APP登陆协议之Native层分析

最新推荐文章于 2024-06-19 02:24:33 发布
最新推荐文章于 2024-06-19 02:24:33 发布
阅读量4.7k 收藏 1
点赞数
分类专栏: android安全 文章标签: native 密码 加密 逆向 Des
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fasfaf454/article/details/51815399
版权

1、整体分析

首先登陆,抓包分析,如下:
其中密码为:123456
这里写图片描述

可以看到,对密码进行了加密。

2、加密算法java层分析

定位到java代码如下:

  protected void buildSignRequestParams(String paramString, HashMap<String, String> paramHashMap)
  {
    paramHashMap.put("username", this.a);
    try
    {
      this.b = GameCenterNative.DesCbcEncrypt(this.b);
      paramHashMap.put("password", this.b);
      paramHashMap.put("deviceIdentifier", gc.a().getUniqueID());
      paramHashMap.put("captcha", this.d);
      paramHashMap.put("captchaId", this.c);
      paramHashMap.put("info", "1");
      long l = gf.a().getDateline();
      paramHashMap.put("dateline", "" + l / 1000L);
      return;
    }
    catch (Error paramString)
    {
      for (;;)
      {
        paramString.printStackTrace();
      }
    }
  }

可以看到调用了GameCenterNative.DesCbcEncrypt对密码进行了加密,但是没有看到sign签名的计算过程。看下该类,如下:

public class jr extends SignDataProvider

继承自SignDataProvider类,来到该类,如下:

public void buildRequestParams(String paramString, RequestParams paramRequestParams)
  {
    HashMap localHashMap = new HashMap();
    buildSignRequestParams(paramString, localHashMap);
    paramString = new ArrayList(localHashMap.keySet());
    Collections.sort(paramString);
    StringBuilder localStringBuilder = new StringBuilder();
    int i = 0;
    while (i < paramString.size())
    {
      String str1 = (String)paramString.get(i);
      String str2 = (String)localHashMap.get(str1);
      if (!TextUtils.isEmpty(str2))
      {
        paramRequestParams.put(str1, str2);
        localStringBuilder.append(str2);
      }
      i += 1;
    }
    paramRequestParams.put("sign", buildSignValue(localStringBuilder.toString()));
  }

  public abstract void buildSignRequestParams(String paramString, HashMap<String, String> paramHashMap);

看到没有,里面有sign的签名算法,在计算sign之前,调用了子类的buildSignRequestParams方法。而sign签名算法为buildSignValue,如下:

protected String buildSignValue(String paramString)
  {
    try
    {
      paramString = GameCenterNative.getServerApi(paramString);
      return paramString;
    }
    catch (UnsatisfiedLinkError paramString)
    {
      paramString.printStackTrace();
    }
    return "";
  }

可以看到最终调用了GameCenterNative.getServerApi(paramString);

下面来看下上面提到的对密码加密的算法GameCenterNative.DesCbcEncrypt和对sign签名的算法GameCenterNative.getServerApi(paramString);如下:

public static final native String DesCbcEncrypt(String paramString);

public static final native String getServerApi(String paramString);

可以,看到这两个加密函数在native层进行了实现。
下面,我们跟进native层看看。

2、加密算法native层分析

用IDA打开so文件,看下导出函数,发现没有java_等函数,所有猜测,此处应该采用了动态注册。找到JJNI_OnLoad,如下
这里写图片描述

可以看到动态注册过程,看下注册数组,如下:
这里写图片描述

注册过程,就分析到此为止,下面继续分析,上面说的那两个加密函数。
1、DesCbcEncrypt()函数分析:

对应的汇编代码,如下
这里写图片描述

由于DesCbcEncrypt参数应为(JNIEnv *env, jobject jobj, jobject input),通过汇编代码可知,输入待加密的字符串放到类R1寄存器中

