类下的函数,也就是先去尝试hook 这几个 因为他比较像flutter开发引入的类。
hook encrypt_encrypt_Encrypter::decrypt64_822d84 直接就hook到了明文了! 我们就不用向下hook了
hook代码:
// encrypt_encrypt_Encrypter::decrypt64_822d84
var addr = Module.findBaseAddress('libapp.so');
console.log(addr);
var funcAddr = addr.add(0x822d84);
console.log(funcAddr);
Interceptor.attach(funcAddr, {
onEnter: function (args) {
console.log("hook 11 到了------------------")
console.log('arg0,',hexdump(args[0],{length:2000}))
},
onLeave: function (retval) {
console.log("-------hook 11 到了结束-------------")
console.log('返回值:', hexdump(retval))
}
})仔细观察一下hook的入参 是 . 后面的密文
在仔细观察一下hook日志 :
还输出了一串 16位的字符,入参是 "."前面的数据。那么我们现在就该思考到底是如何变成 这个16字符的,这个16位字符又有什么用。
我们多测试几次会发现hook到的 16位字符 是随机的,不确定的。
这里提示一下AES key 是 16位的,所以我们猜测是解密的key是由 "."前面的数据 一系列处理变成的,结合前面看到的RSA字眼,我们是不是可以大胆的猜测 是由rsa解密成aes的key 和 iv呢。
好到此为止都是我们的猜测,我们去用ida的X交叉编译 查看谁调用了他--此函数 encrypt_encrypt_Encrypter::decrypt64_822d84
我们 追一下:
发现上一层函数是:guoguo_api_utils_g_api_::apiDecrypt_8ab12c(__int64 a1)
仔细观察 里面确实有rsa的东西,而且还有AES_KEY 和 AES_IV的字眼,所以我们猜测是一个AES CBC模式
其实hook AES的函数能 hook到:这里我就不对赘述了
7601e635a9 45 53 2f 43 42 43 2f 50 4b 43 53 37 00 00 00 04 AES/CBC/PKCS7
看到这个reverse 反转 这个注意一下重点!!!
然后我们去先hook一下 AES的 IV 和 KEY 一般案例有的是定值,这里我们再确认一下是否是动态的,因为上面说的都是我们的猜测,只有去用frida hook 到才能证明自己的推论。
至此我们验证了key和Iv 都是动态的哦!
并且hook到的key和iv都是可以解出明文的:
KEY: QJHG7NWAQ6J7NZKV
IV : VKZN7J6QAWN7GHJQ
结合上面提到了 reverse
GET到了吗????老铁们!
接着我们去分析 aes的key是如何来的 , 上面我们看到了rsa的字眼结合密文 “.”前面的字符我们可以猜测是 经过RSA解密然后得到的动态key 然后key反转就是动态的iv
现在去hook RSA KEY: 得到rsa 私钥 私钥用来解密
用这个去解密 返回值的 ". "前面字符:成功可以的!
交流群与联系方式:
扫一扫
4051
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
