whatsapp登陆协议分析记录

已于 2024-01-03 16:07:48 修改
阅读量2.8k 收藏 28
点赞数 21
文章标签: android 安全
于 2024-01-03 15:40:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wakiller/article/details/135359312
版权

本次研究的平台为安卓,版本号为2.23.24.74
用到了以下工具和技术

  • JADX
  • JEB
  • IDA PRO
  • Frida
  • HttpCanary

抓包

首先安装好HttpCanary后,对其进行抓包,发现主要是这两个请求在这里插入图片描述

其中reg_onboard_abprop接口根据其返回内容以及接口名称大致可以推测应该是拉取服务器的一些abtest数据的,可以先暂时忽略。接下来重点分析exist接口
在这里插入图片描述
可以看到这是一个Get请求,主要的参数为ENC字段,但是该字段是加密的,要想得到加密前的参数以及加密算法,还需要对其apk文件进行逆向分析

jadx分析

首先要找到其按钮点击事件,通过开发助手app的布局查看功能,可以很快定位到其按钮ID为0x7f0b15cd在这里插入图片描述
通过在jadx里搜索该资源内容,可以很快定位到其事件点击函数在X.50h#A04方法的case33逻辑里
在这里插入图片描述
可以发现里面都是在进行一些手机状态检测以及参数的校验逻辑,如果输入的内容校验通过的话,内层的switch会走到case1的逻辑。在case1的里面依然是在进行一些逻辑校验,最终会走到X.52O#A06逻辑里面,结合该类里面的注释,我们可以推测该类混淆前的类名为RegistrationHttpManager
继续分析A06方法,可以看到其首先会拉取abprop数据,拉取数据的方法在JniBridge的public static native long jvidispatchIOOOO(int i, Object obj, Object obj2, Object obj3, Object obj4);方法里,由于这个接口不是重点,先不分析该接口,我们继续往下看。
拉取到abprops数据后,其会把它存到sharedPrefences里,然后会走到 C5T5 A01 = registrationHttpManager2.A01(jsonObjWithAttemp, str8, str7, A00, str9, jSONObject, acquireClientCapabilities);
这个方法里最终会通过一个jni调用 JniBridge.jvidispatchIOOOOOOOOOO(0, phoneCcc, str8, A03, domainList, wamsysRegistrationWrapper, bArr3, bArr4, bArr5, bArr6, A0u);来完成参数的组装
在这里插入图片描述
由于该方法是一个jni方法,需要借助IDA来进行分析,我们先用frida对该方法进行Hook,查看一下该方法的参数

Java.perform(() => {
    let C8Z6 = Java.use("X.8Z6");
    let JniBridge = Java.use("com.whatsapp.wamsys.JniBridge");
    JniBridge["jvidispatchIOOOOOOOOOO"].implementation = function (i, obj, obj2, obj3, obj4, obj5, obj6, obj7, obj8, obj9, obj10) {
        console.log(`JniBridge.jvidispatchIOOOOOOOOOO is called: i=${i}, obj=${obj}, obj2=${obj2}, obj3=${obj3}, obj4=${obj4}, obj5=${obj5}, obj6=${obj6}, obj7=${obj7}, obj8=${obj8}, obj9=${obj9}, obj10=${obj10}`);
        let result = this["jvidispatchIOOOOOOOOOO"](i, obj, obj2, obj3, obj4, obj5, obj6, obj7, obj8, obj9, obj10);
        console.log(`JniBridge.jvidispatchIOOOOOOOOOO result=${result}`);
        return result;
    };
})