这里写图片描述

其中 COMMON_KEY为 “u!~#7@w0”
这里写图片描述

F5后的代码为:

int __fastcall des_encrypt(JNIEnv_ *a1, jobject obj, char *a3)
{
  JNIEnv_ *env; // r9@1
  char *commonkey; // r10@1
  int result; // r0@2
  const char *v6; // r0@3
  const char *v7; // r8@3
  signed int v8; // r0@4
  signed int v9; // r6@4
  int v10; // r5@5
  void *v11; // r0@7
  void *inputBuffer; // r7@7
  size_t v13; // r0@8
  void *v14; // r4@8
  void *v15; // r5@9
  int v16; // r4@10

  env = a1;
  commonkey = a3;
  if ( obj
    && (v6 = GetStringUnicodeChars(a1, obj, "utf-8"), (v7 = v6) != 0)
    && ((v8 = strlen(v6), v9 = v8, !(v8 << 29)) ? (v10 = v8 + 8) : (v10 = ((v8 + (v8 < 0 ? 7 : 0)) & 0xFFFFFFF8) + 8),
        (v11 = calloc(v10, 1u), (inputBuffer = v11) != 0)
     && (memset(v11, 8 - v9 % 8, v10),
         v13 = strlen(v7),
         memcpy(inputBuffer, v7, v13),
         v14 = calloc(v10 + 1, 1u),
         memset(v14, 0, v10 + 1),
         v14)
     && (crypt(inputBuffer, v14, v10, commonkey, 1),
         v15 = php_base64_encode(v14, v10, 0),
         free(v14),
         free(inputBuffer),
         free(v7),
         v15)) )
  {
    v16 = (env->functions->NewStringUTF)(env, v15);
    free(v15);
    result = v16;
  }
  else
  {
    result = 0;
  }
  return result;
}

下面来分析des_encrypt函数,流程为:
A、调用GetStringUnicodeChars以UTF-8得到输入的字符串,其中参数分别为R0 : JNIEnv_ * env , R1 : jobject input, char* utf-8
整理后,代码如下:

void *__fastcall GetStringUnicodeChars(JNIEnv_ *a1, jobject a2, char *a3)
{
  jobject obj; // r6@1
  JNIEnv_ *v4; // r4@1
  char *str; // r5@1
  jclass clazz; // r0@1
  jmethodID getBytes; // r7@1
  jstring inputStr; // r0@1
  int v9; // r6@1
  signed int v10; // r5@1
  const void *v11; // r8@1
  void *v12; // r7@2

  obj = a2;
  v4 = a1;
  str = a3;
  clazz = (a1->functions->FindClass)();
  getBytes = (v4->functions->GetMethodID)(v4, clazz, "getBytes", "(Ljava/lang/String;)[B");
  inputStr = (v4->functions->NewStringUTF)(v4, str);
  v9 = (v4->functions->CallObjectMethod)(v4, obj, getBytes, inputStr);
  v10 = (v4->functions->GetArrayLength)(v4, v9);
  v11 = (v4->functions->GetByteArrayElements)(v4, v9, 0);
  if ( v10 <= 0 )
  {
    v12 = 0;
  }
  else
  {
    v12 = malloc(v10 + 1);
    memcpy(v12, v11, v10);
    *(v12 + v10) = 0;
  }
  (v4->functions->ReleaseByteArrayElements)(v4, v9, v11, 0);
  return v12;
}

B、调用crypt进行加密,整理后的代码如下:

int __fastcall crypt(char *input, int a2, int a3, char *commonkey, int a5)
{
  char *key; // r6@1
  char *inputStr; // r9@1
  int encodeBuffer; // r8@1
  int inputStrLen; // r7@1
  size_t keyLength; // r0@1
  int result; // r0@1
  char keySchedule; // [sp+Ch] [bp-B4h]@1
  char keyEncrypt; // [sp+8Ch] [bp-34h]@1
  int ivec; // [sp+94h] [bp-2Ch]@1
  signed int v14; // [sp+98h] [bp-28h]@1
  int v15; // [sp+9Ch] [bp-24h]@1

  key = commonkey;
  inputStr = input;
  encodeBuffer = a2;
  inputStrLen = a3;
  v15 = _stack_chk_guard;
  keyLength = strlen(commonkey);
  memcpy(&keyEncrypt, key, keyLength);
  DES_set_key_unchecked(&keyEncrypt, &keySchedule);
  ivec = 2018915346;
  v14 = -271733872;
  result = DES_ncbc_encrypt(inputStr, encodeBuffer, inputStrLen, &keySchedule, &ivec, a5);
  if ( v15 != _stack_chk_guard )
    _stack_chk_fail(result);
  return result;
}

