【Android逆向】rpc调用某安App的X-App-Token签名函数

最新推荐文章于 2024-04-08 04:35:15 发布
最新推荐文章于 2024-04-08 04:35:15 发布
阅读量1.5k 收藏 6
点赞数 1
文章标签: android
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3221002/article/details/126127566
版权

阅读此文档的过程中遇到任何问题,请关注公众号【移动端Android和iOS开发技术分享】或加QQ群【309580013

1.目标

在学习的过程中,会遇到有些算法比较麻烦,没有办法直接还原。那我们就另辟蹊径,不去分析具体的算法实现。直接使用rpc的方式调用算法函数,本文章以某安App的X-App-Token签名函数为例。

2.操作环境

  • mac系统

  • frida-dexdump:导出加固后dex文件

  • Charles:抓取http接口

  • 已Root安卓机:脱壳

  • Python3.8:实现rpc功能

  • Jadx:导出dex文件为源码

  • Android Studio:静态分析

3.流程

寻找切入点

通过Charles抓包获取到关键词为X-App-Token,这也就是我们的切入点:

image-20220729145855104

静态分析

使用查壳工具发现该apk使用的是360加固,启动App后,使用frida-dexdump的frida-dexdump -FU命令导出dex文件:

image-20220729151122154

由于dex文件较多,不方便查询,使用jadx把多个dex文件导出为源码:

import os

for file in os.listdir(os.curdir):
    if file.find(".dex") > 0:
        sh = 'jadx -j 1 -r -d ./ ./' + file
        print(sh)
        os.system(sh)

将以上的python脚本放到dex同级目录,切换到dex目录,并执行以上脚本,执行完成后会生成sources文件夹,使用Android Studio打开该文件夹,全局搜索X-App-Token:

image-20220729152147309

找到关键函数:

private final String[] m13135() {
        String str;
        Locale locale = Locale.getDefault();
        String valueOf = String.valueOf(Build.VERSION.SDK_INT);
        String str2 = locale.getLanguage() + '-' + ((Object) locale.getCountry());
        byte[] bytes = (this.f16167.m13205() + "; ; ; " + this.f16167.m13207() + "; " + ((Object) Build.MANUFACTURER) + "; " + ((Object) Build.BRAND) + "; " + ((Object) Build.MODEL) + "; " + ((Object) Build.DISPLAY) + "; " + ((Object) C4765.m13174().m12851())).getBytes(Charsets.UTF_8);
        Intrinsics.checkNotNullExpressionValue(bytes, "this as java.lang.String).getBytes(charset)");
        String encodeToString = Base64.encodeToString(bytes, 0);
        Intrinsics.checkNotNullExpressionValue(encodeToString, "encodeToString(device.to…eArray(), Base64.DEFAULT)");
        String sb = new StringBuilder(encodeToString).reverse().toString();
        Intrinsics.checkNotNullExpressionValue(sb, "StringBuilder(device).reverse().toString()");
        String replace = new Regex("\\r\\n|\\r|\\n|=").replace(sb, BuildConfig.FLAVOR);
        String as = AuthUtils.getAS(this.f16166, replace);
        if (C4765.m13166().m13307()) {
            str = "1";
        } else {
            str = C4765.m13166().m13300() ? "2" : "0";
        }
        Intrinsics.checkNotNullExpressionValue(as, "appToken");
        String r1 = this.f16167.m13203();
        Intrinsics.checkNotNullExpressionValue(r1, "appMetadata.channel");
        return new String[]{"User-Agent", this.f16170, "X-Requested-With", "XMLHttpRequest", "X-Sdk-Int", valueOf, "X-Sdk-Locale", str2, "X-App-Id", "com.coolapk.market", "X-App-Token", as, "X-App-Version", this.f16168, "X-App-Code", String.valueOf(this.f16169), "X-Api-Version", "12", "X-App-Device", replace, "X-Dark-Mode", str, "X-App-Channel", r1, "X-App-Mode", this.f16167.m13197().toString(), "X-App-Supported", String.valueOf(this.f16167.m13199())};
    }

