X猫免费小说安卓逆向分析

最新推荐文章于 2023-03-22 10:59:45 发布
最新推荐文章于 2023-03-22 10:59:45 发布
阅读量3.7k 收藏 3
点赞数
分类专栏: 移动安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Qiled/article/details/110104301
版权

x猫免费小说安卓逆向分析 难度(♥)

文章目录

1. 查壳

我这边使用的是ApkTool, 拖进去显示未加壳。

2. 抓包分析

POST https://xiaoshuo.xxxx.com/api/v1/login/index HTTP/1.1
net-env: 1
channel: qm-cbcpa056_wm
is-white: 0
platform: android
app-version: 50500
reg: 
application-id: com.xxxx.reader
AUTHORIZATION: 
qm-params: cLGZ4CG-uloLp3U1paHWHzpzpzpzpzpztqRTgeKQNlN2N5UzpzpztqpzpzpT4hG2Nhk-A3HjHSRUmqF5A5HwgI9wgI9wgaMMNeoTth0lgIHQpzpzp5Uzpzpz4TKMpqFnAIg5taG-pCp14lfQmqF5A5HLgIHwgh0LNh9nge4wgI0rNe9eNz4lpI0E4zFENyfepzpzNhsxgIfrNzFwgIkTgIox4egegIx5Nq4Lghgwg5HjHzUx4LHWH-oIATgEATFeA-fwA-FrAT0MH5w5OE2etCp2O5HWHTK7g3rwH5w5u_GUOEk2paU1paHWH-kUhRkokTfEBzn_k-N4OIpeczfYpExjNToWuS27uEuYhzpA3hGHm-rEgMNym_-rR-unhTxnRhHL3LQ53C2QpqnQ3ynHNhurtMJSN-QipTsiAyjLBEoAc205taG1BqR1HTZ5gefLNhgngIKrNh0rghOrH5w5BqJ-pqw5A5GFmCx2BaHjHSuj45U1BqR1HTZ5gefLNhgngIKrNh0rghOrH5w5uln5tCR1paHWHTgUgTfegh9rAIfnAI0EAaHjHzNjmqR7uaU1paHWHzN24lp54qk-gqHEglfM4qg5taG5Ozo7paHWHzuDBlujp3HjHzJxmqF5A5H56F==
sign: b27fb3051c9ee919bb7143a8f856a31f
QM-it: 1606239365
QM-ii: 1901732340
no-permiss: 0
User-Agent: webviewversion/50500
Content-Type: application/x-www-form-urlencoded
Content-Length: 124
Host: xiaoshuo.wtzw.com
Connection: Keep-Alive
Accept-Encoding: gzip

cancell_check=1&encrypt_phone=ghgUNIFENeKrNhf=&gender=2&open_push=1&type=1&verify=1111&sign=3a7c6107895fe47d8cfb7647d21a8c86

发现如果我们想要登录, 至少需要解决 qm-paramsencrypt_phone,sign

由于没有加固, 那么我们从提交数据开始.

3. sign

jadx反编译, 一些魅族华为的包都不用看, 就看可以的。 可以定位到

f.f.e.b.c.a.c这个class.

if (this.f32692a.a(url.host())) {
                HashMap<String, String> b2 = this.f32692a.b();
                TreeMap treeMap = new TreeMap();
                if (b2 != null) {
                    for (String str : b2.keySet()) {
                        String str2 = b2.get(str);
                        if (str2 != null) {
                            newBuilder.addHeader(str, str2);
                            treeMap.put(str, str2);
                        }
                    }
                }
                String y = f.f.e.b.d.a.m().y();
                if (!TextUtils.isEmpty(y)) {
                    newBuilder.addHeader("qm-params", y);
                    treeMap.put("qm-params", y);
                }
                if (!treeMap.isEmpty()) {
                    StringBuilder sb = new StringBuilder();
                    for (String str3 : treeMap.keySet()) {
                        sb.append(str3);
                        sb.append("=");
                        sb.append((String) treeMap.get(str3));
                    }
                    newBuilder.addHeader("sign", Encryption.sign(sb.toString()));
                }
                try {
                    if (!(this.f32693b == null || (m = this.f32693b.m()) == null || m.length <= 0)) {
                        for (String str4 : m) {
                            String string = this.f32693b.getString(str4, "");
                            if (!TextUtils.isEmpty(str4) && !TextUtils.isEmpty(string)) {
                                newBuilder.addHeader(TextUtil.appendStrings("QM-", str4), string);
                            }
                        }
                    }
                    newBuilder.addHeader("no-permiss", a());
                } catch (Exception unused) {
                }

