恋恋加密算法解析

最新推荐文章于 2024-05-24 15:20:30 发布
最新推荐文章于 2024-05-24 15:20:30 发布
阅读量2.4k 收藏
点赞数
分类专栏: 逆向工程 IDA Android逆向 文章标签: 算法 Android协议 加密 逆向分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/PandaOS/article/details/51263537
版权

作者:无名侠
声明:只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!

交流群:无名移动逆向小分队 471525564

恋恋登陆的数据包是被加密过,Fiddler抓包如下(篇幅有限,删去HTTP头的大部分数据):

POST http://mob.imlianai.com/call.do?cmd=mobileUser.login HTTP/1.1

WbbJnSJh63FYTNGmBk5J+lGOOQ1PzYWveRIJF8F//3Wo576FuH0Kyhb9VG/UpFHkICtAQcQAReUcUYLjsJ4sozorNeprDwcahSJs7D3f2YJFWWNtlwJlqXmwIPHUz0mHPZiJqJJNSYmGr2EsfPHz6FtnagDzHP4eXQlsZMyRKOOrRgyigyTRYQ==

把APP拖入到Ak,然后搜索mobileUser.login
搜索结果有两项,第一个里面有很多url,应该不是。
第二个的类名是com.a.a.a.b.t;
在这个类中找到如下代码:

JSONObject localJSONObject = new JSONObject();
      localJSONObject.put("uid", paramString1);
      localJSONObject.put("loginKey", paramString2);
      paramString1 = com.a.a.a.f.a.a(localJSONObject.toString()).getBytes();
      this.b.a(paramString1);
      this.b.c();
      return;

推测未加密的数据包应该采用的json格式。
com.a.a.a.f.a.a 应该是对数据的进一步处理,可能是加密部分,跟进去一看,八九不离十了。

package com.a.a.a.f;
import com.jni.Jni;
import java.security.Key;
import javax.crypto.spec.IvParameterSpec;
public class a
{
  private static final byte[] a = { 1, 2, 3, 4, 5, 6, 7, 8 };
  private static final IvParameterSpec b = new IvParameterSpec(a);
  private static String c = "hqi/FjjcBxA=";
  private static Key d = null;
  public static String a(String paramString)
  {
    return Jni.getInstance().encryptString(paramString);
  }
}

在这个类中调用了Jni的encryptString负责加密。继续反编译Jni类。
我已经给出大部分代码的注释。

package com.jni;
public class Jni
{
  private static final int blockLength = 500;
  private static String hexString = "0123456789ABCDEF";
  private static Jni myJni;

  static
  {
    System.loadLibrary("jni");// jni这个lib中导出getEncryptString函数
  }

  private native String getEncryptString(String paramString, boolean paramBoolean);

  public static Jni getInstance()
  {
    if (myJni == null) {
      myJni = new Jni();
    }
    return myJni;
  }

  public String encode(String paramString) // 这个函数的功能是把paramString转换成16进制的数据文本
  {
    paramString = paramString.getBytes();
    StringBuilder localStringBuilder = new StringBuilder(paramString.length * 2);
    int i = 0;
    for (;;)
    {
      if (i >= paramString.length) {
        return localStringBuilder.toString();
      }
      localStringBuilder.append(hexString.charAt((paramString & 0xF0) >> 4));
      localStringBuilder.append(hexString.charAt((paramString & 0xF) >> 0));
      i += 1;
    }
  }

public String encryptString(String arg9) {
        String v0_1;
        if(arg9 == null || arg9.length() == 0) {
            v0_1 = "";
        }
        else {
            String v2 = this.encode(arg9);//把arg9转换为16进制文本
            int v3 = v2.length();
            StringBuffer v4 = new StringBuffer();
            if(v3 < 500) {
                v4.append(this.getEncryptString(v2, true));//通过getEncryptString对字符串编码
            }
            else {
                int v0;
                for(v0 = 1; v0 < v3 / 500 + 1; ++v0) {
                    if(v3 % 500 == 0 && v0 == v3 / 500) {//通过getEncryptString对字符串编码
                        v4.append(this.getEncryptString(v2.substring((v0 - 1) * 500, v0 * 500), true));
                        break;
                    }
                                        //通过getEncryptString对字符串编码

                    v4.append(this.getEncryptString(v2.substring((v0 - 1) * 500, v0 * 500), false));
                }

