某车联网App 通讯协议加密分析

一、目标

李老板：最近刚买了辆新车，他带的App挺有意思，要不要盘一盘？

奋飞: 我去，加壳了，还挺有意思，搞一搞。

v6.1.0

二、步骤

抓包

我的抓包环境是 Mac 10.14.6 + httpToolKit, 这一步很顺利的抓到包了。

1:main

可以看到，http请求和返回值都是加密的，我们的目标就是这个 request 和 _response_的来历的。

脱壳

脱壳我们首选的就是 BlackDex ，使用方便，效果好。不过针对这个样本却不好使，只脱出来一个dex，大概率是失败了。

然后就上葫芦娃大佬的 FRIDA-DEXDump, 这个样本很狡猾，frida Spawn模式一跑就崩，看来壳比较硬。

这下棘手了，回想起之前我们曾经用 Xcube 91fans.com.cn/post/antifr… 来对付加壳应用， 这次继续试试。

Xcube没有让我们失望，注入成功。 但是在Xcube模式下如何跑 FRIDA-DEXDump 呢？

本来想改改代码合并进去。无意中发现yang神也写了个DumpDex github.com/lasting-yan…

轻松合并到js里面，这下成功的Dump出来了。

字符串搜索

直接搜索 “request” 结果不多。

1:find

很明显，这个 jsonObject.addProperty 嫌疑最大。

点进去看看，顺利的找到了这个 CheckCodeUtil 类。 他的checkcode和decheckcode大概率就是我们这次的目标。

1:utilcls

hook 之

var CheckCodeUtilCls = Java.use("com.bangcle.comapiprotect.CheckCodeUtil");
CheckCodeUtilCls.checkcode.implementation = function(a,b,c){
    var rc = this.checkcode(a,b,c);
    console.log(TAG + "checkcode >>> a = " + a);
    console.log(TAG + "checkcode >>> b = " + b);
    console.log(TAG + "checkcode >>> c = " + c);
    console.log(TAG + "checkcode >>> rc = " + rc);
    return rc;
}

CheckCodeUtilCls.decheckcode.implementation = function(a){
    var rc = this.decheckcode(a);
    console.log(TAG + "decheckcode >>> a = " + a);
    console.log(TAG + "decheckcode >>> rc = " + rc);
    return rc;

} 

跑一下，奇怪，一点输出都没有，这个没有道理呀?

仔细看看，犯傻了，这类里面有两个checkcode函数，所以我们需要指定hook哪一个。 由于我们打印输出的时候忽略了错误输出，导致没有看到报错。

注意： Xcube环境下如果没有任何输出，大概率是脚本报错了，这时候就不要过滤，直接查看全部输出日志，就可以看到报错了。

改改代码

CheckCodeUtilCls.checkcode.overload('java.lang.String','int','java.lang.String').implementation = function(a,b,c){ 

这次果然很顺利的打印出来了结果。但是奇怪的事情又发生了，App崩了。

挽救崩溃的App

为什么会崩，难道是我们打印数据有bug？

先把打印入参和结果的代码注释掉。 还是崩。

把所有hook代码注释掉，不崩了，但是我不hook没法玩呀？

使出终极大法，换手机。 很多时候换个手机 就好了，也许这个手机水土不服吧。

结果打脸了，换了手机依然崩溃。

木有任何侥幸心理了，说明App或者壳，对关键函数的Hook做了检测，发觉被hook就摆烂。

App或者壳肯定是在Native层做的检测，我们要对付它，就得和它站在同一高度。

不去hook Jave层的函数了，直接取hook Native层的 checkcode 和 decheckcode。

Hook Native

从CheckCodeUtil的java代码中找到了 System.loadLibrary(“encrypt”);， 说明我们要对付的目标是 libencrypt.so。

IDA打开它，导出表，暴露了两个信息。

1、checkcode函数的地址在 0x24424 ， decheckcode函数的地址在 0x2B1BC 。

2、这两个函数大概率使用了AES算法。

继续Hook吧

var targetSo = Module.findBaseAddress('libencrypt.so');
console.log(TAG +" ############# libencrypt.so: " +targetSo);
// 24424    2B1BC

Interceptor.attach(targetSo.add(0x24424 ),{
    onEnter: function(args){
        var strCls = Java.use('java.lang.String');

        this.rBuf = ptr(this.context.x0);
        console.log(TAG + " ======================================== ");
        // console.log(TAG + "-------- checkcode x0 = " + ptr(this.context.x0) ) ;

        var strA = Java.cast(this.context.x2, strCls);
        console.log(TAG + "-------- checkcode a = " + strA);

        console.log(TAG + "-------- checkcode b = " + ptr(this.context.x3));

        var strC = Java.cast(this.context.x4, strCls);
        console.log(TAG + "-------- checkcode b = " + strC);


    },
    onLeave: function(retval){
        var strCls = Java.use('java.lang.String');
        var strRc = Java.cast(retval, strCls);
        console.log(TAG + "-------- checkcode rc = " + strRc);

    }
});

Interceptor.attach(targetSo.add(0x2B1BC ),{
    onEnter: function(args){
        var strCls = Java.use('java.lang.String');

        this.rBuf = ptr(this.context.x0);
        console.log(TAG + " ======================================== ");
        // console.log(TAG + "-------- checkcode x0 = " + ptr(this.context.x0) ) ;

        var strA = Java.cast(this.context.x2, strCls);
        console.log(TAG + "-------- decheckcode a = " + strA);


    },
    onLeave: function(retval){
        var strCls = Java.use('java.lang.String');
        var strRc = Java.cast(retval, strCls);
        console.log(TAG + "-------- decheckcode rc = " + strRc);

    }
}); 

李老板： 奋飞呀，函数的第一个参数不是 X0吗？ 你为什么打印第一个参数是 X2 ?

奋飞： 老板，早就让你多批点经费买书，你不同意，这下露怯了吧。去翻翻 jni编程就知道了，java调用C/C++ 函数的前两个参数是固定的。真实传递进来的参数是从第三个开始。

这次再跑一下。

1:rc

真相大白了。

帝都已经有秋意了，不好上鲜啤了，差不多可以上二锅头了。

三、总结

脱壳方法千千万，重点还是Dump Dex。

加壳应用不要怕，大概率脱完壳之后就都是线索了。不加壳的App才是真的可怕。

脚本没有任何输出，不一定是位置找错了，还有可能是脚本的报错你没有看到。

App崩了，换手机是有效的，虽然这次打脸了。

针对这个样本，IDA还告诉我们，so里面的函数入口的代码也被抽取了，要分析这个so，估计还得Dump so。

1:ffshow

只有去穿越和反思痛苦，才能得到更高的思想深度，没有捷径

Tip:

: 本文的目的只有一个就是学习更多的逆向技巧和思路，如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担，和本文以及作者没关系，本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取，欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。