第36讲: 使用Jeb工具反编译安卓APK

最新推荐文章于 2024-09-14 10:24:41 发布
最新推荐文章于 2024-09-14 10:24:41 发布
阅读量1.2w 收藏 28
点赞数 5
分类专栏: 网络爬虫
原文链接:https://editor.csdn.net/md/?articleId=108910525
版权

现在我们可以看到很多 App 在请求 API 的时候都有加密参数,前面我们也介绍了一种利用 mitmdump 来实时抓取数据的方法,但是这总归还有些不方便的地方。

如果要想拿到 App 发送的请求中包含哪些加密参数,就得剖析本源,深入到 App 内部去找到这些加密参数的构造逻辑,理清这些逻辑之后,我们就能自己用算法实现出来了。这其中就需要一定的逆向操作,我们可能需要对 App 进行反编译,然后通过分析源码的逻辑找到对应的加密位置。

所以,本课时我们来用一个示例介绍App 逆向相关操作。

1.案例介绍

这里我们首先以一个 App 为例介绍这个 App 的抓包结果和加密情况,然后我们对这个 App 进行逆向分析,最后模拟实现其中的加密逻辑。

App 的下载地址为:https://app5.scrape.center/

我们先运行一下这个 App,上拉滑动,一些电影数据就会呈现出来了,界面如下:在这里插入图片描述
这时候我们用 Charles 抓包来试一下,可以看到类似 API 的请求 URL 类似如下:https://app5.scrape.center/api/movie/?offset=0&limit=10&token=NDVjMTdjNjk5YWM2NWZkOGU5ZjFjNWEyN2MzNjhiYjIwMzRlZDU3ZiwxNTkxMjgyMzcz%0A,这里我们可以发现有三个参数,分别为 offset、limit 还有 token,其中 token 是一个非常长的加密字符串,我们也不好直观地推测其生成逻辑。

本课时我们就来介绍一下逆向相关的操作,通过逆向操作获得 apk 反编译后的代码,然后追踪这个 token 的生成逻辑是怎样的,最后我们再用代码把这个逻辑实现出来。

App 逆向其实多数情况下就是反编译得到 App 的源码,然后从源码里面找寻特定的逻辑,本课时就来演示一下 App 的反编译和入口点查找操作。

2.环境准备

在这里我们使用的逆向工具叫作 JEB。

JEB 是一款专业的安卓应用程序的反编译工具,适用于逆向和审计工程,功能非常强大,可以帮助逆向人员节省很多逆向分析时间。利用这个工具我们能方便地获取到 apk 的源码信息,逆向一个 apk 不在话下。

JEB 支持 Windows、Linux、Mac 三大平台,其官网地址为 https://www.pnfsoftware.com/,你可以在官网了解下其基本介绍,然后通过搜索找到一些完整版安装包下载。下载之后我们会看到一个 zip 压缩包,解压压缩包之后会得到如下的内容:

在这里插入图片描述
在这里我们直接运行不同平台下的脚本文件即可启动 JEB。比如我使用的是 Mac,那我就可以在此目录下执行如下命令:

sh jeb_macos.sh

这样我们就可以打开 JEB 了。打开 JEB 之后,我们把下载的 apk 文件直接拖拽到 JEB 里面,经过一段时间处理后,会发现 JEB 就已经将代码反编译完成了,如图所示:在这里插入图片描述
这时候我们可以看到在左侧 Bytecode 部分就是反编译后的代码,在右侧显示的则是 Smali 代码,通过 Smali 代码我们大体能够看出一些执行逻辑和数据操作等过程。

现在我们得到了这些反编译的内容,该从哪个地方入手去找入口呢?

由于这里我们需要找的是请求加密参数的位置,那么最简单的当然是通过 API 的一些标志字符串来查找入口了。API 的 URL 里面包含了关键字 /api/movie,那么我们自然就可以通过这个来查找了。

我们可以在 JEB 里面打开查找窗口,查找 /api/movie,如图所示:
在这里插入图片描述
这时候我们发现就找到了一个对应的声明如下:

.field public static final indexPath:String = "/api/movie"

这里其实就是声明了一个静态不可变的字符串,叫作 indexPath。但这里是 Smali 代码呀?我们怎么去找到它的源码位置呢?