得到以下结果

JniBridge.jvidispatchIOOOOOOOOOO is called: i=0, obj=86, obj2=13511111111, obj3=2b8e0b5b-e155-440d-b812-bb753cbde5f3, obj4=[amazon https://y9yrsygcg6.execute-api.us-east-1.amazonaws.com/s/s?={PATH}&{QS} y9yrsygcg6.execute-api.us-east-1.amazonaws.com, google https://google.com/s?={PATH}&{QS} us-central1-propane-fusion-170222.cloudfunctions.net, google https://google.com.sa/s?={PATH}&{QS} us-central1-propane-fusion-170222.cloudfunctions.net, google https://google.com.br/s?={PATH}&{QS} us-central1-propane-fusion-170222.cloudfunctions.net, google https://google.com.my/s?={PATH}&{QS} us-central1-propane-fusion-170222.cloudfunctions.net, google https://google.com.et/s?={PATH}&{QS} us-central1-propane-fusion-170222.cloudfunctions.net, google https://google.com.om/s?={PATH}&{QS} us-central1-propane-fusion-170222.cloudfunctions.net, google https://google.co.in/s?={PATH}&{QS} us-central1-propane-fusion-170222.cloudfunctions.net, google https://google.co.zw/s?={PATH}&{QS} us-central1-propane-fusion-170222.cloudfunctions.net, google https://google.ru/s?={PATH}&{QS} us-central1-propane-fusion-170222.cloudfunctions.net, google https://google.ae/s?_={PATH}&{QS} us-central1-propane-fusion-170222.cloudfunctions.net], obj5=X.6Ex@a41a814, obj6=[B@2a2d8bd, obj7=[B@c8e0eb2, obj8=null, obj9=null, obj10={airplane_mode_type=[B@a2ae03, sim_operator_name=[B@f9b3180, pid=[B@72943b9, cellular_strength=[B@94a63fe, device_name=[B@398275f, mistyped=[B@641e5ac, read_phone_permission_granted=[B@d116275, roaming_type=[B@7e4c20a, network_operator_name=[B@d41da7b, feo2_query_status=[B@bbdb098, push_token=[B@922b0f1, device_ram=[B@114f4d6, offline_ab=[B@c09a357, network_radio_type=[B@c293e44, hasinrc=[B@b206b2d, sim_type=[B@f438862, language_selector_time_spent=[B@11b1df3, backup_token_error=[B@89dfab0, sim_state=[B@1c58d29, token=[B@8d5c8ae, language_selector_clicked_count=[B@abfa64f, gpia=[B@86011dc, rc=[B@280d2e5, client_metrics=[B@339c1ba, gpia_token=[B@87a586b, simnum=[B@ca6fc8}
JniBridge.jvidispatchIOOOOOOOOOO result=0

可以看到传递的参数与exist接口的参数内容非常接近,进一步确认了该函数就是接口参数生产的函数。

JNI函数分析

  1. 首先要找到该函数对应的so文件,对apk进行解包后发现其里面只有三个so文件
    在这里插入图片描述
    这里面的文件很明显跟加解秘没太大的关系,猜测该app应该是第一次打开时从网络上下载so文件,最终在其data目录下找到了libwhatsapp.so文件,通过对其动态加载过程进行分析,发现其绑定的函数在0x323fd4地址上
    在这里插入图片描述
  2. 找到对应so文件函数后,开始对该函数进行分析。前面的操作都是去对参数进行一些简单的处理,最终这些处理的参数会走到sub_439A34里面
    在这里插入图片描述

分析可得该函数最终会调用sub_43B900函数在这里插入图片描述
该函数首先会生产url里的参数,然后对该参数进行加密,这里面有个v11变量,如果是exist接口,该变量为true,如果是code接口,该变量为false。由于本次分析exist接口,我们进入first_req_43B800函数,经过层层分析,我们发现了会在里面调用cal_aggrement_39E110函数进行curve25519密钥对的生成,到这里已经快到突破口了,接下来对其进行Hook


//  sub_43B9EC
Java.perform(function () {
    let hook_lib = "libwhatsapp.so"
    hook_cal_agrement()
});


function hook_cal_agrement(){
     let nativePointer = Module.findBaseAddress("libwhatsapp.so");
    console.log(nativePointer)
    var jniEntryAddress = 0x337F24
    nativePointer = nativePointer.add(jniEntryAddress)

    Interceptor.attach(nativePointer, {
        onEnter: function (args) {
            try {
                console.log("私钥",hexdump(args[1]))
            } catch (e) {
                console.log(e)
            }

        },
        onLeave: function (retval) {
            try {
                console.log("-------------------------\n\n\n")
            }catch (e) {
                console.log(e)
            }
        }
    })
}

解密参数

通过上一步frida hook的私钥与whatsapp的公钥可以计算出用于请求加密的AESKey,对请求参数进行解码可得原始请求参数
在这里插入图片描述
有了这些参数,通过查看java代码可以逐一确定其生成方式