                if(v3 % 500 == 0) {
                    goto label_14;
                }
                                //通过getEncryptString对字符串编码
                v4.append(this.getEncryptString(v2.substring((v0 - 1) * 500, v3), true));
            }

        label_14:
                        //getEncryptString("a", true).substring(0,8)做密匙
            v0_1 = DESencryption.getEncString(v4.toString(), this.getEncryptString("a", true).substring(
                    0, 8));
        }

        return v0_1;
    }

getEncryptString是SO库中的东西,就用IDA来分析。
库的文件名是libjni.so
主函数代码比较清晰,直接F5

int __fastcall Java_com_jni_Jni_getEncryptString(int a1, int a2, int a3, int a4)
{
  _JNIEnv *v4; // r5@1
  int v5; // r4@1
  int v6; // r2@1
  const char *input; // r7@1
  size_t sizeSInit; // r4@1
  _JNIEnv *v9; // r0@2
  char *v10; // r1@2
  jstring (__cdecl *v11)(JNIEnv *, const char *); // r3@2
  int result; // r0@6
  char *s; // [sp+0h] [bp-828h]@1
  int v14; // [sp+4h] [bp-824h]@1
  char dest; // [sp+Ch] [bp-81Ch]@3
  int v16; // [sp+80Ch] [bp-1Ch]@1

  v4 = a1;
  v5 = a3;
  v14 = a4;
  v16 = _stack_chk_guard;
  g_env = a1;
  s = initAddStr();                             // 获取一段内置的字符串,具体分析看后文
  input = jstringTostring(v4, v5, v6);          // 转换函数,把java字符串类转换为char *
  sizeSInit = strlen(s);
  if ( strlen(input) + sizeSInit <= 0x7FF )     // 分两种情况:
                                                // 1、输入字符串长度 + 内置字符串长度 小于等于0x7ff
  {
    memset(&dest, 0, 0x7FFu);
    strcat(&dest, input);
    if ( v14 )                                  // 根据Java传递过来的第二个参数(paramBoolean)选择处理方法
      strcat(&dest, s);                         // 如果第二个参数为true,则追加内置字符串
    v9 = v4;
    v10 = &dest;
    v11 = v4->functions->NewStringUTF;
  }
  else                                          // 如果第二个参数为false,输入什么就返回什么
  {
    v9 = v4;
    v10 = input;
    v11 = v4->functions->NewStringUTF;
  }
  result = (v11)(v9, v10);
  if ( v16 != _stack_chk_guard )
    _stack_chk_fail(result);
  return result;
}

再来说说initAddStr()函数。这个函数实际是一个固定的字符串,可以通过动态调试得出,但是还是分析一下它是如何获取的吧。因为它比较有意思,还返回到了Java来获取字符串。

int initAddStr()
{
  int v0; // r0@2
  int v1; // r2@2

  if ( !isInit )
  {
    v0 = initInflect(jniStr);
    key = jstringTostring(g_env, v0, v1);
    isInit = 1;
  }
  return key;
}[/mw_shl_code]
initInflect 函数回调到Java层的com.Reflect.func函数。
jniStr是一串字符串“/key=i im lianai”

[mw_shl_code=cpp,true]int __fastcall initInflect(int a1)
{
  _JNIEnv *v1; // r5@1
  int v2; // r0@1
  bool v3; // zf@1
  int v4; // r7@1
  JNINativeInterface *v5; // r0@1
  jstring (__cdecl *v6)(JNIEnv *, const char *); // r3@3
  const char *v7; // r1@3
  int v8; // r0@2
  JNINativeInterface *v9; // r3@4
  int v10; // r4@4
  int v12; // [sp+Ch] [bp-1Ch]@1
  v12 = a1;
  v1 = g_env;
  v2 = ((*g_env)->FindClass)(g_env, "com/Reflect");
  v4 = v2;
  v3 = v2 == 0;
  v5 = v1->functions;
  if ( v3 )
  {
    v6 = v5->NewStringUTF;
    v7 = "jclass";
    return (v6)(v1, v7);
  }
  v8 = (v5->GetStaticMethodID)(v1, v4, "func", "(ILjava/lang/String;)Ljava/lang/String;");
  v9 = v1->functions;
  v10 = v8;
  if ( !v8 )
  {
    v6 = v9->NewStringUTF;
    v7 = "method";
    return (v6)(v1, v7);
  }
  (v9->NewStringUTF)(v1, v12);
  return _JNIEnv::CallStaticObjectMethod(v1, v4, v10, 10);
}