可以看到采用类openssl库进行的加密。
C、用php_base64_encode对加密后字符串进行base64加密,参数为R0 : DES加密后的字符串,R1 : 字符串长度 R3: 0

_BYTE *__fastcall php_base64_encode(char *DESencodeStr, signed int strLength, _DWORD *a3)
{
  char *v3; // r5@1
  signed int v4; // r6@1
  _DWORD *v5; // r7@1
  _BYTE *result; // r0@2
  _BYTE *i; // r4@2
  _BYTE *v8; // r3@5
  unsigned int v9; // r3@6
  char *v10; // r12@6
  unsigned int v11; // r3@6
  char v12; // r1@6
  char *v13; // r12@6
  unsigned int v14; // r3@6
  char v15; // r1@6
  unsigned int v16; // r12@8
  unsigned int v17; // r2@8
  int v18; // r12@8
  unsigned int v19; // r5@9
  char v20; // r1@9

  v3 = DESencodeStr;
  v4 = strLength;
  v5 = a3;
  if ( (strLength + 2 < 0) ^ __OFADD__(strLength, 2) )
  {
    result = 0;
    if ( a3 )
      *a3 = 0;
    else
      result = 0;
  }
  else
  {
    result = malloc(4 * ((strLength + 2) / 3) + 1);
    for ( i = result; ; *(i - 1) = v14 )
    {
      v8 = i;
      if ( v4 <= 2 )
        break;
      v9 = *v3;
      v4 -= 3;
      v3 += 3;
      i += 4;
      v10 = &aAbcdefghijklmn[16 * (v9 & 3)];
      *(i - 4) = aAbcdefghijklmn[v9 >> 2];
      v11 = *(v3 - 2);
      v12 = v10[v11 >> 4];
      v13 = &aAbcdefghijklmn[4 * (v11 & 0xF)];
      *(i - 3) = v12;
      v14 = *(v3 - 1);
      v15 = v13[v14 >> 6];
      LOBYTE(v14) = aAbcdefghijklmn[v14 & 0x3F];
      *(i - 2) = v15;
    }
    if ( v4 )
    {
      v16 = *v3;
      v17 = v16 >> 2;
      v18 = v16 & 3;
      *i = aAbcdefghijklmn[v17];
      if ( v4 == 2 )
      {
        v19 = v3[1];
        v8 = i + 4;
        i[3] = 61;
        v20 = aAbcdefghijklmn[4 * (v19 & 0xF)];
        i[1] = *(&aAbcdefghijklmn[16 * v18] + (v19 >> 4));
        i[2] = v20;
      }
      else
      {
        v8 = i + 4;
        i[1] = aAbcdefghijklmn[16 * v18];
        i[2] = 61;
        i[3] = 61;
      }
    }
    if ( v5 )
      *v5 = v8 - result;
    *v8 = 0;
  }
  return result;
}

2、getServerApi()函数分析:
汇编代码如下:
这里写图片描述

待加密的参数传递到了R1寄存器
这里写图片描述

可以看到采用了MD5加密,MD5_SERVER_KEY为”ef2vx#sf*^FlklSD*9sdf(m$&qw%d7po”
进行分析:
分析之前,需要说明下,IDA有时识别不正确,如下:
这里写图片描述

才是,可以右键 强制转换
这里写图片描述
可以得到
这里写图片描述

在介绍完技巧后,下面开始分析 md5_string函数,整理后代码如下:

char *__fastcall md5_string(JNIEnv_ *a1, char *input, const char *key)
{
  const char *commonkey; // r7@1
  JNIEnv_ *env; // r5@1
  char *inputStr; // r9@1
  const char *v6; // r6@2
  size_t v7; // r4@4
  size_t v8; // r0@4
  char *v9; // r4@4
  size_t v10; // r0@5
  size_t v11; // r0@7
  int v12; // r8@7
  int v13; // r3@8
  char *result; // r0@11
  char v15[16]; // [sp+8h] [bp-B8h]@7
  char s; // [sp+18h] [bp-A8h]@7
  char v17; // [sp+3Ch] [bp-84h]@7
  int v18; // [sp+94h] [bp-2Ch]@1