这时候我们可以右键该字符串,选择解析选项,这时 JEB 就可以成功帮我们定位到 Java 代码的声明处了。
在这里插入图片描述
这时候我们便可以看到其跳转到了如下页面:
在这里插入图片描述
这里我们就能看到 indexPath 的原始声明,同时还看到了一个 index 方法的声明,包含三个参数 offset、limit 还有 token,由此可以发现,这参数和声明其实恰好和 API 的请求 URL 格式是相同的。

但这里还观察到这个是一个接口声明,一定有某个类实现了这个接口。

我们这时候可以顺着 index 方法来查询是什么类实现了这个 index 方法,在 index 方法上面右键选择“交叉引用”,如图所示:
在这里插入图片描述
这时候我们可以发现这里弹出了一个窗口,找到了对应的位置,如图所示:
在这里插入图片描述
我们选中它,点击确定,这时候就跳转到了对应的 index 实现的位置了,如图所示:
在这里插入图片描述
这里 index 方法的实现如下:

public Observable index(int arg6, int arg7) {
    ArrayList v2 = new ArrayList();
    ((List)v2).add("/api/movie");
    return this.apiService.index((arg6 - 1) * arg7, arg7, Encrypt.encrypt(((List)v2)));
}

就能很轻易地发现一个类似 encrypt 的方法,代表加密的意思,其参数就是 v2,而 v2 就是一个 ArrayList,包含一个元素,就是 /api/movie 这个字符串。
这时候我们再通过交叉引用找到 Encrypt 的定义,跳转到如图所示的位置:
在这里插入图片描述
这里可以发现 encrypt 的方法实现如下:

public static String encrypt(List arg7) {
    String v1 = String.valueOf(new Timestamp(System.currentTimeMillis()).getTime() / 1000);
    arg7.add(v1);
    String v2 = Encrypt.shaEncrypt(TextUtils.join(",", ((Iterable)arg7)));
    ArrayList v3 = new ArrayList();
    ((List)v3).add(v2);
    ((List)v3).add(v1);
    return Base64.encodeToString(TextUtils.join(",", ((Iterable)v3)).getBytes(), 0);
}

这里我们分析一下,传入的参数就是 arg7,刚才经过分析可知 arg7 其实就是一个长度为 1 的列表,其内容就是一个字符串,即 ["/api/movie"]。
紧接着看逻辑,这里又定义了一个 v1 的字符串,其实就是获取了时间戳信息,然后把结果加入 arg7,现在 arg7 就有两个内容了,一个是 /api/movie,另一个是时间戳。

接着又声明了 v2,这里经过分析可知是将 arg7 使用逗号拼接起来,然后调用了 shaEncrypt 操作,而 shaEncrypt 经过观察其实就是 SHA1 算法。

紧接着又声明了一个 ArrayList,把 v2 和 v1 的结果加进去。最后把 v3 的内容使用逗号拼接起来,然后 Base64 编码即可。

好,现在整体的 token 加密的逻辑就理清楚了。

3.模拟

了解了基本的算法流程之后,我们可以用 Python 把这个流程实现出来,代码实现如下:

import hashlib
import time
import base64
from typing import List, Any
import requests
​
INDEX_URL = 'https://app5.scrape.cuiqingcai.com/api/movie?limit={limit}&offset={offset}&token={token}'
LIMIT = 10
OFFSET = 0def get_token(args: List[Any]):
    timestamp = str(int(time.time()))
    args.append(timestamp)
    sign = hashlib.sha1(','.join(args).encode('utf-8')).hexdigest()
    return base64.b64encode(','.join([sign, timestamp]).encode('utf-8')).decode('utf-8')
  
args = ['/api/movie']
token = get_token(args=args)
index_url = INDEX_URL.format(limit=LIMIT, offset=OFFSET, token=token)
response = requests.get(index_url)
print('response', response.json())

这里最关键的就是 token 的生成过程,我们定义了一个 get_token 方法来实现,整体上思路就是上面梳理的内容:

  • 列表中加入当前时间戳;
  • 将列表内容用逗号拼接;
  • 将拼接的结果进行 SHA1 编码;
  • 将编码的结果和时间戳再次拼接;
  • 将拼接后的结果进行 Base64 编码。