再来看看Java的Reflect代码:

public class Reflect
{
  private static String hexString = "0123456789ABCDEF";
  public static String tmp = " alien";

  private static String encode(String paramString)//把数据编码为HEX文本
  {
    paramString = paramString.getBytes();
    StringBuilder localStringBuilder = new StringBuilder(paramString.length * 2);
    int i = 0;
    for (;;)
    {
      if (i >= paramString.length) {
        return localStringBuilder.toString();
      }
      localStringBuilder.append(hexString.charAt((paramString & 0xF0) >> 4));
      localStringBuilder.append(hexString.charAt((paramString & 0xF) >> 0));
      i += 1;
    }
  }
  public static String func(int paramInt, String paramString)
  {
    return encode(paramString + tmp);
  }
}

func实际作用就是把输入字符串拼接上“alien”,然后转换HEX数据文本。

实际上,initInflect返回的是“/key=i im lianai alien”的16进制数据文本2F6B65793D6920696D206C69616E616920616C69656E
最后面:

 public static String getEncString(String paramString1, String paramString2){
paramString1 = DESBase64.encode(getEncCode(paramString1.getBytes("UTF8"), paramString2));
      return paramString1;}

所以最后的数据进行了DESBase64加密,得出了最后的结果。

PandaOS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
爱恋千雪-US-AscII加密解密工具(网页加密)下载
12-10
同时,标签“加密解密”表明该工具可能不仅限于ASCII编码,也可能包含了其他加密算法的支持,比如AES、DES等,以满足更广泛的加密需求。 在实际使用中,如果遇到无法解密或找不到的页面,可能是因为加密方式过于...
openfire_src3.5.1源码
11-13
源码中涉及到了证书管理、加密算法选择以及安全策略配置。 通过分析Openfire的源码,开发者不仅能掌握即时通讯服务器的基本架构,还能深入理解XMPP协议的实现细节。这对于自定义开发即时通讯应用或优化现有系统有着...
unidbg 简介、基本使用、调用so中方法、unidbg-web
freeking101的博客
02-24 1万+
unidbg 是一个标准的 java 项目,是一款基于 unicorn 和 dynarmic 的逆向工具。可以直接黑盒调用 Android 和 IOS 的 so 文件,无论是黑盒调用 so 层算法,还是白盒 trace 输出 so 层寄存器值变化都是一把利器~ 尤其是动态 trace 方面堪比 ida trace。
当我们谈论Unidbg时我们在谈什么
lilac的博客
06-15 4818
文章目录一、前言二、使用Unidbg的工作量是什么三、补环境补的是什么3.1 运行环境缺失3.2 上下文缺失四、Unidbg 不是所有情况下最优的解决方案五、Unidbg在大多数情况下是好的方案六、Unidbg和风控无关七、尾声 一、前言 这是一篇漫谈Unidbg的文章,我对Unidbg的使用和理解都还很浅,日后会更新或修改看法,欢迎大佬指点,也期待同侪讨论。 二、使用Unidbg的工作量是什么 我们常规使用Frida + IDA的动静态分析中,工作可能是这样的 找线索→Frida Hook验证→验证成功继
unidbg入门笔记
最新发布
q2919761440的博客
05-24 1075
unidbg 是凯神 在 2019 年初开源的一个轻量级模拟器,一个基于Java的跨平台解密引擎,专门用于动态分析和逆向工程应用程序。它可以模拟不同CPU架构、操作系统和指令集,从而使用户能够在一个统一的环境中分析各种不同类型的二进制文件。unidbg的主要功能包括模拟执行、内存访问、指令跟踪、函数调用跟踪等。unidbg 是建立在Unicorn引擎之上的,Unicorn引擎是一个强大的开源CPU模拟器框架,支持多种架构,包括x86、ARM、MIPS等,因此unidbg也能够模拟这些不同的CPU架构。
安卓逆向——Unidbg的初步使用
含笑
08-25 2507
环境 : JAVA 1.8 IDEA 1. 安装 github 地址 :https://github.com/zhkl0228/unidbg 把项目下载下来,使用 IDEA 打开项目,等待加载完 (注意看看java的版本吧,加载失败可以重新加载试试) 参考 : https://code.newban.cn/151.html https://www.jianshu.com/p/59e08e48ac20 ...
