某站平台的签名算法分享

于 2024-02-03 01:01:54 发布
阅读量889 收藏 5
点赞数 23
分类专栏: 逆向开发 编程技术 文章标签: 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wei_java144/article/details/136003157
版权

  • 先charles抓包,api.xxxxxx.com域名的包

  • 分析包 看到路径参数如下

  • appkey=1d8b6e7d45233436&build=5531000&channel=dw056&mobi_app=android&mode=0&oid=326052200&plat=2&platform=android&ps=20&statistics=%7B%22appId%22%3A1%2C%22platform%22%3A3%2C%22version%22%3A%225.53.1%22%2C%22abtest%22%3A%22%22%7D&ts=1705305495&type=1&sign=2c9086d4acc853a017ec087699902634
    可以看到一个sign,是个32字符,128位,直觉告诉我可能是个md5签名

  • 然后用jadx打开xxx.apk包,全局搜索sign字符串,在众多函数方法中,找到一个SignedQuery函数,跟进去看,发现又个loadLibrary(xxx),那么直接告诉我是在一个so里

  • 用apktool把xxx.apk decode出来,拿到libxxx.so

  • 用ida打开该libxxx.so,直接看JNI_OnLoad函数,找到这一行

    if ( (*v5)->RegisterNatives(v5, v4, (const JNINativeMethod *)&register_native_struct, 5) < 0

  • register_native_struct跟进去

 

  • 每个函数进去看下,有惊喜,确实是个md5算法,找到 md5_impl,跟进去看看算法参数

    1

    2

    3

    4

    5

    6

    7

    8

    9

    10

    11

    12

    13

    14

    15

    16

    17

    18

    19

    20

    21

    22

    23

    24

    25

    26

    27

    28

    29

    30

    31

    32

    33

    34

    35

    36

    37

    38

    39

    40

    41

    42

    43

    44

    45

    46

    47

    48

    49

    50

    51

    52

    53

    54

    55

    56

    57

    58

    59

    60

    61

    62

    63

    64

    65

    66

    67

    68

    69

    70

    71

    72

    73

    74

    75

    76

    77

    78

    79

    80

    81

    82

    83

    84

    85

    86

    87

    88

    89

    90

    91

    92

    93

    94

    95

    96

    97

    98

    99

    100

    101

    102

    103

    104

    105

    106

    107

    108

    109

    110

    111

    112

    113

    114

    115

    116

    117

    118

    119

    120

    121

    122

    123

    124

    125

    126

    127

    128

    129

    130

    131

    132

    133

    134

    135

    136

    137

    138

    139

    140

    141

    142

    143

    144

    145

    146

    147

    148

    149

    150

    151

    152

    153

    154

    155

    156

    157

    158

    159

    160

    161

    162

    163

    164

    165

    166

    167

    168

    int __fastcall md5_impl(JNIEnv *a1, jobject (*a2)(JNIEnv *, jclass, jmethodID, ...))

    {

    JNIEnv *v2; // r11

    jobject (*v3)(JNIEnv *, jclass, jmethodID, ...); // r6

    const char *v4; // r2

    const char *v5; // r1

    int result; // r0

    int v7; // r0

    JNIEnv v8; // r1

    int v9; // r0

    int v10; // r4

    int v11; // r0

    int v12; // r10

    signed int v13; // r9

    int v14; // r5

    int v15; // r8

    time_t v16; // r0

    int v17; // r6

    int v18; // r5

    const char *input_str; // r8

    _DWORD *v20; // r10

    int v21; // r4

    _DWORD *v22; // r0

    int v23; // r1

    int v24; // r2

    int v25; // r0

    unsigned int input_len; // r5

    signed int v27; // r4

    char *v28; // r5

    int v29; // r4

    const char *v30; // [sp+8h] [bp-C0h]

    int v31; // [sp+8h] [bp-C0h]

    int v32; // [sp+Ch] [bp-BCh]

    char v33; // [sp+10h] [bp-B8h]

    int s; // [sp+38h] [bp-90h]

    int v35; // [sp+3Ch] [bp-8Ch]

    int v36; // [sp+40h] [bp-88h]

    int v37; // [sp+44h] [bp-84h]

    char v38[24]; // [sp+90h] [bp-38h]

    int v39; // [sp+A8h] [bp-20h]

    v2 = a1;

    v3 = a2;

    if ( !sub_2D20((int)a1) )

    goto LABEL_5;

    v4 = "com.xxxxxxxx.nativelibrary.SignedQuery";

    v5 = "java/lang/ClassNotFoundException";

