app逆向--安居客参数分析

最新推荐文章于 2025-04-27 14:30:19 发布
最新推荐文章于 2025-04-27 14:30:19 发布
阅读量1.4k 收藏 16
点赞数 5
分类专栏: app逆向 文章标签: 爬虫 安全 密码学
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ckcookies/article/details/146298824
版权

声明

本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!由于本人水平有限,如有理解或者描述不准确的地方,还望各位大佬指教!!

前言

今天我们要分析的app是安居客。样本下载

2025安居客v17.17.5老旧历史版本安装包官方免费下载_豌豆荚

java层分析

第一步抓包分析。通过抓包发现nsign是加密的。

使用jadx打开,搜索nsign

跟到最后发现是so层的

我们先逐个参数分析一下

参数1是url的path

参数2是请求头转成字节然后经过a函数处理

我们把a函数翻译成Python

def byte_to_str(bArr: bytes):
    cArr = "0123456789abcdef"
    digest = md5(bArr).digest()
    sb = []
    for byte in digest:
        sb.append(cArr[(byte & 240) >> 4])
        sb.append(cArr[byte & 15])
    return ''.join(sb)
print(byte_to_str('{"condition":{"commId":"730320","key":"","value":""},"pageNum":1,"pageSize":15}'.encode("utf-8")))

参数3是params,把value转成了字节

参数3是uuid

参数4是参数2的长度

hook一下入参和结果看看

str=/ajkspec/esf/news/cross/community/comments, bArr=123,34,99,111,110,100,105,116,105,111,110,34,58,123,34,99,111,109,109,73,100,34,58,34,55,51,48,
51,50,48,34,44,34,107,101,121,34,58,34,34,44,34,118,97,108,117,101,34,58,34,34,125,44,34,112,97,103,101,78,117,109,34,58,49,44,34,112,97,103,101,83,105,122,101,34,58,49,5
3,125, 
map={"app":"a-ajk","_guid":"74d1a658-d258-4fc0-a5b8-41582f01d04d","version_code":"322347","m":"Android-MI 9","uuid":"89749bd1-f403-4ac4-823b-fdd1dcbee7fa-KEe4VfU",
"openudid":"guest6c99fa49-a4d0-4e9b-824c-ab94eb041e68-rSOeUfU","manufacturer":"Xiaomi","o":"cepheus-user 11 RKQ1.200826.002 V12.5.6.0.RFACNXM release-keys","qtime":"20250
315164940","gmid":"guest6c99fa49-a4d0-4e9b-824c-ab94eb041e68-rSOeUfU","cv":"17.17.5","v":"11","58clientid":"8d8f7ddfb3d4767c754156d4f77383cc","ajk_city_id":"18","from":"mobile","pm":"b276","cid":""},
str2=4126b0de-0645-4ca7-8e59-9de4f5cd01fc
result=100043f8420e90baf10e220bafdd3c2fd42301a80011004f4126b0de

so分析

进入so层看看 这里应该就是加密的主流程了,接下来就用unidbg进行算法辅助分析,算法比较简单也可以直接frida进行hook

package com.anjuke.mobile.sign;

import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Module;
import com.github.unidbg.arm.backend.Unicorn2Factory;
import com.github.unidbg.debugger.Debugger;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.array.ArrayObject;
import com.github.unidbg.linux.android.dvm.array.ByteArray;
import com.github.unidbg.linux.android.dvm.jni.ProxyDvmObject;
import com.github.unidbg.memory.Memory;

import java.io.File;
import java.nio.charset.StandardCharsets;
import java.util.*;

public class nsign extends AbstractJni {
    private final AndroidEmulator emulator;
    private final VM vm;
    private final Module module;

    public nsign() {
        emulator = AndroidEmulatorBuilder
                .for64Bit()
                .addBackendFactory(new Unicorn2Factory(true))
                .setProcessName("com.anjuke.android.app")
                .build();
        Memory memory = emulator.getMemory();
        memory.setLibraryResolver(new AndroidResolver(23));
        vm = emulator.createDalvikVM(new File("E:\\apk\\安居客\\anjuke_17.17.5.apk"));
        vm.setJni(this);
        vm.setVerbose(true);
        DalvikModule dm = vm.loadLibrary(new File("E:\\apk\\安居客\\libsignutil.so"), true);
        module = dm.getModule();
        dm.callJNI_OnLoad(emulator);
    }