总结

这次分析还是挺耗费时间的,里面的调用链路还是很复杂的,有些参数的具体含义还是没有太搞懂,欢迎大家一起交流

wakiller
关注
  • 21
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 14
    评论
Whatsapp传输协议调研
NewDataEdu的博客
04-24 2881
Whatsapp传输协议调研 授权多个设备使用同一Whatsapp账户对于facebook来说,因为涉及端对端加密方式的改变,也是一个难题。 whatsapp的每次心跳断后重新签到声明在线,来保持会话。对于whatsapp来说,由于保护隐私考虑,服务器不保存用户传输的数据,因此只传输一次确认收到的消息。 我能想到有这几个方案: 源客户端A,适用钛备份克隆的客户端叫B,拦截A客户端的已读回执,...
python-whatsappy:用于连接WhatsApp聊天协议的非官方Python API(不建议使用)
05-16
python-whatsappy 用于与WhatsApp聊天协议连接的非官方Python API。 安装 克隆此存储库,然后通过python setup.py install 。 用法 该API是回调驱动的,易于使用。 它与WhatsApp协议的1.5版接口。 您应该提供自己的号码和机密,可以从真实电话中截获。 下面提供了示例代码。 它注册三个回调。 import whatsappy # Create instance client = whatsappy.Client(number=<number>, secret=<secret>, nickname=<nickname>) # Callbacks handlers def on_message(node): message = node.child("body").data sender = node["fro
最新whatsapp协议api接口
weixin_56449722的博客
08-10 1486
Whatsapp消息发送给所有联系人(即使他们没有保存在您的地址簿中!3.将Whatsapp消息发送给联系人即使他们没有保存在您的地址簿中。从Whatsapp小组获取联系人,发送日志,定期发送,数字过滤等…4.自动创建多个邮件变种发送给所有联系人,避免垃圾邮件或禁止。从CSV,TXT文件或通过复制和粘贴导入所有收件人(联系人)whatsapp协议 whatsapp接口api。2.手动或从文件导入联系人(CSV或TXT)1.创建并发送自定义消息(带有收件人姓名)5.创建和发送Whatsapp消息。
whatsApp机器人,发消息,收消息
最新发布
傅恒的博客
05-09 294
whatsApp机器人 发消息, 收消息
WhatsApp群发私信协议实现记录(一)
m0_57428073的博客
12-15 1322
不过看网上资料其实有点尴尬,刚开始不知道的时候看也看不懂,各种密钥概念,加密过程直接绕晕了,等开始分析app,能看懂的时候,发现也搞完了,回过头来看,确实上面写的(特别是白皮书)都是对的,只是初始不了解的时候理解不了,毕竟上面文章不是实操流程。客户端跟服务器有一个加密方式AES-256-GCM,每个包的加密IV都不同,如果发送的数据包是私信内容的,那里面的私信内容是第二层的加密(aes-256-cbc),这一层的数据因为key的生成用到了对方的公钥做DH得到,
whatsapp分析:一个用于分析Whatsapp聊天的小工具
02-25
whatsapp分析 分析Whatsapp聊天的小工具
Whatsapp 相关(八) -枚举类和方法
热门推荐
赵航的博客
01-30 2万+
本文主要以whatsapp为例,讲述下frida 如何枚举所有的类以及类的所有方法.
whatsapp协议简单分析
bestfor115的专栏
04-01 1万+
whatsapp主要采用XMPP协议来做数据包组织。那么从XMPP的几个要点来分析whatsapp协议。 1、出席 出席通知其他实体的网络可用性,并且使你能够知道其他实体是否在线和可用于通讯。 它是一个在互联网上沟通和合作的催化剂,因为人们更容易与你交流,如果他们知道你是否在线。 只有通过你授权的人才能看到你是否在线。这个授权被称为出席订阅(presence subscription) 订阅...
Whatsapp协议讲解
weixin_65409651的博客
01-12 857
Whatsapp协议
WhatsApp私信协议实现记录
xwtwhonew的博客
09-15 3477
所以刚开始分析的时候,为了简单,就是在app会话建立的基础上分析的,这样只用hook拿到当前的消息的Message Key,就可以计算出指定消息序号的Message Key,直接加密信息发送就可以了。不过看这些资料其实有点尴尬,刚开始不知道的时候,看这些也看不懂,各种密钥概念,加密过程直接绕晕了,等开始分析app,能看懂的时候,私信消息的发送,有个会话的概念,双方建立端对端通信需要建立一个会话,就是构造约定好密钥,建立会话后,双方就可以保存这个相关环境参数,直接按。