删除无关代码后:

private final String[] m13135() {
        byte[] bytes = (this.f16167.m13205() + "; ; ; " + this.f16167.m13207() + "; " + ((Object) Build.MANUFACTURER) + "; " + ((Object) Build.BRAND) + "; " + ((Object) Build.MODEL) + "; " + ((Object) Build.DISPLAY) + "; " + ((Object) C4765.m13174().m12851())).getBytes(Charsets.UTF_8);
        String encodeToString = Base64.encodeToString(bytes, 0);
        String sb = new StringBuilder(encodeToString).reverse().toString();
        String replace = new Regex("\\r\\n|\\r|\\n|=").replace(sb, BuildConfig.FLAVOR);
        String as = AuthUtils.getAS(this.f16166, replace);
    }

由此可看出,X-App-Token参数由AuthUtils.getAS方法生成,本篇文章的目的是通过rpc直接调用getAS函数,所以不会去具体分析getAS方法的实现。

调用getAS方法的入参有两个,第一个是context,第二个参数即为我们需要拼接的参数。看源码可知,该参数由多个参数拼成,然后再base64。具体查看每一个函数,整理后的结果如下:

this.f16167.m13205():android_id

this.f16167.m13207():wifi的mac地址

((Object) Build.MANUFACTURER):硬件制造商

((Object) Build.MODEL):系统定制商

((Object) Build.DISPLAY):显示屏参数

((Object) C4765.m13174().m12851()):这个参数为空,我们就暂且不管

你也可以直接使用命令frida-trace -UF -j '*!*getBytes*':

{
  onEnter(log, args, state) {
   log(`String.getBytes=${this.toString()}=`)
    log(`String.getBytes(${args.map(JSON.stringify).join(', ')})`);
  },

  onLeave(log, retval, state) {
    if (retval !== undefined) {
      log(`<= ${JSON.stringify(retval)}`);
    }
  }
}

获取到结果如下,根据结果反推参数值

e8e69e7384cb09c0; ; ; F4:F5:DB:24:A6:E1; Xiaomi; xiaomi; MI 5X; QL1515-tiffany-build-20171026203938; null

结果

至此,我们的getAS函数的入参已经确定,接下来就是实现RPC

python源码如下:

import frida
from flask import Flask, request
import base64
result = {}


def on_message(message, data):
    if message['type'] == 'send':
        payload = message['payload']
        if "###" in payload:
            global result
            array = payload.split("###")
            result[array[0]] = array[1]
        print(message['payload'])
    elif message['type'] == 'error':
        print(message['stack'])


js_code = '''
rpc.exports = {
    // 函数名getAS
    sign: function(params){
        Java.perform(function(){
            //拿到context上下文
            var currentApplication = Java.use('android.app.ActivityThread').currentApplication();
            var context = currentApplication.getApplicationContext();

            // use 加载的类路径
            var AuthUtils = Java.use('com.coolapk.market.util.AuthUtils');
            var sign = AuthUtils.getAS(context, params);  // context,params
            send(params+"###"+sign);
        }
    )
    }
};
'''

process = frida.get_usb_device().attach('酷安')
script = process.create_script(js_code)
script.on('message', on_message)
script.load()

app = Flask(__name__)


@app.route('/get_sign')
def get_sign():
    device_id = request.args.get('device_id', '')
    mac_address = request.args.get('mac_address', '').upper()
    manufacturer = request.args.get('manufacturer', '')
    model = request.args.get('model', '')
    display = request.args.get('display', '')
    params = f'{device_id}; ; ; {mac_address}; {manufacturer}; {model}; {display}; null'
    base_en = base64.encodebytes(params.encode('utf-8')).decode('utf-8')
    base_en = base_en[::-1]
    base_en = base_en.replace('\n', '')
    base_en = base_en.replace('\r', '')
    base_en = base_en.replace('=', '')
    script.exports.sign(base_en)
    sign = result[base_en]
    return sign


if __name__ == '__main__':
    app.run()