最后运行结果如下:

response {'count': 100, 'results': [{'id': 1, 'name': '霸王别姬', 'alias': 'Farewell My Concubine', 'cover': 'https://p0.meituan.net/movie/ce4da3e03e655b5b88ed31b5cd7896cf62472.jpg@464w_644h_1e_1c', 'categories': ['剧情', '爱情'], 'published_at': '1993-07-26', 'minute': 171, 'score': 9.5, 'regions': ['中国大陆', '中国香港']}, {'id': 2, 'name': '这个杀手不太冷', 'alias': 'Léon', 'cover': 'https://p1.meituan.net/movie/6bea9af4524dfbd0b668eaa7e187c3df767253.jpg@464w_644h_1e_1c', 'categories': ['剧情', '动作', '犯罪'], 'published_at': '1994-09-14', 'minute': 110, 'score': 9.5, 'regions': ['法国']}, {'id': 3, 'name': '肖申克的救赎', 'alias': 'The Shawshank Redemption', 'cover': 'https://p0.meituan.net/movie/283292171619cdfd5b240c8fd093f1eb255670.jpg@464w_644h_1e_1c', 'categories': ['剧情', '犯罪'], 'published_at': '1994-09-10', 'minute': 142, 'score': 9.5, 'regions': ['美国']}, {'id': 4, 'name': '泰坦尼克号', 'alias': 'Titanic', 'cover': 'https://p1.meituan.net/movie/b607fba7513e7f15eab170aac1e1400d878112.jpg@464w_644h_1e_1c', 'categories': ['剧情', '爱情', '灾难'], 'published_at': '1998-04-03', 'minute': 194, 'score': 9.5, 'regions': ['美国']}, {'id': 5, 'name': '罗马假日', 'alias': 'Roman Holiday', 'cover': 'https://p0.meituan.net/movie/289f98ceaa8a0ae737d3dc01cd05ab052213631.jpg@464w_644h_1e_1c', 'categories': ['剧情', '喜剧', '爱情'], 'published_at': '1953-08-20', 'minute': 118, 'score': 9.5, 'regions': ['美国']}, {'id': 6, 'name': '唐伯虎点秋香', 'alias': 'Flirting Scholar', 'cover': 'https://p0.meituan.net/movie/da64660f82b98cdc1b8a3804e69609e041108.jpg@464w_644h_1e_1c', 'categories': ['喜剧', '爱情', '古装'], 'published_at': '1993-07-01', 'minute': 102, 'score': 9.5, 'regions': ['中国香港']}, {'id': 7, 'name': '乱世佳人', 'alias': 'Gone with the Wind', 'cover': 'https://p0.meituan.net/movie/223c3e186db3ab4ea3bb14508c709400427933.jpg@464w_644h_1e_1c', 'categories': ['剧情', '爱情', '历史', '战争'], 'published_at': '1939-12-15', 'minute': 238, 'score': 9.5, 'regions': ['美国']}, {'id': 8, 'name': '喜剧之王', 'alias': 'The King of Comedy', 'cover': 'https://p0.meituan.net/movie/1f0d671f6a37f9d7b015e4682b8b113e174332.jpg@464w_644h_1e_1c', 'categories': ['剧情', '喜剧', '爱情'], 'published_at': '1999-02-13', 'minute': 85, 'score': 9.5, 'regions': ['中国香港']}, {'id': 9, 'name': '楚门的世界', 'alias': 'The Truman Show', 'cover': 'https://p0.meituan.net/movie/8959888ee0c399b0fe53a714bc8a5a17460048.jpg@464w_644h_1e_1c', 'categories': ['剧情', '科幻'], 'published_at': None, 'minute': 103, 'score': 9.0, 'regions': ['美国']}, {'id': 10, 'name': '狮子王', 'alias': 'The Lion King', 'cover': 'https://p0.meituan.net/movie/27b76fe6cf3903f3d74963f70786001e1438406.jpg@464w_644h_1e_1c', 'categories': ['动画', '歌舞', '冒险'], 'published_at': '1995-07-15', 'minute': 89, 'score': 9.0, 'regions': ['美国']}]}

这里就以第一页的数据为示例来演示了,其他的页面我们通过修改 page 的值就可以拿到了。

4.总结

以上我们便通过一个样例讲解了一个比较基本的 App 的逆向过程,包括 JEB 的使用、追踪代码的操作等等,最后通过分析代码理清了基本逻辑,最后模拟实现了 API 的参数构造和请求发送,得到最终的数据。

