猿人学2022安卓逆向对抗比赛第一题分析

最新推荐文章于 2024-08-01 15:05:06 发布
最新推荐文章于 2024-08-01 15:05:06 发布
阅读量1.2k 收藏 2
点赞数 1
分类专栏: #Android逆向分析笔记 文章标签: java 逆向 android python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_38796720/article/details/125669405
版权

整体的笔记为自己分析的流程,大佬勿喷

第一步 准备工具

  1. charles 抓包工具
  2. pixelxl 真机
  3. jadx
  4. 本机安装 python 和 frida

第二步 安装app 查壳 和 抓包

通过 GDA 可以 了解到 app 没有任何的壳
在这里插入图片描述
防止app 有可能不走代理,所以通过 charles + postern 进行 sock转发

通过 注册后 进入 第一题

** 计算1~100页所有数字之和**

在这里插入图片描述

Charles 中 可以看到 post 请求 有三个参数 ,请求的结果为 每页需要计算的数字

第一个是 page 页数 很明显

第二个是 sign 值 为加密流程

第三个 是 t 可以通过 上面的time 请求 了解到是时间戳

那么整体就是分析sign值 是如何产生的 ,是否和page页数和t时间戳相关
在这里插入图片描述
在这里插入图片描述

通过jdax 寻找 post 数据 发送点,找到sign 生成的地方

打开jadx 拖app包进入,发现内容是被混淆过的,
在这里插入图片描述
尝试通过post 发送的 参数的 关键词 进行定位,选择sign 关键词进行搜索。
在这里插入图片描述
发现匹配到的数据太多,更换思路,通过发包的url 中的 /app1 路径 进行搜索

在这里插入图片描述
发现 精准匹配到一处,直接双击进入,查看
在这里插入图片描述
发现匹配正确,然后通过右键查找用例去查找调用这个接口的地方
在这里插入图片描述
匹配到三个 发现前面两个是一样的,直接随便点击进入一个
在这里插入图片描述
可以简单名了的看到,页数 和 时间戳的定义的地方,并且在 return 的地方可以看到 sign 的函数 ,点击进入sign 瞅一眼
在这里插入图片描述
在这里插入图片描述
进入com.yuanrenxue.match2022.security.Sign 类中 可以看到整体就是加密库
那么可以直接 hook sign 方法 看看

frida 代码如下

function main(){
    console.log("Hooking.......")
    Java.perform(function(){
        var sign = Java.use("com.yuanrenxue.match2022.security.Sign");
        sign.sign.implementation = function(arg){
            console.log("sign_arg=>",(arg));
            var result = this.sign(arg);
            console.log("sign=>",result)
            return result;
        }
    });
}

setImmediate(main);

抓包的数据

在这里插入图片描述

hook的数据

在这里插入图片描述
可以看到sign 值是可以对应到的。但是获取到传入sign方法的数据的为啥是对象数据嘞。。。

看了一下sign方法,哦,原来传入的数据是 byte 数据 ,那就 搜索一下 js 字节集转字符串的代码

代码如下

function stringToByte(str) {
    var bytes = new Array();
    var len, c;
    len = str.length;
    for(var i = 0; i < len; i++) {
        c = str.charCodeAt(i);
        if(c >= 0x010000 && c <= 0x10FFFF) {
            bytes.push(((c >> 18) & 0x07) | 0xF0);
            bytes.push(((c >> 12) & 0x3F) | 0x80);
            bytes.push(((c >> 6) & 0x3F) | 0x80);
            bytes.push((c & 0x3F) | 0x80);
        } else if(c >= 0x000800 && c <= 0x00FFFF) {
            bytes.push(((c >> 12) & 0x0F) | 0xE0);
            bytes.push(((c >> 6) & 0x3F) | 0x80);
            bytes.push((c & 0x3F) | 0x80);
        } else if(c >= 0x000080 && c <= 0x0007FF) {
            bytes.push(((c >> 6) & 0x1F) | 0xC0);
            bytes.push((c & 0x3F) | 0x80);
        } else {
            bytes.push(c & 0xFF);
        }
    }
    return bytes;