运行python脚本后,浏览器调用get_sign方法即可获取到X-App-Token

image-20220729190018280

End

阅读此文档的过程中遇到任何问题,请关注公众号【移动端Android和iOS开发技术分享】或加QQ群【309580013

移动端小陈
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
京东x-api-eid-token风控参数分析与加密算法还原
吴秋霖的博客
06-30 1279
x-api-eid-token接口参数加密详细分析与算法还原!Python爬虫稳的就像老司机~~
python爬取app、返回的是加密数据_Python 逆向抓取 APP 数据
weixin_39679370的博客
12-05 1619
今天继续给大伙分享一下 Python 爬虫的教程,这次主要涉及到的是关于某 APP逆向分析并抓取数据,关于 APP 的反爬会麻烦一些,比如 Android 端的代码写完一般会进行打包并混淆加密加固,所以除了抓包之外,还需要对 APP 进行查壳脱壳反编译等操作。接下来由「小帅b的朋友:Houser」 给大家演示一下,如何逆向抓取 APP 数据,给你参考一下思路:所需设备和环境:设备:安卓手机抓包...
android RPC原理总结及源码
06-15
演示远程调用服务,使用AIDL定义,详细阐述了RPC机制。
Android实战技术:深入理解AndroidRPC方式与AIDL
ithome
08-07 395
Understanding ADIL AIDL是一个接口描述文件,用于实现Android平台上面的RPC,aapt在编译的时候会自动根据规则生成用于IPC的接口和对象,而作为使用者只需要:1.在服务端Service实现接口;2. 在客户端bindService,onServiceConnected时获取接口对象。这里的接口都是AIDL中描述的接口,其他的细节则在由AIDL生成的同名源码文件中。 ...
Android中的RPC
liuqiang211的专栏
09-10 3458
Android中的ALDI就是一种RPC框架 ALDI  写的就是  要调用的 接口  对于AIDL有一些人的浅显概念就是,AIDL可以跨进程访问其他应用程序,和其他应用程序通讯 第一句最重要,“只有当你允许来自不同的客户端访问你的服务并且需要处理多线程问题时你才必须使用AIDL”,其他情况下你都可以选择其他方法,如使用Messager,也能跨进程通讯。可见AIDL是处理
某安算法 X-App-Token
weixin_44144647的博客
12-27 371
XAPPTOKEN
Android系统RPC与Binder
程序改变生活
12-18 6926
RPC与IPC关系: 1.相同点:二者都可以用于进程间; 2.不同点:RPC强调的是调用、即一个进程直接调用另外一个进程中的方法,而IPC仅仅完成进程间的互通信、没有调用Android系统中的Binder即为RPC的一种实现方式;类似COM或CORBA。
某眼查的逆向
qq_34949842的博客
08-27 1490
​一: 准备 APP: 某眼查 版本: 11.4.0 工具: xposed, FDex2, JustTrustMe, Fiddler, jadx 二. 抓包 1. 打开Fiddler,打开天眼查抓包(开启JustTrustMe能抓到包) 我们抓取工商信息这块,查看Fiddler上面的body这块,因为传输数据,所以包肯定是比较大的,点开看右边的json格式能看到和工商信息里面的相符的内容,说明这就是我们需要抓取的数据包了. 查看抓到包的请求头,找出我们需要自动生成的参数: tyc-hi, Aut
【ibox app逆向之生成wtoken
MuErHuoXu的博客
06-09 2818
要实现对这款app数据的爬取,有个关键的环节,就是实现wtoken这个加密参数的生成,,而wtoken这个参数是由阿里云的WAF的防护模块控制的,具体实现放在so层,安全系数很高。逆向的思路有2个,一是通过反汇编so层,进而破解其生成逻辑,难度系数很大;二是黑盒调用so层逻辑,不管其加密逻辑如何复杂,黑盒调用即可;本文介绍的是第2种方案,采用AndServer RPC的方式实现,具体来说就是自己开发个app,只实现ibox中wtoken的生成逻辑,将该app安装在真机上,并且对外提供生成wtoken的htt
Frida 远程函数调用
07-28
- *3* [【frida逆向开发】frida-rpc远程调用某安app方法获取token](https://blog.csdn.net/weixin_44032232/article/details/111318871)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{...
逆向经验 + 逆向工具
qq_41392887的博客
08-25 3188
目标:某桔充电 Day1 1、请求抓包,锁定路径为station-api/station/search的请求,对比多个请求的参数,确定要逆向的参数为:url的wsgsig(dd03)、headers中的wsgsig(dd04)、ticket/token/tokenId、headers中的didi-header-rid。 2、FDex脱壳得到六个.dex文件,逐个打开寻找wsgsig关键字,锁定OkHttpRpc$OkHttpRpcInterceptor类中的a函数。 3、其代码中有部分不理解,请教蔡
Android代码-大众点评开源的分布式服务通信框架(RPC
08-06