    public void callSign() {
        List<Object> list = new ArrayList<Object>();
        list.add(vm.getJNIEnv());   // 第一个参数是env
        list.add(0); // 第⼆个参数,实例⽅法是jobject,静态⽅法是jclass,直接填0,⼀般⽤不到。
        list.add(vm.addLocalObject(new StringObject(vm, "/ajkspec/esf/news/cross/community/comments")));
        list.add(vm.addLocalObject(new StringObject(vm, "e17228f712db5be45a57987ca1730c1d")));
        Map<String, String> paramMap = new HashMap<>() {{
            put("app", "a-ajk");
            put("_guid", "74d1a658-d258-4fc0-a5b8-41582f01d04d");
            put("version_code", "322347");
            put("m", "Android-MI 9");
            put("uuid", "89749bd1-f403-4ac4-823b-fdd1dcbee7fa-KEe4VfU");
            put("openudid", "guest6c99fa49-a4d0-4e9b-824c-ab94eb041e68-rSOeUfU");
            put("manufacturer", "Xiaomi");
            put("o", "cepheus-user 11 RKQ1.200826.002 V12.5.6.0.RFACNXM release-keys");
            put("qtime", "20250315164940");
            put("gmid", "guest6c99fa49-a4d0-4e9b-824c-ab94eb041e68-rSOeUfU");
            put("cv", "17.17.5");
            put("v", "11");
            put("58clientid", "8d8f7ddfb3d4767c754156d4f77383cc");
            put("ajk_city_id", "18");
            put("from", "mobile");
            put("pm", "b276");
            put("cid", "");
        }};
        Map<String, byte[]> map = new HashMap<>();
        for (String key : paramMap.keySet()) {
            map.put(key, paramMap.get(key).getBytes(StandardCharsets.UTF_8));
        }
        list.add(vm.addLocalObject(ProxyDvmObject.createObject(vm, map)));
        list.add(vm.addLocalObject(new StringObject(vm, "3b8ed218-5dd5-4190-b367-bbb83abdca60")));
        list.add(79);
        Number number = module.callFunction(emulator, 0x18F0, list.toArray());
        String result = vm.getObject(number.intValue()).getValue().toString();
        System.out.println("result=" + result);
    }

    @Override
    public int callIntMethod(BaseVM vm, DvmObject<?> dvmObject, String signature, VarArg varArg) {
        switch (signature) {
            case "java/util/HashMap->size()I":
                Map<?, ?> map = (Map<?, ?>) dvmObject.getValue();
                return map.size();
        }
        return super.callIntMethod(vm, dvmObject, signature, varArg);
    }

    @Override
    public DvmObject<?> callObjectMethod(BaseVM vm, DvmObject<?> dvmObject, String signature, VarArg varArg) {
        switch (signature) {
            case "java/util/HashMap->keySet()Ljava/util/Set;":
                Map<?, ?> map = (Map<?, ?>) dvmObject.getValue();
                return vm.resolveClass("java/util/Set").newObject(map.keySet());
            case "java/util/Set->toArray()[Ljava/lang/Object;":
                Set<?> set = (Set<?>) dvmObject.getValue();
                Object[] array = set.toArray();
                DvmObject<?>[] objects = new DvmObject[array.length];
                for (int i = 0; i < array.length; i++) {
                    if (array[i] instanceof String) {
                        // 如果元素是字符串,包装为 StringObject
                        objects[i] = new StringObject(vm, (String) array[i]);
                    }
                }
                return new ArrayObject(objects);
            case "java/util/HashMap->get(Ljava/lang/Object;)Ljava/lang/Object;":
                HashMap<?, ?> map1 = (HashMap<?, ?>) dvmObject.getValue();
                Object key = varArg.getObjectArg(0).getValue();
                Object value = map1.get(key);
                if (value instanceof byte[]) {
                    return new ByteArray(vm, (byte[]) value);
                }
        }
        return super.callObjectMethod(vm, dvmObject, signature, varArg);
    }

    public static void main(String[] args) {
        nsign nsign = new nsign();
        nsign.callSign();
    }
}

我们hook一下get_sign这个函数的入参和出参

这正是结果的前半段部分,那么结果就是:get_sign的结果+未知的10字节

我们跟进去get_sign函数

对md5进行hook

可以看到参数1就是加盐+path+str1+map,对其进行md5加密 

1000 43f8420e90baf10e220bafdd3c2fd423 01a8 0011 004f 3b8ed218
1000 43f8920e90baf10e220bafdd3c2fd423

可以看到第3个字节的第一个字符串不同

回去看伪代码发现最后一行进行了处理 v37[*v37 & 0xF] = *v37;

*v37是v37的第一个字节,既v37[0] = '4',对应的ASCll值为0x34,0x34&0x0F=0x04,既v37[4] = '4',所以9变成了4

前面四个是固定字符串,可以写死,接下来就只剩下后面的10字节了

我们回到so看看伪代码

这部分转成python就是

def get_hex_char(value):
    hex_chars = "0123456789abcdef"
    char1 = hex_chars[value >> 12]
    char2 = hex_chars[(value >> 8) & 0xF]
    char3 = hex_chars[(value >> 4) & 0x0F]
    char4 = hex_chars[value & 0xF]
    return char1 + char2 + char3 + char4