}

//字节集转字符串
 function byteToString(arr) {
    if(typeof arr === 'string') {
        return arr;
    }
    var str = '',
        _arr = arr;
    for(var i = 0; i < _arr.length; i++) {
        var one = _arr[i].toString(2),
            v = one.match(/^1+?(?=0)/);
        if(v && one.length == 8) {
            var bytesLength = v[0].length;
            var store = _arr[i].toString(2).slice(7 - bytesLength);
            for(var st = 1; st < bytesLength; st++) {
                store += _arr[st + i].toString(2).slice(2);
            }
            str += String.fromCharCode(parseInt(store, 2));
            i += bytesLength - 1;
        } else {
            str += String.fromCharCode(_arr[i]);
        }
    }
    return str;
}

所以重新修改一下hook的代码,如下:

function main(){
    console.log("Hooking.......")
    Java.perform(function(){
        var sign = Java.use("com.yuanrenxue.match2022.security.Sign");
        sign.sign.implementation = function(arg){
            console.log("sign_arg=>",byteToString(arg));
            var result = this.sign(arg);
            console.log("sign=>",result)
            return result;
        }
    });
}

setImmediate(main);

hook到的传入数据就可以正常显示了

在这里插入图片描述
在这里插入图片描述

对应到抓包的数据可以看出,sign 的值的数据 是通过 page的标识和值+t的值 然后通过sign()方法进行计算的出来的

进行主动调用

知道sign值的传入值 ,我们可以手动赋值,那么就可以进行hook 主动调用

代码如下

function invokeSign(){
    Java.choose("com.yuanrenxue.match2022.security.Sign",{
        onMatch:function(ins){
            console.log("ins=>",ins);
            ins.sign(stringToByte("page=51657210487"));
            
        },onComplete(){}
    });
}

hook获取的效果如下,和上面的 获取的sign值一样
在这里插入图片描述

如何进行1~100页的调用?

如何 一次性自动化的 获取到 1~100页的 sign值 ,并且进行100次的请求,然后获取到 response 中 返回的数据 进行sum 计算?

抽了一根烟,想了一下,既然都用主动调用了,那么就直接frida rpc 通过python 请求一下就行

在这里插入图片描述
搞了半天,最终成了!!!
在这里插入图片描述

附上代码

import time
import frida
import requests
from requests.packages import urllib3
urllib3.disable_warnings()

def my_message_handler(message, payload):
    print("message=>",message)
    print("payloa=>d",payload)


# connect wifiadb
device = frida.get_device_manager().add_remote_device("192.168.0.102:8888")
print('设备=>',device)
session = device.attach("com.yuanrenxue.match2022")
print('session=>',session)
#load script
with open("app1.js") as f:
    script = session.create_script(f.read())
script.on("message", my_message_handler)
script.load()

# script.exports.invokesign('page=121657216931')
def get_url():
    num = 0
    for i in range(1,101):
        url = 'https://appmatch.yuanrenxue.com/app1'
        headers = {
            'accept-language': 'zh-CN,zh;q=0.8',
            'user-agent': 'Mozilla/5.0 (Linux; U; Android 8.1.0; zh-cn; Pixel XL Build/OPM1.171019.011) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30',
            'content-type': 'application/x-www-form-urlencoded',
            'accept-encoding': 'gzip',
            'cache-control': 'no-cache'
        }
        data = {
            'page':str(i),
            't': str(int(time.time()))
        }
        data['sign'] = script.exports.invokesign('page='+data['page']+data['t'])
        print(data)
        response = requests.post(url,headers=headers,data=data,verify=False)
        print(response.json())
        value_data = response.json()
        for value in value_data['data']:
            num += int(value['value'])
        print(num)

        time.sleep(1)
    # print(num)
if __name__ == '__main__':
    get_url()

总结

在这里 学习了使用frida rpc 进行主动调用 然后进行 获取sign 值 在通过python 进行 post请求
还有需要注意的是 ,需要进行一次 sign 的实例化才可以进行调用,不然会报错!
自己其实是一个初学者,对frida其实并不了解多少,rpc是第一次使用,发现这个功能很nice,省去扣加密算法流程
针对一些app的算法,如果混淆厉害的话,后续可以直接使用这个,不需要硬刚算法了。很棒!