    LABEL_3:

    sub_401C((int)v2, (int)v5, (int)v4);

    result = 0;

    while ( _stack_chk_guard != v39 )

    {

    LABEL_5:

    if ( !v3 )

    {

      v5 = "java/lang/NullPointerException";

      v4 = "Null params!";

      goto LABEL_3;

    }

    v7 = is_empty(v2, (int)v3);

    v8 = *v2;

    if ( v7 )

    {

      v3 = v8->NewObject;

      result = ((int (__fastcall *)(JNIEnv *, int, int, _DWORD, _DWORD))v3)(

                 v2,

                 cls_signed_query,

                 signed_query_init,

                 0,

                 0);

    }

    else

    {

      v9 = ((int (__fastcall *)(JNIEnv *, const char *))v8->NewStringUTF)(v2, "appkey");

      v10 = v9;

      v11 = sub_60CC(v2, (int)v3, v9);          // // 校验appkey

      v12 = v11;

      if ( v11 )

      {

        v30 = (const char *)((int (__fastcall *)(JNIEnv *, int, _DWORD))(*v2)->GetStringUTFChars)(v2, v11, 0);

        v13 = check_app_key_get_type(v30);

      }

      else

      {

        v13 = -1;

        v30 = 0;

      }

      v14 = ((int (__fastcall *)(JNIEnv *, const char *))(*v2)->NewStringUTF)(v2, "ts");

      v15 = sub_60CC(v2, (int)v3, v14);

      if ( !v15 )

      {

        v36 = 0;

        v37 = 0;

        s = 0;

        v35 = 0;

        v16 = time(0);

        sprintf((char *)&s, "%ld", v16);

        ((void (__fastcall *)(JNIEnv *, int *))(*v2)->NewStringUTF)(v2, &s);

        sub_6188((int)v2);

      }

      sub_41D0(v2, v14);

      sub_41D0(v2, v15);

      v17 = ((int (__fastcall *)(JNIEnv *, int, int, jobject (*)(JNIEnv *, jclass, jmethodID, ...)))(*v2)->CallStaticObjectMethod)(

              v2,

              cls_signed_query,

              method_signed_query_r,

              v3);

      v18 = 0;

      if ( sub_3F70((int)v2) )

        v17 = 0;

      v32 = v17;

      input_str = (const char *)((int (__fastcall *)(JNIEnv *, int, _DWORD))(*v2)->GetStringUTFChars)(v2, v17, 0);

      if ( v13 != -1 )

      {

        ((void (__fastcall *)(JNIEnv *, int, const char *))(*v2)->ReleaseStringUTFChars)(v2, v12, v30);

        v20 = malloc(0x10u);

        if ( v20 )

        {

          v31 = v10;

          v21 = global_key[v13];

          v22 = &global_key[v13];

          v23 = v22[5];

          v24 = v22[10];

          v25 = v22[15];

          *v20 = v21;

          v20[1] = v23;

          v20[2] = v24;

          v20[3] = v25;

          _aeabi_memclr8(&v33, 33);

          input_len = strlen(input_str);

          _aeabi_memclr8(v38, 24);

          _aeabi_memclr8(&s, 88);

          md5_init(&s);

          md5_update((int)&s, (int)input_str, input_len);

          sprintf(v38, "%08x", v21);

          md5_update((int)&s, (int)v38, 8u);

          v27 = 1;

          do

          {

            sprintf(v38, "%08x", v20[v27]);

            md5_update((int)&s, (int)v38, 8u);

            ++v27;

          }

          while ( v27 != 4 );

          md5_final((int)v38, (int)&s);

          v28 = &v33;

          v29 = 0;

          do

          {

            sprintf(v28, "%02x", (unsigned __int8)v38[v29++]);

            v28 += 2;

          }

          while ( v29 != 16 );

          free(v20);

          v10 = v31;

          v18 = ((int (__fastcall *)(JNIEnv *, char *))(*v2)->NewStringUTF)(v2, &v33);