  commonkey = key;
  env = a1;
  inputStr = input;
  v18 = _stack_chk_guard;
  if ( input )
    v6 = a1->functions->GetStringUTFChars(&a1->functions, input, 0);
  else
    v6 = &unk_DA24;
  v7 = strlen(v6);
  v8 = strlen(commonkey);
  v9 = calloc(v8 + v7 + 2, 1u);
  if ( v9 )
  {
    v10 = strlen(v6);
    strncpy(v9, v6, v10 + 1);
    if ( commonkey )
      strcat(v9, commonkey);
    memset(&s, 0, 33u);
    memset(&v17, 0, 0x58u);
    MD5Init(&v17);
    v11 = strlen(v9);
    MD5Update(&v17, v9, v11);
    memset(v15, 0, 0x10u);
    v12 = 0;
    MD5Final(v15, &v17);
    do
    {
      v13 = v15[v12++];
      sprintf(&s, "%s%02x", &s, v13);
    }
    while ( v12 != 16 );
    free(v9);
    if ( inputStr )
      (env->functions->ReleaseStringUTFChars)(env, inputStr, v6);
    result = (env->functions->NewStringUTF)(env, &s);
  }
  else
  {
    result = inputStr;
  }
  if ( v18 != _stack_chk_guard )
    _stack_chk_fail(result);
  return result;
}

代码比较好理解,主要采用类openssl库,并把传入的钥匙作为盐,进行了加密。

好了,分析到此结束吧!

