钉钉DingTalk本地网页资源解密
关于web_content.pak
钉钉目录下的web_content.pak,是其使用zip打包的资源文件,但是有密码保护。我们看看怎么得到密码。
调试钉钉找出解密key
ollydbg拉起DingTalk.exe后,
方法一、在CreateFileW下断点,F9运行多次后,当出现web_content.pak时,向上回溯搜索字符串 web_content.pak 的引用,可以找到相关代码
方法二、待模块MainFrame.dll加载后,在内存窗口模块MainFrame.dll中Ctrl+B查找 web_content.pak,找到后记录下字符串地址,然后到CPU窗口查找地址常量即可快速定位到相关代码。
6371973C 6A 09 push 0x9
6371973E 6A 03 push 0x3
63719740 8D4424 4C lea eax,dword ptr ss:[esp+0x4C]
63719744 50 push eax
63719745 8D8C24 98000000 lea ecx,dword ptr ss:[esp+0x98]
6371974C E8 EFE88AFE call MainFram.61FC8040 ; get_key
这里密码key长度是9,具体算法是 md5(version)[2:12],其中version可以从DingTask.exe的属性中拼接而来,形如 6.3.5-Release.10208701
计算脚本如下:
import sys
import hashlib
if __name__ == '__main__':
if len(sys.argv) == 2:
args = sys.argv[1:]
version = args[0] # b'6.3.5-Release.10208701'
md5 = hashlib.md5()
md5.update(version.encode('utf-8'))
ver_hash = md5.hexdigest()
print(ver_hash[2:12])
例如版本 md5(‘6.3.5-Release.10208701’) = 67853fa9266ede2b1a7f98639addb550, 那么密码即为 53fa9266e
得到密码了,直接以zip格式解压就可以为所欲为咯…