        }

        else

        {

          v18 = 0;

        }

      }

      sub_41D0(v2, v10);

      v3 = (*v2)->NewObject;

      result = ((int (__fastcall *)(JNIEnv *, int, int, int, int))v3)(v2, cls_signed_query, signed_query_init, v32, v18);

    }

    }

    return result;} 

  • 分析代码,发现关键在 check_app_key_get_type和global_key,一个是app key获取type,还有一个存着类似于secret key的 global key

  • 整体看下来,结论就是 md5加密,按参数字典序排序,然后拼接SecretKey,再md5得到sign,取其中一个type来验证下:

  • 图片描述


    和app请求生成的sign一样,secret key打码,如果想要,可以按步骤自己去试试,实测成功,关键地方都写清楚了

 最后,写个python脚本试试,确实都能访问,这里脚本就不放了,求赞求加精,求账号升级,感谢

463666991
关注
  • 23
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
dlopen failed: cannot locate symbol "__aeabi_memclr8"
zixuan8083的专栏
04-11 4689
java.lang.UnsatisfiedLinkError: dlopen failed: cannot locate symbol "__aeabi_memclr8" referenced by
java.lang.UnsatisfiedLinkError: dlopen failed: cannot locate symbol "__aeabi_memclr8" referenced by
youxiteehuu的博客
08-08 5769
使用ndk-r14b编译出的so库在Android6.0加载的时候会报如上错误 gradle.build中编译的相关设置为 minSdkVersion 15 targetSdkVersion 25 在编译so库时的Application.mk文件我并未设置APP_PLATFORM,于是我在Application.mk中加上了 APP_PLATFORM := android-12
新版a+1站ollvm算法分析
最新发布
二进制科学的博客
09-04 7765
算法防护思路分析,切勿用于其他方面。
app安全之安卓native层安全分析(六):frida调试跟栈+unidbg补环境大动作
app安全逆向、移动开发、tls/ja3、爬虫、反爬
04-27 8295
SO逆向入门实战教程六:s_白龙~的博客-CSDN博客还是那句,我会借鉴龙哥的文章,以一个初学者的角度,加上自己的理解,把内容丰富一下,尽量做到不在龙哥的基础上画蛇添足,哈哈。1.treemap需要注意下,在unidbg里需要继承map,abstractmap2.varArg.getObjectArg(0)可以获取该方法的参数,0,指第一个,1指第二个。
Native逆向指北(一)——BiliBili Sign
lilac的博客
02-28 8249
Native逆向指北之BiliBili Sign一、前言二、背景介绍三、分析3.1 定位native函数位置3.2 JNItrace辅助分析3.3 IDA分析四、总结 一、前言 哈哈,用这个显眼的好位置说一下闲话 1.有没有杭州的大佬招小弟,Android逆向方面的,只会Java层和不难的Natvie层,抱抱我。 2.为什么这么久不写文章:去年忙考研,失败了,打算重拾逆向技能,冲冲冲。 3.为什么叫“逆向指北”,因为我的水平很一般,远远称不上能给大家分享一些真正的知识的地步,可能不仅没法指南还会南辕北辙,所
C#委托数据传输.rar
08-04
接着,"某算法类中的数据显示"可能指的是在执行计算后,通过委托将结果显示出来。这可能是为了确保算法处理的结果能够在UI线程中安全地更新到界面元素上,防止因跨线程访问控件导致的异常。C#中的`Control.Invoke`或...
An Efficient Dynamic Group Signature with Non-frameability(第1作者为许春香指导的博士生)
03-12
这意味着即使有人能够获得某成员的私钥信息,也无法创建一个有效的伪造签名。这种特性保证了签名的不可否认性,即一个真实签名的来源一定是持有相应私钥的合法成员。 另一个重要的特性是可控链接性,它支持确认两个...
加密与认证
04-02
- 如果某数据可以用私钥解密,那么它必定是由对应的公钥加密的。 ##### 1.3 公钥加密示例 以Alice向Bob发送加密信息为例: 1. **公钥分发**:Bob首先生成一对公钥和私钥,并将公钥发送给Alice。 2. **加密传输**...
浅谈SEO和搜索引擎.docx
12-11