csky6688
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
app安卓逆向native代码静态分析基础
weixin_43900244的博客
06-24 4455
app安卓逆向Native代码静态分析基础Native代码静态分析1.背景分析2.概述3.开始3.1 ARM指令3.2 IDA基本使用方法3.3 Java调用Native方法原理3.4 Native代码的修改3.5 So文件替换4.总结 Native代码静态分析 1.背景分析 在安卓逆向的过程当中会遇到以下场景 经过上一阶段的Java代码静态分析以及动态调试,发现加密参数的生成方法调用了Native方法 经过对Native代码分析后修改对应代码,替换原so文件发现app运行异常 针对
逆向某安卓游戏native登录协议的过程记录
qq_34182649的博客
07-12 838
用到工具:(HOOK看参数) +(模拟) + ida(静态分析)+ charles(抓包)
Android基础进阶 - 消息机制 之Native分析
最新发布
2401_85766992的博客
06-19 580
用于执行对需要监听的文件描述符(fd)的操作,比如EPOLL_CTL_ADDfd:需要监听的文件描述符;epoll_event:需要监听的事件** epoll_wait:等待事件的到来**等待事件的到来,有三种情况会触发返回** epoll和eventfd结合使用**eventfd中无数据,线程触发epoll_wait()的等待,该线程处于阻塞,另外一个线程通过往eventfd中write数据,使描述符可读,epoll返回,这就达到了唤醒的目的。
最近做的h5和Native交互协议
dayuqi的专栏
12-13 1200
为了js 比较 优雅地 和iOS和Android做交互。设计此文档。 基本协议 iOS通过Javascript Core注入appHandler方法。此方法只有一个参数 String. 所有的H5调用Native 都走这个方法。     iOS swift : func appHandler(_  jsonString:String) ;   java  类似 : publ
BitLocker驱动器加密使用
史凯力
12-31 4219
Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。 BitLocker使用TPM帮助保护Windows操作系统和用户数据,并帮助确保计算机即使在无人参与、 丢失或被盗的情况下也不会被篡改。小小驿站网这里给大家介绍一下使用方法。 这种加密重启电脑以后第一次打开盘符需要输入密码 1、控制面板 2、打开Windows BitLocker驱动器加密 3、打开BitLocker —— 选择需要加密的盘符。 4、设置密码 5、密钥保存方式以
JSBridge协议实现原生Native、Web双向通信
GB1183710114的博客
12-22 772
JSBridge是什么?Web端调用Native端,Native端调用Web端,Native端和Web端双向通信
app开发之React Native教程合集.zip_zipapp lite
01-10
在"app开发之React Native教程合集.zip"中,包含了一系列关于使用React Native进行APP开发的资料,旨在帮助开发者快速理解和掌握这一技术。 1. **React Native与Android开发**: "React Native 下的 Android 开发....
ReactNative 仿网易新闻APP
11-02
"ReactNative 仿网易新闻APP"项目是基于这个框架实现的一个示例,旨在展示如何运用ReactNative技术构建一个类似网易新闻的应用程序。 该项目包含以下核心知识点: 1. **React组件化**:ReactNative沿用了React.js...
React Native以及Redux项目教学高质量App
12-09
一整套rn教学,控件内容...课程中老师会手把手带你开发并打包上线一款完整的跨平台App;让你拥有一次真正参与上线项目开发的历程,同时全面掌握React Native核心技术,让你的技术能力和项目经验都得到前所未有的提升!
WebAppNativeApp不是生死之争,而是可以和平共处!
03-03
关于WebAppNativeApp之争总是不绝于耳,本文作者则认为HTML5的WebAppNativeApp谁都不会干死谁,它们将和平共处,各自发挥各自的强项,让整个互联网更美好。一直以来,关于WebAppNativeApp之争总是不绝于耳,...
APP协议分析心得.docx
07-23
抓包工具是APP协议分析的基础工具之一。常见的抓包工具包括Charles、Fiddler等。这些工具可以截获APP与服务器之间的数据交换,帮助我们了解APP的通信协议。 2. 反汇编工具 反汇编工具是APP协议分析的另一个基础...
使用native方法实现加密解密
11-08
参考博客http://m.blog.csdn.net/article/details?id=52174062
flightgear基于udp传输native_fdm协议的配置说明
12-04
从网上下完get和set程序之后是不能够直接用的,需要按照要求配置一下native协议,这样flightgear才能够通过udp收发数据,网上关于flightgear的资料特别少,我也是搞了好几天才弄明白协议怎么配置,都在文档里啦
APP登陆协议分析
csky的博客
07-03 5337
1、前言最近暴雨不断,只能宅在家里,闲来无事,写写文章2、整体分析通过抓包工具,简单看看登陆封包内容,如下: 其中密码为123456 登陆,封包如下: 居然是明文传输密码和账号,不止如此,传输居然采用http,看到这,这款企业级的app安全性,可以想象,根本毫无安全可言。另外,可以看到封包最后有个签名sign,如果我们把sign算法搞定,那岂不是,可以写自动注册机了。3、登陆签名算法分析搜索”
app通过什么协议与服务器连接,app客户端与服务器端通过什么连接
weixin_36304087的博客
08-06 1124
app客户端与服务器端通过什么连接 内容精选换一换GaussDB(DWS) 支持SSL认证方式的连接,以加密GaussDB(DWS) 客户端与数据库之间传输的数据。SSL连接方式的安全性高于普通模式,集群默认开启SSL功能允许来自客户端的SSL连接或非SSL连接,从安全性考虑,建议用户在客户端使用SSL连接方式。如果要强制使用SSL连接,需要为集群开启服务器端是否强制使用SSL连接。在集本章节以L...
安卓 native加密(md5,base64和sha256)
Yui_Hatano的博客
05-12 1645
最近在做android native layer的三种加密代码书写,可惜我的c和c ++实现太烂,只能去github上找找资源,md5和base64的加密比较简单,自己梳理了一下,完美运行起来了。就是sha256实现起来有点烦,折腾了好几天,找了一个只能在32位的android机子上运行起来,64位机子就出现了问题,故舍弃,最后黄天不负有心人,终于解决了sha256的问题。以下是cmake编译的配...
密码学 | RC4算法Native分析
爬虫进击之路
09-02 658
RC4的特征看起来不是很明显,密钥流的产生过程及异或运算的特征来确定是否是RC4,当然,因为RC4属于流加密,所以也可以把明文的长度和加密后的长度是否相等作为入手点。
APP之---协议登录---获取登录之后的校验参数
一起学习哈
07-18 153
某平台登录以及获取登录后认证参数
某运动APP的登录协议分析
q2919761440的博客
08-10 344
最近在尝试逆向方向相关的探索,针对某款运动APP的登录协议进行了分析,此文记录一下分析过程与结果,仅供学习研究,使用的工具较少,内容也比较简单,新手项,大佬请跳过。针对密码登录模块进行分析,随便输入一个手机号与密码,后续使用抓包工具分析,针对登录协议的几个字段从学习角度还是值得看下实现逻辑的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值