向下跟踪

package com.qimao.qmsdk.tools.encryption;

import com.km.encryption.api.Security;
import java.io.UnsupportedEncodingException;
import org.geometerplus.fbreader.book.Encoding;

public class Encryption {
    public static void init() {
    }

    public static String sign(String str) {
        try {
            return Security.sign(str.getBytes(Encoding.UTF8_NATIVE));
        } catch (UnsupportedEncodingException unused) {
            return "";
        }
    }
}

最后跟到

package com.km.encryption.api;

import android.content.Context;
import com.km.encryption.generator.KeyGenerator;

public class Security {
    public static void a(Context context, String str) {
        KeyGenerator.assetManager = context.getAssets();
        KeyGenerator.key = str;
        KeyGenerator.context = context;
    }

    public static native byte[] decode(String str);

    public static native String decrypt(String str, String str2);

    public static native String encrypt(String str, String str2);

    public static native void init();

    public static native String sign(byte[] bArr);

    public static native SecurityEntity token(String str);
}

然后使用objection来hook一下。

android hooking watch class_method com.km.encryption.api.Security.sign --dum
p-args --dump-return --dump-backtrace

发现的确是这边,但是objection不能显示byte[]类型,因此需要自己写frida代码


function byteToString(arr) {
    if(typeof arr === 'string') {
        return arr;
    }
    var str = '',
        _arr = arr;
    for(var i = 0; i < _arr.length; i++) {
        var one = _arr[i].toString(2),
            v = one.match(/^1+?(?=0)/);
        if(v && one.length == 8) {
            var bytesLength = v[0].length;
            var store = _arr[i].toString(2).slice(7 - bytesLength);
            for(var st = 1; st < bytesLength; st++) {
                store += _arr[st + i].toString(2).slice(2);
            }
            str += String.fromCharCode(parseInt(store, 2));
            i += bytesLength - 1;
        } else {
            str += String.fromCharCode(_arr[i]);
        }
    }
    return str;
}


function startHook() {
    Java.perform(function() {
        var Security = Java.use('com.km.encryption.api.Security'); //要hook的类名完整路径
        Security.sign.implementation = function(x) { // 重写要hook的方法Sign,当有多个重名函数时需要重载,function括号为函数的参数个数
            console.log("---> Security.Sign Start")
            console.log("---> Arg[0]:" + byteToString(x) );
            console.log("---> Result:" + this.sign(x));
            console.log("---> Security.Sign end")
            return this.sign(x)
        };
    })
}

setImmediate(startHook)

于是乎执行命令

frida -U -f com.kmxs.reader -l demo01.js --no-pause

---> Security.Sign Start
---> Arg[0]:cancell_check=1encrypt_phone=ghgUNIFENeKrAIK=gender=2open_push=1type=1verify=1111
---> Result:1b75f39c2c27315b38ef5926a4beaac3
---> Security.Sign end
---> Security.Sign Start
---> Arg[0]:cancell_check=1encrypt_phone=ghgUNIFENeKrAIK=gender=2open_push=1type=1verify=1111
---> Result:1b75f39c2c27315b38ef5926a4beaac3
---> Security.Sign end
---> Security.Sign Start
---> Arg[0]:cancell_check=1encrypt_phone=ghgUNIFENeKrAIK=gender=2open_push=1type=1verify=1111
---> Result:1b75f39c2c27315b38ef5926a4beaac3
---> Security.Sign end

此时,我们已经用frida hook的方式, 可以拿到提交参数和返回结果.此时就可以衍生出方案1:Frida -rpc

1. Frida-rpc

参考肉丝姐姐的代码

原文地址:https://www.anquanke.com/post/id/195215

可以把我们的js文件改成


function byteToString(arr) {
    if(typeof arr === 'string') {
        return arr;
    }
    var str = '',
        _arr = arr;
    for(var i = 0; i < _arr.length; i++) {
        var one = _arr[i].toString(2),
            v = one.match(/^1+?(?=0)/);
        if(v && one.length == 8) {
            var bytesLength = v[0].length;
            var store = _arr[i].toString(2).slice(7 - bytesLength);
            for(var st = 1; st < bytesLength; st++) {
                store += _arr[st + i].toString(2).slice(2);
            }
            str += String.fromCharCode(parseInt(store, 2));
            i += bytesLength - 1;
        } else {
            str += String.fromCharCode(_arr[i]);
        }
    }
    return str;
}