例如,添加复制本文的链接,虽然在表面上可能对用户帮助有限,但搜索引擎可能将其视为鼓励用户分享内容的行为,从而对网站给予正面评价。 总的来说,成功的SEO不是与搜索引擎对抗,而是与之合作,通过提供优质内容...
verifiable-claims:W3C可验证索赔工作组
05-23
签名通过加密算法生成,只有发行者的私钥才能创建,公钥可以验证签名的正确性。 7. **零知识证明(Zero-Knowledge Proofs)**:一种加密技术,使得验证者可以在不获取凭证具体内容的情况下确认声明的真实性,进一步...
某视频app分析样本
weixin_43729769的博客
07-15 183
某视频算法还原
Android so(ELF) 文件解析
l0neman 的博客
11-21 2989
文章目录前言生成 so 文件相关工具objdumpreadelf整体结构图头部结构段表结构字符串表结构程序表结构符号表结构重定位表结构其他结构解析代码打开 ELF 文件检查 ELF 文件解析 ELF 头部结构解析段描述表结构解析字符串表打印段描述表结构解析符号字符串表解析程序头表解析段解析符号表解析重定位表测试解析源码参考 前言 ELF 是一种可执行文件的格式,全称是 Executable and Linkable Format,即可执行和链接格式,它是 Unix/Linux 系统下的二进制文件的标准格式,
"undefined reference to" 问题解决方法
aofan9566的博客
10-02 179
近期在Linux下编程发现一个诡异的现象,就是在链接一个静态库的时候总是报错,类似以下这种错误: (.text+0x13):undefinedreferenceto`func' 关于undefined reference这种问题,大家事实上常常会遇到,在此,我以具体地演示样例给出常见错误的各种原因以及解决方法,希望对刚開始学习的人有所帮助。 1. 链...
SO逆向入门实战教程六:s
lilac的博客
06-15 7339
文章目录一、前言二、准备三、Undibg模拟执行四、算法还原五、尾声 一、前言 第六篇,主要内容是简单JAVA环境的填补。 二、准备 如图红框是我们的目标函数,入参是sortedMap接口的实现类对象,比如TreeMap对象,返回值是SignedQuery类对象。 参数和返回值都比较特殊,不是我们前面处理过的基本类型和对象,所以举个例子,这是Frida 的callSign代码 // Call Sign 函数 function callsign() { Java.perform(function.
java.lang.UnsatisfiedLinkError: dlopen failed: cannot locate symbol "__exidx_end" referenced by
热门推荐
薛瑄的博客
10-27 1万+
参考: Error trying to load SQL Cipher JNI libs using cordova on Android 4.4.2Issue 109071: [gold] ndk-10d defaul linker produces corrupt binaries, cannot locate symbol “__exidx_end”NDK编译库运行时报dlopen fail
IOS AudioUnit 结合AuGraph录制时报错
youxiteehuu的博客
02-01 947
IOS音频录制时报错:[aurioc] 892: failed: -66635 (enable 3, outf inf) 解决办法,就是: 关闭的时候调用 AudioComponentInstanceDispose(audioUnit);就好了
C/C++的mem函数和strcpy函数的区别和应用
晓东的博客
08-23 2325
C/C++的mem函数和strcpy函数的区别和应用 mem系列函数是面试的时候常考的知识点,我们需要熟练掌握这三个函数的原理和代码实现,要能准确无误的写出代码。 memcpy、memset和memset三个函数在使用过程中,均需包含以下头文件: 1234 //在C中#include //在C++中#include
undefined reference to`__aeabi_dadd'
凉风习习的博客
01-09 3162
undefined reference to `__aeabi_dmul'  undefined reference to`__aeabi_dadd'  undefined reference to`__aeabi_dsub'  undefined reference to`__aeabi_ddiv' * + - /没有定义 LD -lgcc -L/opt/FriendlyARM
NTRU算法在C语言中的加密与签名实现与优化
"NTRU算法加密及签名的实现" NTRU(NTRUEncryption)是一种公钥加密算法,由美国数学家Jeffrey Hoffstein、 Jill Pipher 和 Joseph H. Silverman 在1996年提出。该算法以其高效性和对量子计算机攻击的抵抗力而闻名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值