Pigeon Documentation User Guide Release Notes Release Notes Comitters 苗向彬,saber.miao 吴湘,xiang.wu@dianping.com(wu-xiang) 陈华,enlight.chen@dianping.com(fv3386) 陈充泽,chongze.chen@dianping.com(wps886) 殷琦,qi.yin@dianping.com(andyyin) 石华珅,shihuashen@meituan.com Copyright and license Copyright 2015 DianPing, Inc. Licensed under the Apache License, Version 2.0 (the "License"); you may not use this work except in compliance with the License. You may obtain a copy of the License in the LICENSE file, or at:
android-sms-rpc:安卓短信门。 可以在 GET 请求后发送消息到电话并将传入的消息传输到外部 Web 服务
06-14
android-sms-rpc 安卓短信门。 可以在向电话发送 GET 请求后发送消息并将传入消息传输到外部 Web 服务。 目标 API:v19(4.4 - KitKat)。 没有弃用的功能。 API(草案) 发信息: http://local.ip:port/messages/send?to=999999&text=wwwwwwwwwwwwwwwwwwwwwwwwwwww 批量发送给订阅者列表: http://local.ip:port/messages/batchsend?text=wwwwwwwwwwwwwwwwwwwwwwww 设置订阅者列表: http://local.ip:port/settings/subscribers/set?subscribers=99999999999,99999999999999,999999999999,99999999 获取订
Android使用XML-RPC实现blog客户端源码
10-29
能在Android系统中运行的, 使用XML-RPC实现csdn blog客户端(其它blog客户端可以通过修改源码实现),可以独立编译成功的源代码
android RPC深入理解
u012292131的专栏
12-09 1371
 理解Android系统的进程间通信原理(二)----RPC机制 理解Android系统中的轻量级解决方案RPC的原理,需要先回顾一下JAVA中的RMI(Remote Method Invocation)这个易于使用的纯JAVA方案(用来实现分布式应用)。有关RMI的相关知识,可以通过下图来归纳: Android中的RPC也是参考了JAVA中的RMI方案,这里我们再详细了解一下R
android 协议通讯 rpc,Android的xml-Rpc实现
weixin_33736386的博客
05-28 236
1packagetest;234importsns_mobile.*;56importjava.util.*;7importtce.*;89importjava.nio.*;10importjava.io.*;1112publicclassSnsTestMain{13TsProxytsprx=null;14Stringtoken="dBmPPfxxohFmXjx...
安卓逆向实战-tianyancha | RPC调用及大坑
Samsam的博客
03-19 894
先通过Fdex2进行脱壳,将脱壳后后的dex导出到电脑用JADX进行分析 大坑:手机导出dex到电脑要先将文件cope到sdcard目录下 cp com.tianyancha.skyeye7500600.dex /sdcard adb pull sdcard/com.tianyancha.skyeye7500600.dex E:/for_cd ...
理解Android系统的进程间通信原理------RPC机制
最新发布
2401_84103714的博客
04-08 1046
答应大伙的备战金三银四,大厂面试真题来啦!这份资料我从春招开始,就会将各博客、论坛。网站上等优质的Android开发中高级面试题收集起来,然后全网寻找最优的解答方案。每一道面试题都是百分百的大厂面经真题+最优解答。包知识脉络 + 诸多细节。节省大家在网上搜索资料的时间来学习,也可以分享给身边好友一起学习。《960全网最全Android开发笔记》《379页Android开发面试宝典》包含了腾讯、百度、小米、阿里、乐视、美团、58、猎豹、360、新浪、搜狐等一线互联网公司面试被问到的题目。
rpc调用
u011280083的博客
04-28 706
RPC框架原理与实现 RPC,全称 Remote Procedure Call(远程过程调用),即调用远程计算机上的服务,就像调用本地服务一样。那么RPC的原理是什么呢?了解一个技术最好的思路就是寻找一个该类型麻雀虽小五脏俱全的开源项目,不负所期,找到一个轻量级分布式 RPC 框架,本文从这个项目入手来解读RPC的原理及其实现。 其实说到RPC,大家应该不会陌生才是,以往流行的Web Serv...
x-api-eid-token
07-27
引用\[3\]中提到了tk、fp、ts、ai、algo这五个值的由来分别是:接口处返回、浏览器指纹、格式化的时间戳、appid、加密库。根据这个信息,我们可以推断x-api-eid-token可能是其中之一。然而,根据提供的引用内容,无法确定x-api-eid-token的具体含义和用途。请提供更多相关信息以便我能够给出更准确的答案。 #### 引用[.reference_title] - *1* *2* [百度小程序jd的token提取](https://blog.csdn.net/shuishen49/article/details/124313598)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [js逆向-某东h5st](https://blog.csdn.net/weixin_46672080/article/details/130573416)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值