function stringToByte(str) {
    var bytes = new Array();
    var len, c;
    len = str.length;
    for(var i = 0; i < len; i++) {
        c = str.charCodeAt(i);
        if(c >= 0x010000 && c <= 0x10FFFF) {
            bytes.push(((c >> 18) & 0x07) | 0xF0);
            bytes.push(((c >> 12) & 0x3F) | 0x80);
            bytes.push(((c >> 6) & 0x3F) | 0x80);
            bytes.push((c & 0x3F) | 0x80);
        } else if(c >= 0x000800 && c <= 0x00FFFF) {
            bytes.push(((c >> 12) & 0x0F) | 0xE0);
            bytes.push(((c >> 6) & 0x3F) | 0x80);
            bytes.push((c & 0x3F) | 0x80);
        } else if(c >= 0x000080 && c <= 0x0007FF) {
            bytes.push(((c >> 6) & 0x1F) | 0xC0);
            bytes.push((c & 0x3F) | 0x80);
        } else {
            bytes.push(c & 0xFF);
        }
    }
    return bytes;


}


function getsign(args){
    var result = ''
    Java.perform(function(){
        var Security = Java.use('com.km.encryption.api.Security');
        result = Security.sign(stringToByte(args));
        console.log("rpc getSign:" + result);
         
    })
    return result;
}

rpc.exports = {
    sign : getsign
}
//setImmediate(startHook)

创建一个python文件

import frida

def on_message(message, data):
    if message['type'] == 'send':
        print(message['payload'])
    elif message['type'] == 'error':
        print(message['stack'])



source = ""
with open('demo01.js',encoding= 'utf-8') as f:
    source = f.read()

print(source)
session = frida.get_usb_device().attach('com.kmxs.reader')
script = session.create_script(source)
script.on('message', on_message)
script.load()
print(script.exports.sign('cancell_check=1encrypt_phone=ghgUNIFENeKrAIK=gender=2open_push=1type=1verify=1111'))

session.detach()

测试没问题以后, 我们配合flask 编写一个api接口

from flask import Flask,jsonify,request
import frida
app = Flask(__name__)
tasks = {
        'taskId':1,
        'encryptData' : u'xiaopang',
        'sign':'sign'
    }

def on_message(message, data):
    if message['type'] == 'send':
        print(message['payload'])
    elif message['type'] == 'error':
        print(message['stack'])



source = ""
with open('demo01.js',encoding= 'utf-8') as f:
    source = f.read()

print(source)
session = frida.get_usb_device().attach('com.kmxs.reader')
script = session.create_script(source)
script.on('message', on_message)
script.load()


@app.route('/getSign',methods=['POST'])
def index():
    if request.method == 'POST':
        encryptData = request.form.get('encryptData')
        data = tasks
        data['sign'] = script.exports.sign(encryptData)
        data['encryptData'] = encryptData
        return jsonify({'data':tasks})

if __name__ == '__main__':
    app.run(host='0.0.0.0',debug=True)

此时其他的其实就和这个sign差不多了, 找到位置,rpc就好了!能用就好!