埃菲尔没有塔尖
关注
专栏目录
Android逆向:反编译工具JEB
小龙在线
12-08 1732
下载安装 下载地址:https://www.pnfsoftware.com/ 下载的是一个zip压缩包,绿色安装,解压到相应的目录就算是安装好了。 双击目录下的对应系统的shell/bat可执行文件,打开JEB使用 打开APK,可以查看树状图: 可以看到smali代码。 在MainActivity上,右键解析,可以看到Java代码: 双击Manifest即可查看AndroidManifest.xml: ...
红队专题-REVERSE汇编/二进制PWN/逆向/反编译
aming小老弟
10-10 1373
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,
jeb 强力反编译工具
08-27
Jeb软件是一款专业实用的jeb Android 反编绎工具!我们的逆向工程平台进行拆卸、反编译、调试、分析代码和文档文件,手动或作为分析管道的一部分。需要的朋友可下载试试!
深入探索Apktool:Android应用反编译工具
最新发布
weixin_29069575的博客
09-14 1202
本文还有配套的精品资源,点击获取 简介:Apktool是Android平台上一个用于反编译APK文件的工具,它能够解码APK中的资源和Smali代码,支持资源修改和重新打包。该工具对开发者、逆向工程师及对Android应用结构感兴趣的人员极为有用。文章详细介绍了Apktool的主要功能、使用步骤以及在操作过程中需要注意的版权、签名、版本和格式等问题。 1. Apk...
jeb反编译工具
06-04
jeb全称jeb Decompiler,是专为反编译Android Apk设计的软件,反编译能力要强于jd-jui,而且对于变量、方法的交叉应用,提供了方便导航,在一个界面查看Apk的证书、资源、manifest、代码等
jeb安卓应用反编译工具
09-18
安卓应用反编译工具,可直接调试smail文件。简单好用易上手
反编译神器jeb(linux版)
01-19
linux 版反编译神器,解压后直接使用
安卓逆向 | JEB静态分析APK
2301_80127209的博客
03-28 2225
通过观察我们可以得知,在URL中存在一些特征字符串,比如/api/movie,我们可以通过搜索特征字符串,进行快速定位,在smali代码窗口 ctrl+F打开查找窗口,直接查找/api/movie。可以看到,从大致的英文上看,是声明一个静态的String类型变量,变量名为indexPath,值为/api/movie,不懂的话也可以问AI,静态的话一般是叫做常量,不可更改。环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等。
android第三方注入dex,进阶Frida--Android逆向之Hook动态加载dex(三)(上篇)
weixin_28748867的博客
05-26 1317
前言:前段时间看到有朋友在问在怎么使用frida去hook动态加载的dex之类的问题,确实关于如何hook动态加载的dex,网上的资料很少,更不用说怎么使用frida去hook动态加载的dex了。(frida的官方文档已经无力吐槽…)后来偶然的情况下发现了一道CTF题目可以作为很好的案例,所以花了很多心思将文章写下来分享给大家,涉及的内容比较多,我打算用上下篇将frida hook动态加载的dex...
Android 逆向分析大全
墨鱼菜鸡
07-11 3491
转载:Android 逆向分析大全:https://www.jianshu.com/p/a12d04fc748f 1. 概述 1.1 分析步骤 通用逆向分析步骤 1. 了解该模块正向编程相关方法2. 使用apktool解密apk,得到资源、jni模块等文件3. 从apk提取出dex文件,使用dex2jar转换成jar文件,再用java逆向工具...
Android逆向-实战sign分析-某某合伙人_v4.0.9
哔_哩哩!的博客
06-13 4254
1.基础分析 1.1.基础分析 工作中经常会对一些app进行安全审计,一般在拿到应用后可以使用APK Helper工具对应用做个简单分析,了解目标的包名,版本号,名称等基础信息,之后再安装到手机上熟悉下应用的业务,该应用属于哪类app,之后就是思考业务上可能存在的攻击点。 本次目标是一个电商应用,简单使用后可知应用存在登录,购买,支付等众多攻击点,这里我们就从登录入手。 登录逻辑的常见审计思路有: 1.审计客户端与服务端交互时是否直接将用户名密码进行明文传输。 2.客户端是否将用户登录的错误分开提醒如单独提