System.load 和 System.loadLibrary详解
悦峰原创博客
11-06 7万+
System.load 和 System.loadLibrary详解1.它们都可以用来装载库文件,不论是JNI库文件还是非JNI库文件。在任何本地方法被调用之前必须先用这个两个方法之一把相应的JNI库文件装载。2.System.load 参数为库文件的绝对路径,可以是任意路径。例如你可以这样载入一个windows平台下JNI库文件:System.load("C://Docu
.net 中StringBuilder高效字符串操作
du12300的博客
12-09 308
StringBuilder高效的字符串操作 当大量进行字符串操作的时候,比如,很多次的字符串的拼接操作。 String对象是不可变的。每次使用System. String类中的一个方法时,都要 在内存中创建一个 新的字符串对象,这就需要为该新对象分配新的空间。在 需要对字符串执行重复修改的情况下,与创建新的String对象相关的系统开 销可能会非常大。如果要修改字符串而不创建新的对象,则可以使用 System.Text. StringBuilder 类。例如, 当在一个循环中将许多字符串连接 在一起时,使用
基于python的信息加密解密网站源码数据库.zip
08-31
Python有许多库支持加密算法,如`cryptography`库,可以实现AES(高级加密标准)、RSA、SHA等算法。在网站中,用户可能能够上传或输入敏感信息,这些信息在传输和存储时需要进行加密,以防止数据泄露。 4. **解密...
一款可留言的甜甜的恋爱计时网站源码源码资源下载整理.zip
08-20
下面将详细解析这个资源可能涵盖的知识点: 1. **前端开发**:恋爱计时网站的用户界面是用户与应用交互的窗口,可能使用HTML、CSS和JavaScript等技术构建。HTML负责页面结构,CSS负责样式设计,JavaScript则用于...
[工具查询]小蜜蜂爱情缘分预测系统 V1.0_aqyf.zip
03-13
可能包括随机数生成算法(如Mersenne Twister)、数据分析算法(如相关性分析、聚类分析)以及命理解析算法(如八字合婚算法)。 5. **安全性**:考虑到用户可能输入敏感信息,系统需要实施安全措施,如数据加密和...
基于AndroidO平台JNI机制的学习
12-15
本文档是笔者个人针对系统androidO源码,参考《深入理解安卓卷一》的基础上,将案例MediaScanner的JNI通信整个流程进行了梳理,全文结构按照从上到下的结构进行了分析与总结。
[Java基础]-- java实现使用url传递paramString和paramStream
欢迎来到我的博客,一起探索代码里的世界!
11-19 4782
一、传递paramString 1、先新建一个纯servelet项目TestServer (1)servlet代码: import java.io.IOException; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpSe...
StringBuilder类的使用
佳颖的专栏
04-01 897
StringBuilder A modifiable sequence of characters for use in creating strings. This class is intended as a direct replacement of StringBuffer for non-concurrent use; unlike StringBufferthis c
Java 中常用的JSONobject的用法详解
weixin_54951878的博客
05-04 1万+
Java 常用类及其方法
NDK中的NewStringUTF错误问题
weixin_34237596的博客
12-24 420
JNIEXPORT jstring JNICALL Java_com_example_testjnipro_MainActivity_sayHello (JNIEnv * env, jobject thiz){ //return (*env)->NewStringUTF(env, "Hello from JNI ! Compiled with ABI ");retu...
module_param_string
bruk_spp的博客
09-15 1903
看linux驱动,发现module_param_string的用法 module_param_string(path, fw_path_para, sizeof(fw_path_para), 0644);网上查了下,说是为可以在用户空间设置参数。特地的看了下代码实现 文件路径: include/linux/moduleparam.h #define module_param_string(name, string, len, perm) \ static const struct kparam_str
JSONObject详解
热门推荐
程序员s的博客
11-20 29万+
JSONObject只是一种数据结构,可以理解为JSON格式的数据结构(key-value结构),可以使用put方法给json对象添加元素。JSONObject可以很方便的转换成字符串,也可以很方便的把其他对象转换成JSONObject对象。 maven: &lt;dependency&gt; &lt;groupId&gt;org.json&lt;/groupId&gt; &lt;ar...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值