Qiled
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
android在线下载并安装APK
Lenny的专栏
09-18 891
在做项目2期有个功能是不可忽视的,那就是对老版本的迭代。 今天和大家分享下在线下载APK并进行安装 1.获得当前的版本号:     public int getAppVersionCode() {         PackageManager manager = this.getPackageManager();         PackageInfo info;         tr
安卓逆向 实战 某猫免费小说验证码请求协议分析&脱机执行
头铁逆向的旅程
08-16 3799
安卓逆向 实战 某猫免费小说验证码请求协议分析&脱机执行 过frida检测 脱壳 过代理检测 sign算法分析
安卓逆向加密篇(一):某应用sign逆向分析过程
wsfsp_4的博客
08-28 3072
逆向分析某APP网络请求加密参数sign过程
爬虫js解密分析:某某猫小说
nioii-七仔
12-09 2278
前言:本教程仅供学习,不得非法破坏网站。如用于其他暴力等用途,后果自负。如侵权您的网站请留言我,我立刻删除,感谢。 本次来学习一下简单的js逆向教程 为了不直接贴出网站链接,下面是已经经过某种常见的、可逆的加密方式进行加密 aHR0cHM6Ly93d3cuY2l3ZWltYW8uY29tL2NoYXB0ZXIvMTAzNTQzODcy 0x01、查看接口返回的数据 看到接口返回的数据有点可疑,看...
APP逆向案例之(三)sign 参数破解
zhaoxiaoba123的博客
11-26 2135
某新闻APP sign 参数 其中 sign 参数是需要变化的否则访问失败,其余都是固定的
Android逆向分析
11-29
Android视频课程,Android逆向分析,比较好的资源。。。。
Android软件安全与逆向分析_带书签_Android软件安全与逆向分析_带书签_android_
09-29
《Android软件安全与逆向分析》是一本深入探讨Android应用安全和逆向工程的书籍,带书签功能方便读者查阅和学习。在Android平台上,软件安全与逆向分析是极其重要的话题,因为随着移动设备的普及,恶意软件和隐私...
Android逆向分析工具与签名工具
11-02
本文将深入探讨Android逆向分析工具及其在签名工具中的应用,这些都是确保应用程序安全性和防止未授权修改的关键。 首先,让我们了解什么是逆向分析逆向分析是对软件进行“解剖”,以揭示其内部工作原理的过程。...
Android逆向分析权限和API提取工具
05-03
本文将详细介绍“Android逆向分析权限和API提取工具”,这是一个基于Python的小程序,专为安卓逆向工程设计,旨在帮助开发者自动化提取Android应用的权限和API信息。 首先,我们要明白Android权限系统是保护应用...
青龙脚本(七免费小说,附脚本)
最新发布
weixin_49808708的博客
03-22 7580
青龙脚本(七免费小说,附脚本)
Google_Cardboard_v1_0
07-24
Google_Cardboard_v1_0
km 播放器
10-29
km播放器 直接下载安装使用即可,完美支持主流视频格式
KM的播放器
10-23
一款经典播放器,可以播放MP3/AVI等多种格式的视频文件。
authorization权限控制_授权(Authorization)
weixin_34481252的博客
01-17 7888
授权授权是指验证用户是否允许做某件事的过程。Yii提供两种授权方法: 存取控制过滤器(ACF)和基于角色的存取控制(RBAC)。存取控制过滤器存取控制过滤器(ACF)是一种通过 yii\filters\AccessControl 类来实现的简单授权方法, 非常适用于仅需要简单的存取控制的应用。正如其名称所指,ACF 是一个种行动(action)过滤器filter,可在控制器或者模块中使用。当一个...
这么黄的教程,我看了2小时就关了!
weixin_34245749的博客
09-27 1323
前言色彩学,或者说是配色技能,是我们设计师最需要的技能之一,普通人来说,谈论一个物体外在,经常用到的2个纬度,那就是形色,形是指轮廓,色当然就是指它表现出来的颜色,色彩。原理我们看到的任何颜色的物体,其实都是没有颜色的,是包含了各种颜色的光线,照射到物体的表面,例如一个绿色的苹果表面,它吸收了阳光的大部分的色彩,唯独绿色无法吸收,那就反射了绿色,你的眼球看到了这个反射的光线,于是你的大脑判断,这个...
教你如何爬小说(含全代码)
热门推荐
confusingggg的博客
09-01 1万+
在此,我以剑来小说作为例子,你也可以借鉴我的代码爬取其他小说,有助于python爬虫的学习。 好了,进入正题,爬取主要分为8步。 1,打开第3方库 import requests import re from bs4 import BeautifulSoup 2,爬取剑来(网址为:https://www.booktxt.net/5_5871/)小说主页内容并用BeautifulSoup库进行打包 di=[] url="https://www.booktxt.net/5_5871/" res=request
[项目管理-24]:非暴力沟通的本质就是:”用大家都舒服的方式解决问题“
文火冰糖(王文兵)的博客
09-12 1138
在项目执行中,要面对形形色色的人,不同角色的人,不同心理成熟度、不同职业素养的人,不同个人性格的人,因此,沟通的模式也是多样的。在某些场合,非暴力沟通就显得非常有效、有用。在矩阵项目中,项目经理没有管人的实权,对项目组成员无法使用上司的权力和岗位权力管理员工的行为,因此,非暴力沟通就尤为有效。非暴力沟通是Nonviolent Communication(简写NVC)一词的中译,又称爱的语言、长颈鹿语言等。NVC相信,人的天性是友善的,暴力的方式是后天习得的。
单片机期末复习
Dlrow Olleh~
06-22 4458
究极版!!YYDS
Android逆向分析入门:从反编译到Smali解析
"手把手教你逆向分析Android程序" 本文将深入探讨如何进行Android程序的逆向分析,通过实例展示如何利用各种工具揭示应用程序的工作原理,以及如何进行安全防护。首先,我们来看一下Android应用的基本结构,这对于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值