最后四个字节就是uuid的前八位

到此整个算法就分析完成了。

结言

这是比较简单的app了,适合新手入门分析so,这里的源码已经放在了星球,欢迎大家跟我一起讨论,同时星球会丢更多的一些辅助工具。

JS逆向系列之猿人学爬虫第11题 - app抓取 - so文件协议破解
自成背后的博客
08-10 5137
JS逆向系列之猿人学爬虫第11题-app抓取
安居客app端抓取数据包 分析数据包的签名 编写爬虫脚本
rocky的专栏
08-13 5649
为什么要这么蛋疼,要从app入手来爬虫 ? 网页的数据不是也可以爬吗?  对于少量数据的抓取,网页爬取是完全没问题的。 至少爬一个城市的房价信息是可以的。 但是,对于要抓取百万级数据量的爬虫安居客做了多重反爬策略,如果你没遇到,说明你的数据量不大。 安居客的反爬策略有 验证码, 封IP。 而IP被封后,尝试过使用代理IP去绕过,不过不知道为什么一直返回404, 不知到安居客用的什么
学习anjuke的过程
weixin_40306397的博客
06-06 587
anjuke ajk_sign的研究
安居客登录参数分析-安居客登录参数分析
03-12 451
这次逆向有两点新的东西浏览器的本地存储,还可以操作浏览器的数据库,对于调试工具中的Application板块有了解fiddler中间拦截,并替换文件Github。
安居客滑块js逆向 - 逻辑详解
活捉一只小菜鸟的博客
04-06 1857
注:本篇博客仅供学习使用,请勿用做其他商业用途,如有侵权,请联系本菜鸟 本菜鸟在最近的学习过程中又遇到了一个带有滑块的验证码,觉得有点意思,所以写这篇博客记录一下,对比而言,难度比某验和某盾的简单一丢丢 目标网址:aHR0cHM6Ly93d3cuYW5qdWtlLmNvbS9jYXB0Y2hhLXZlcmlmeS8/aGlzdG9yeT1hSFIwY0hNNkx5OWlhVzU2YUc5MUxtRnVhblZyWlM1amIyMHZZMjl0YlhWdWFYUjVMejltY205dFBXVnpabDlzY
【2022-02-08】小程序逆向安居客sig
骑毛驴的猴的博客
02-08 3491
文章信息请访问公众号:python爬虫和阿J的逆向 文章链接:https://mp.weixin.qq.com/s/h14xaALXJ21-yEi-h4BWmw
app逆向实战:某监管app2.0.5版本ROOT检测绕过
九月镇灵将的博客
08-05 871
app逆向实战:某监管app2.0.5版本ROOT检测绕过
APP逆向 day24unidbg上
m0_74824112的博客
03-04 1726
unidbg是一个Java开源项目,可以帮助我们去模拟一个安卓或IOS设备,用于去执行so文件中的算法,从而不需要再去逆向他内部的算法它是一个基于 unicorn 的逆向工具,可以直接调用Android和iOS中的 so 文件允许您模拟 Android native library 和 实验性的 iOS 模拟而在什么时候使用unidbg呢?
java8源码-MinimalistWeather-master:安居客
06-04
App ,目前还在开发中。项目基于 MVP 架构,采用各主流开源库实现。开发此项目主要是为展示各种开源库的使用方式以及 Android 项目的设计方案,并作为团队项目开发规范的一部分。 采用的开源库包括: RxJava ...
爬虫 APP 逆向 ---> 粉笔考研
freeking101的博客
07-26 2842
爬虫 APP 逆向 ---> 粉笔考研
安卓逆向--凤凰新闻app简单分析
Harden13_的博客
05-16 1392
声明 本文章中所有内容仅供学习交流,不可用于任何商业用途和非法用途,否则后果自负,如有侵权,请联系作者立即删除!由于本人水平有限,如有理解或者描述不准确的地方,还望各位大佬指教!! 抓包分析 今天我们要分析app是凤凰新闻,版本号7.46.0。这次分析涉及简单的so层,我也刚开始学so层,有很多不懂。 准备工具:抓包工具charles,一台真机或者模拟器,jadx和ida反编译工具。第一步进行抓包分析。通过抓包发现sn是加密的,st是13位时间戳,其他参数是用户标识和设备参数都是固定的。 反
App逆向-安卓环境搭建-LineageOS刷机指南
丁仔.的博客
08-10 4518