贫穷斯蒂芬
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
猿人2022APP逆向--第四 grpc
qq_38759383的博客
06-07 552
安卓逆向,grpc,那么grpc是什么呢?
猿人2022APP逆向--第六 设备指纹加密(解思路)
qq_38759383的博客
07-14 966
猿人2022APP逆向--第六 设备指纹加密(解思路)
猿人2022安卓逆向对抗比赛第八分析
Steven的杂货铺
07-11 950
第六 和 第七 是困难模式,直接先跳过,先看中等的。首先目说的是upx ,那么就有可能是 so 进行了upx 的压缩 了, 对于菜鸟的我来讲,先不管直接先抓包分析一下真机通过 postern + Charles 结合 进行抓包 获取到抓包数据 其中form 表单中的参数 就一个 s 通过之前的分析,可以通过jadx 搜索url 路径可以定位到发包点打开jadx 搜索 /app8 可以匹配到一个定位点 双击进入,可以确认 就是这里 右键查找用例,点击进入,可以看到 data 的方法 this
猿人2022安卓逆向对抗比赛第二分析
Steven的杂货铺
07-08 646
1.charles 抓包工具 2.pixelxl 真机 3.jadx 4.本机安装 python 和 frida首先,在第一的时候,已经分析出app是没有壳的,并且知道了,app请求的路由的包的路径,我们再一次进行Charles抓包 可以获取到 第二的post请求 可以看到 post 请求的 form表单也是三个参数第一的时候 直接搜索 /app1 找到唯一匹配点,第二 的 post 提交的 path 路径 也大差不差 可以看到 搜索到唯一的匹配点,双击进入 可以看到依旧是原来的 路由表 右键
猿人2022安卓逆向对抗比赛第四分析
Steven的杂货铺
07-09 1075
说实话身为菜鸟的我,根本没有接触过这个东西,先不管三七二十一,抓个包先。 Charles 里面没有任何的请求数据,并且app也没有目显示,嘶。。。恐怖如斯。排错时间到,把postern 给关闭 ,然后重新打开app看看 惊奇的发现,目出来了,那么就不是app的问,是我的问了,既然Charles抓不到包,那么就祭出 roysue 大佬的神器 r0capture 这不就抓到想要抓到的数据了嘛,不难看出有了路径了,那么就直接 jadx 打开 搜索 一下 额。。。。为空。。。为啥嘞?对于上面的无法
猿人2022安卓逆向对抗比赛第三分析
Steven的杂货铺
07-08 809
1.charles 抓包工具 2.pixelxl 真机 3.jadx 4.本机安装 python 和 frida第三依旧是计算 1~100也的数值之和 通过抓包可以 获取到 post 提交的路径post form 表单数据 有两个参数 直接 搜索 /app3 可以获取到 唯一匹配值 然后 依旧是 双击进入,找到 url 路由定义的类 右键 查找 用例 可以看到有三个前两个是一样的,直接第一个双击进入 可以看到一个 crypto 加密方法 直接 Ctrl + 鼠标左键进入 发现 也是一个
猿人2022安卓逆向对抗比赛第五分析
Steven的杂货铺
07-09 1273
双向认证,那么就需要有证书了,打开APP后看看 在assets 文件夹中 是否有证书 确实可以看到有一个客户端的证书,是.bks 的那么r0ysue大佬的 r0capture 依旧可以排上用场,直接可以dump 下来.p12的证书 到手机的 SDcard/Download 目录下,密码为r0ysue然后发现竟然卡住了。。。。。证书也没有dump下来。。。。那就换一种思路呗。。。。。 密钥获取成功 = > : MZ4cozY8Qu32UzGe 然后通过Charles 进行 导入证书然后我又开始怀疑人生
猿人安卓逆向对抗比赛(1-5
zjq592767809的博客
05-20 2040
猿人安卓逆向对抗比赛(1-5目 一 java层加密 二 so层加密 三 so层加密带混淆 四 grpc 五 双向认证 六 设备指纹加密 七 quic 八 upx 九 tcp 十 tls 第一java层加密 不管三七二十一,上来先抓个包看看 这是一个post请求,并且附带三个参数,其中一个是sign,那么第一分析的应该就是这个sign了,用jadx反编译apk,尝试搜索一下请求地址【/ap
Android逆向猿人2022年app比赛第一(步步验证)
qq_41866988的博客
05-23 587
再启动一次,可以看到这次恢复正常了,参数就是page=11684850913,sign是d8fde916979aeb58d3398ea0c0e455c7和我们之前分析的参数是差不多的结果。跟进去可以大概看出,这是一个加密操作的函数,也跟到了底部,我们这里先不对该函数内部逻辑进行研究,先hook一下这个函数,看看返回的是不是和抓包的结果一致。可以看到成功hook上了,并且和抓包内容一致,但是这个传入的bArr是一个byte[]类型的数据,没有办法很直观的看到传入的是什么参数。