whatsapp协议分析api
q2757849201的博客
02-22 3762
Whatsappapi 一、登录注册 登录 发送验证码 效验短信验证码 查询是否封号 获取版本号 查询是否封号(商业版) 发送验证码(商业版) 效验短信验证码(商业版) 退出登录 设置代理 二、消息 发送文本消息 群发任务 发送图片 下载消息数据 发送语音消息 发送视频 三、群相关 创建群聊 获取群链接 添加群成员 设置群管理 退出群组 获取所有群成员 通过code加入群聊 四、用户相关 设置头像 获取头像 同步通讯录 设置状态 获
whatsapp-clone
05-05
Create React App入门 该项目是通过引导的。 可用脚本 在项目目录中,可以运行: npm start 在开发模式下运行应用程序。 打开在浏览器中查看它。 如果您进行编辑,则页面将重新加载。 您还将在控制台中看到任何棉绒错误。 npm test 在交互式监视模式下启动测试运行器。 有关更多信息,请参见关于的部分。 npm run build 构建生产到应用程序build文件夹。 它在生产模式下正确捆绑了React,并优化了构建以获得最佳性能。 生成被最小化,并且文件名包括哈希值。 您的应用已准备好进行部署! 有关更多信息,请参见关于的部分。 npm run eject 注意:这是单向操作。 eject ,您将无法返回! 如果您对构建工具和配置选择不满意,则可以随时eject 。 此命令将从您的项目中删除单个生成依赖项。 相反,它将所有配置文件和传递依赖项(we
WhatsApp聊天记录导出 Cok WhatsApp Recovery v3.0
10-15
Cok WhatsApp Recovery是网上优质一款WhatsApp聊天记录导出查看及恢复的软件,虽然软件界面为英文,但其实是由国内的楼月软件所开发。如果在使用过程中,有任何问题的话,可以在网上搜
Android手机中WhatsApp的取证分析-研究论文
05-20
WhatsApp是广为人知的社交媒体平台之一。 它具有聊天,通话,视频通话,彩信... 在这篇研究论文中,我们建议使用各种取证工具来分析WhatsApp数据库的伪像,并比较工具的效率,即哪种工具能够重建WhatsApp数据库的年表。
WhatsApp-Analyzer:分析Whatsapp聊天
05-06
WhatsApp分析分析Whatsapp聊天 该脚本读取导出的whatsapp聊天,然后提取数据。 您可能需要先安装一些软件包,然后才能运行它。 支持的分析 聊天数 聊天头像 会员/发件人等级 网站/ URL /链接域名排名 字数和排名 ...
WhatSoup:导出您整个WhatsApp聊天记录的网络抓取工具
05-18
导出您整个WhatsApp聊天记录的网络抓取工具。 目录 概述 问题 导出限制为最多40,000条消息 导出通过将整个消息替换为而不是例如<Media> My favorite selfie of us :smiling_cat_with_heart-eyes::dog_face::selfie:...
python-whatsappy__用于与WhatsApp聊天协议连接的非官方Python API
06-20
python-whatsappy__用于与WhatsApp聊天协议连接的非官方Python API。__安装__克隆此存储库,然后通过python setup.py install 。__用法__该API是回调驱动的,易于使用。 它与WhatsApp协议的1.5版接口。 您应该提供...
whatsapp协议简单分析之-端对端加密
bestfor115的专栏
04-01 6622
whatsapp主要使用了libsignal这个端对端加密算法。 一、基础概念 PreKey 该协议使用称为“ PreKeys”的概念。PreKey是由服务器存储在一起的ECPublicKey和关联的唯一ID。PreKeys也可以签名。 在安装时,客户端会生成单个已签名的PreKey以及大量未签名的PreKey,并将它们全部传输到服务器。 Sessions 信号协议是面向会话的。客户端...
voip通信协议或应用
06-09
VoIP(Voice over Internet Protocol)通信协议是一种通过互联网传输语音、视频和数据的通信协议,常见的VoIP通信协议或应用包括: 1. SIP(Session Initiation Protocol):一种用于建立、修改和终止网络会话的通信协议,常用于VoIP电话、视频会议和即时通讯系统。 2. H.323:一种多媒体通信协议,主要用于视频会议和语音通信。 3. Skype:一种基于P2P架构的VoIP通信应用,支持语音通话、视频通话和即时通讯功能。 4. WhatsApp:一种基于互联网的即时通讯应用,支持语音通话和视频通话功能。 5. WeChat:一种流行的即时通讯应用,支持语音通话、视频通话和网络电话功能。 这些VoIP通信协议或应用都可以实现低成本、高质量的语音、视频通信和即时通讯功能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值