1. 引言 好的逆向从好的环境开始,因此带大家一起折腾下我们的手机。本篇文章目的:刷入LineageOS(简称LOS) 15.1系统、Root、安装Frida与Objection工具 为什么选择LOS 15.1系统?因为据大佬所说,它比原生系统多了一些功能,如网络调试、htop工具等。它的15.1版本是基于安卓8.1开发的,大佬们目前基本用的也是安卓8.1的系统。综上,我们选择这个系统来搞机,下面的步骤可能需要科学上网。 刷机前最好先了解下相关名词的概念,推荐看这篇文章《手把手教你搭建完美的Android搞
基于 Playwright 构建小型分布式爬虫(进阶版)
秋元的博客
04-27 255
项目特点说明架构简洁易扩展只需增加 Worker 数量即可横向扩展高效率Playwright 原生并发,MongoDB 批量写入优化易监控FastAPI 实现爬虫状态实时可视化可持续升级支持 Docker/Kafka/ES 等进一步大规模演进✅ 非常适合中小型互联网数据采集项目、舆情监控、商品价格监控、招聘信息采集等实际业务需求。
【含文档+PPT+源码】Python爬虫人口老龄化大数据分析平台的设计与实现
a66688_8的博客
04-27 402
项目介绍本课程演示的是一款Python爬虫人口老龄化大数据分析平台的设计与实现,主要针对计算机相关专业的正在做毕设的学生与需要项目实战练习的 Python学习者。1.包含:项目源码、项目文档、数据库脚本、软件工具等所有资料2.带你从零开始部署运行本套系统3.该项目附带的源码资料可作为毕设使用。
JS自动化获取网站信息开发说明
p6448777的博客
04-26 518
训练AI模型需要大量数据,自动化抓取能提供结构化数据集(如图像、文本、视频)。:自动化爬虫可以持续跟踪价格、新闻、股票等信息,帮助企业和个人快速做出决策。某些数据(如天气、交通、加密货币价格)需要实时更新,人工无法高效完成。:企业可以自动化抓取竞争对手的产品、价格、评论等信息,优化自身策略。:研究人员可以自动化抓取公开数据集、论文、专利等信息,加速研究进程。:政府和企业可以通过自动化抓取社交媒体、新闻网站等,了解公众舆论。:电商、金融等行业依赖数据抓取来分析竞争对手、行业趋势等。
【Python爬虫详解】第四篇:使用解析库提取网页数据——BeautifuSoup
Luck_ff的博客
04-23 1264
最流行的HTML解析库,使用简单,功能强大lxml:基于C语言的高性能库,支持HTML和XML解析PyQuery:类似jQuery的Python实现,适合熟悉jQuery的开发者本文将主要介绍BeautifulSoup,因为它对初学者最友好,同时功能也足够强大。通过本文,我们学习了如何使用BeautifulSoup从HTML中提取数据。选择合适的解析库:对于大多数情况,BeautifulSoup是一个很好的选择;对于更高性能需求,可以考虑直接使用lxml。使用有意义的选择器。
爬虫学习总结
a16675900046的博客
04-23 1239
网络爬虫就像是一个不知疲倦的 “数据搬运工”,它能按照预先设定的规则,自动在互联网上抓取各类信息。它通过向网页服务器发送请求,获取 HTML、JSON 等格式的数据,再解析提取出有用信息。要熟悉常见的请求方法,如 GET(获取资源)、POST(提交数据);了解请求头中的 User-Agent(标识客户端信息)、Cookie(维持会话状态)等字段的作用。Python 是爬虫学习的热门选择,因其简洁的语法和丰富的第三方库。三、爬虫核心技术学习:掌握数据抓取关键​。将抓取的数据存储到文件或数据库:​。
Python爬虫实战:获取豆ban网最新电影数据,为51观影做参考
ylfhpy的博客
04-23 274
在数字化浪潮下,网络电影信息海量且繁杂。五一假期是观影高峰期,对豆瓣网电影排行榜数据的分析有助于挖掘热门优质影片,节省用户时间精力,也利于电影博主在竞争激烈的网络环境中脱颖而出,提供更专业、针对性的服务。本研究致力于通过 Python 的 Scrapy 框架高效爬取豆瓣网电影排行榜数据,运用数据分析和机器学习技术处理挖掘数据,为五一观影用户提供个性化、精准的电影推荐,助力电影博主为用户提供更有价值的服务。考虑到五一假期的特点,推荐的电影应具有较高的观赏性和话题性,同时涵盖不同类型,以满足不同用户的需求。
猿人学web端爬虫攻防大赛赛题第19题——乌拉乌拉乌拉
最新发布
weixin_45091564的博客
04-27 117
库来模拟浏览器的tls指纹(在请求时指定 impersonate 关键字参数即可)python中可以通过安装。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值