android怎么调试已经上线的H5呢? 这里以某APP为例, 展示了如何HOOK WebView, 以及如何调式JS加密算法
准备工作
在android中, 一般对H5进行调试, 是打开chrome 输入 chrome://inspect/#devices 然后选择调试的app内嵌网页即可 
但是对于已经发布的release版本, 如果Webview未开启调试, chrome是看不见可调试H5的
具体API
android.webkit.WebView.setWebContentsDebuggingEnabled(boolean enabled)
对于release的app, 一般有几种方式打开这个标识
- app增加设置功能
- 修改smail代码二次打包
- 通过xposed hook api 三种方案难易程度来看, 第三种最难, 那我们就直接上最难的方式, 本次案例以某友商电商app为例
笔者这里选择pixel进行root&刷入xposed框架. Hook的api
Class clz = loader.loadClass("android.webkit.WebView");
Method method = clz.getMethod("setWebContentsDebuggingEnabled", boolean.class);
method.invoke(clz, true);
}
loader传入为hook app的classloader 这里如果app<font color=Red>**有壳 **</font>, <font color=Red>**有壳 **</font>, <font color=Red>**有壳 **</font>重要的事儿说三遍, 还需要绕一下~
思路是先hook ClassLoader
XposedHelpers.findAndHookMethod("java.lang.ClassLoader", loader, "loadClass", String.class, Boolean.TYPE, this);
然后在回调hook相关的class
@Override
protected void afterHookedMethod(MethodHookParam param) {
...
Class = (Class) param.getResult();
ClassLoader tmpLoader = loadClass.getClassLoader();
Class cls = null;
try {
cls = XposedHelpers.findClass(clsName, tmpLoader);
} catch (Throwable e) {
e.printStackTrace();
}
if (cls != null) {
//your code
}
....
}
Hook完成之后, 打开相关H5, 在chrome就能看到inspect选项啦~ 
分析点
so, lets begin 分析接口算法 我们要分析的接口如下  主要是探究这个dfpToken是如何生成的, 这里我们提取关键字getDrip.do` 下面分析会用到 在chrome点击inspect, 会打开一个新窗口, 第一次可以cmd+R 进行reload一次(加载H5源码)
然后分析H5的框架层, 加载了哪些JS 
在上图的的js文件里面, 搜索到了关键字getDrip.do
断点1
HttpPostAsync("/m/newsign/getDrip.do", {
dfpToken: window.riskManage.getDfpToken(),
channelType: window.myDevice
}).catch(function(t) {
Et.enQueue(X.GetDripTimeOut)
});
从上面代码中, 知道是一个POST请求, path是/m/newsign/getDrip.do, 参数有dfpToken & channelType 其中dfpToken是调用riskManage.getDfpToken(), 这里是我们希望分析的 因此在代码中dfpToken: window.riskManage.getDfpToken()这里我们进行分析. 在console里面输入 window.riskManage回车, 看看这个riskManage到底是个什么鬼~ 
这里依次展开定位为index.min.js
断点2
这里js方法为 
key: "getDfpToken",
value: function() {
if (window._dfp && window._dfp.getToken)
return _dfp.getToken();
s.error("getDfpToken() error: no _dfp or _dfp.getToken")
}
继续分析window._dfp.getToken, 定位到下一段JS代码
断点3
如上图我们在断点3下断. console里面执行window._dfp.getToken(), 会在断点3暂停
在断点3处, 我们继续输入E, p() 发现结果如下: 
分析到E是内存缓存, p()是真正生成Token的方法, 因此每次在p()下断的时候, 需要在console把E手动置为undefined
断点4
在console, 输入p, 点击输出的函数, 可定位到函数p() 并且下断设为断点4 
在console我们先执行E = undefined , 然后继续执行到p函数 执行SY0,qsK,Shl等对象, 发现console输出的都是Xu2对象, 在Xu2对象里面, 找到toString()方法如下
!(SY0 = (n1p[(n1p.toString = function() {
return d7c(this.s)
}
断点5
在断点5进行下断 
继续执行到断点5 执行命令d7c 在d7c函数下断如下 
继续执行, 这里大致格式化了下函数如下
function(n, r, t, o) {
if (C[n]) return C[n];
r = ""
t = NiV0(n).fb5$(lMWq[0]).split("")
for (o = 0; o < t.length; o++) {
r += i.charAt(e.indexOf(t[o]));
}
return C[n] = r
}
对其中NiV0(n).fb5$(lMWq[0])进行初步判断是一个无意义函数, 增加阅读难度而已
NiV0(n).fb5$(lMWq[0]) -> "0x0Io" (n='0x0Io')
NiV0("netease").fb5$(lMWq[0]) -> "netease"
NiV0(".*&").fb5$(lMWq[0]) -> ".*&"
其中e, i都是常量
e -> "VF=hydBigRU9.fAOS/&p4_qawLsG1rmtnck leZJ-j?P5T6EWbu7MDzI3v2,8KXCQHoN0x:Y"
i -> "- ,:&=?zxwvqkjZYXWVUSRQPONMLKJGFDA9876543210.HT_hCbusfiadIyBnmEeg/lctorp"
因此上面的函数也就是解混淆的过程. 再次回到断点4 去混淆的代码翻译如下:
function p(n){
var minddle = inner()
return "TH"+ minddle + MD5(middle).substr(0, 4);
}
function inner(){
var r = 19;
var t = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz".split("");
var o = new Date().getTime().toString(16);
var i = 8;
if (i >= r)
return o.substr(0, r);
var C = [];
for (e = 0; e < i; e++)
C[e] = t[0 | Math.random() * t.length];
if (4 <= i)
return C.slice(0, 4).join("") + o + C.slice(4).join("");
return C.join("") + o
}
这段函数的大致思路是
生成25位定长字符串,
格式为TH+$middle$+MD5($middle$).substr(0, 4)
middle = 随机4位+16进制时间戳+随机4位
p函数解析完毕, 回到断点3, 继续分析
函数大致还原如下
function(n) {//n = undefined
E || (E = p());
try {
M < ++t && (E = p(), _fp.collect && _fp.collect(E))
} catch (r) {
}
return typeof n === "function" && n(E), E
}
这里简单理解就是判断是否存在E存在直接返回, 不存在调用p函数生成dfpToken
至此, js算法还原完毕.
扫一扫
434
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