猿人第二届第一小记
06-06
猿人第二届第一小记
Javascript逆向分析 猿人 第四 雪碧图 样式干扰
02-29
本文涉及Javascript逆向分析,针对猿人第四中雪碧图样式干扰进行探讨。所有内容仅供习交流使用,严禁用于非法用途和商业目的。我们将不断优化内容,提供更丰富的解析和讨论,帮助大家更好地理解逆向分析技术。...
Javascript逆向+猿人第二+动态cookie+逆向
02-28
寻找入口:逆向在大部分情况下就是找一些加密参数到底是怎么来的,关键逻辑可能写在某个关键的方法或者隐藏在某个关键的变量里,一个网站可能加载了很多 JavaScript 文件,如何从这么多的 JavaScript 文件的代码行中...
猿人第一m函数的js源码
07-05
猿人第一m函数的js源码
猿人js逆向第二补环境js
05-21
猿人js逆向第二完整补环境js文件
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
qq_43700885的博客
07-29 602
1.导入hutool的maven依赖。2.复制一下代码执行。
深入理解Java注解
最新发布
weixin_55745942的博客
08-01 560
Java注解是用来描述程序元素(如类、方法、变量等)的一种机制。它们可以提供关于程序的补充信息,帮助编译器、框架或其他工具更好地理解和处理代码。注解通常以符号开头,后跟注解名称和可能的参数。要创建自定义注解,需要使用@interface关键字定义一个接口,并在接口中声明注解的属性。这个注解名为,可以被用来标记方法。它有一个名为value的属性,具有默认值"default"。
社区养老服务小程序的设计
Karen198的博客
07-31 515
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
JavaSE面向对象进阶
qq_45348840的博客
07-30 478
需求:在实际开发中,经常会遇到一些数组使用的工具类;请按照如下要求编写一个数组的工具类:ArrayUtil提供一个工具类方法printArr,用于返回整数数组的内容。返回的字符串格式如:[10,20,50,34,100 ](只考虑整数数组,且只考虑一维数组)提供这样一个工具方法getAerage,用于返回平均分。(只考虑浮点型数组,且只考虑一维数组)定义一个测试类TestDemo,调用该工具类的工具方法,并返回结果。// 私有化构造方法// 定义静态方法,方便调用。i++) {
猿人js逆向TypeError: list indices must be integers or slices, not str第一的爬虫编写
08-31
对于您提到的错误TypeError: list indices must be integers or slices, not str,这是因为您在访问列表中的元素时使用了字符串作为索引,而列表的索引必须是整数或切片类型。解决这个错误的方法是使用整数或切片来访问列表中的元素。 关于您提到的猿人js逆向的问,我需要更多的信息才能为您提供具体的答案。对于爬虫编写,您可以使用Python的各种库(如Requests、BeautifulSoup、Scrapy等)来获取网页的内容,并进一步解析和处理。您可以使用这些库发送HTTP请求获取网页内容,然后使用解析库来提取您需要的数据。 爬虫编写的一般步骤如下: 1. 导入所需的库 2. 发送HTTP请求获取网页内容 3. 使用解析库解析网页内容 4. 提取所需的数据 5. 进行数据的进一步处理和存储 您可以根据具体的需求和网站的结构进行相应的编写和调试。如果您需要更具体的帮助,请提供更多的信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Python:TypeError: list indices must be integers or slices, not str报错解决及原理](https://blog.csdn.net/hhd1988/article/details/128031602)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [Python BeautifulSoup [解决方法] TypeError: list indices must be integers or slices, not str](https://download.csdn.net/download/weixin_38590567/14871394)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值