android反编译整合工具-jeb2.2.7-破解版
08-10
解压后直接运行jeb_wincon.bat即可 ---------------------------------------------- JEB 版本 2.2.7.201608151620
Android超强反编译工具JEB
11-26
Android超强反编译工具JEB反编译的语法格式接近源码
Android反编译工具JEB -- 含MAC/Windows
04-01
解压后MAC版找到jeb_macos.sh , 打开控制台窗口拖进去就行,会自动在bin目录里生成jeb.app运行,选择反编译apk win是下面jeb_wincon.bat
jeb破解工具
10-26
jeb破解工具
模块化逆向工程平台丨执行代码或文件文档的反汇编、反编译、调试和分析——JEB
Acunetix的博客
03-29 3822
JEB是一款,分析安卓、Windows的利器。一个面向专业人士的,模块化逆向工程平台,手动或作为分析工具的一部分。执行代码或文件文档的,反汇编、反编译、调试和分析。
反编译系列】二、反编译代码(jeb
weixin_33806509的博客
06-10 5418
版权声明:本文为HaiyuKing原创文章,转载请注明出处! 概述  一般情况下我们都是使用dex2jar + jd-gui的方式反编译代码,在实际使用过程中,有时候发现反编译出来的代码阅读效果不是很好,所以就尝试使用其他的方式反编译代码。 JEB是Android应用静态分析的de facto standard,除去准确的反编译结果、高容错性之外,JEB提供的API也方便了我们编写插件对源文...
APK反编译--查看源代码
管帅朝
10-26 6208
模仿是最好的学习 在工作工程中,往往产品经理一句话,“这个功能就跟XX做成一样的效果就可以了”,然后我们就开始模仿,开始百度、谷歌等等。而最好的参考对象,其实就是要模仿的APP本身,借助Apk反编译,我们可以看到其代码逻辑实现,这对于我们程序员,简直就是莫大的幸福啊。 查看Apk的代码,有两种方式: 1. dex2jar + jd-jui 2. jeb
JEB反编译器crack版功能和选项
q2315702359的博客
11-11 1326
JEB是一个专有的工程平台,用于手动拆卸、演示、调试和分析文档和代码文件,或者作为分发和分析线的一部分。使用这个强大的软件,您可以在几分钟内轻松分析和分析模糊或APK文件。该程序提供了一个强大的可访问操作系统、重构和自动工作的脚本功能。MIPS制造商和反编译机器允许微控制器分发和分析复杂的MIPS混合程序和复杂的计费系统(路由器、上盒、IOT等)。对Andrew的程序、好的工具和坏的工具(无论大小)进行统计分析和分析。重构分析和分析,以击败保护计划产生的代码。重新生成XML资源和文件。
APK可视化反编译的免费工具有哪些?
08-10
### 回答1: 常用的 APK 可视化反编译工具有: - jadx - apktool - dex2jar - Androguard - JEB Decompiler 这些工具都是免费的,可以用来分析和反编译 APK 文件。 ### 回答2: 目前有很多免费的工具可用于APK可视化反编译。其中一些常用的工具包括: 1. jadx:这是一个开源的APK反编译工具,可以将APK文件转换为易于阅读和理解的Java代码。 2. ApkTool:ApkTool是一个流行的APK反编译和重新打包工具,它可以提取APK文件的资源和源代码,并允许修改和重新打包APK。 3. dex2jar:dex2jar是一个将Android Dex文件转换为Java Jar文件的工具。通过这个工具,可以将APK文件中的dex文件转换为Java字节码,然后再使用Java反编译工具进行分析。 4. JD-GUI:这是一个Java反编译工具,可以将APK文件中的dex文件转换为易于阅读的Java源代码。 5. Bytecode Viewer:这是一个多功能的反编译工具,支持对APK文件进行反编译,并可以查看和修改Java字节码。 这些工具可以帮助开发者分析APK文件的结构和源代码,进行逆向工程等任务。值得注意的是,虽然这些工具免费,但在使用时也要遵守法律和道德规范,不要滥用或侵犯他人的权益。 ### 回答3: APK可视化反编译是指将已经编译成APK格式的安卓应用程序进行反向操作,将其恢复为人类可读的源代码。目前市面上有一些免费的工具可以实现APK可视化反编译,并且功能较为强大。 1. APKTool:APKTool是一款流行的开源工具,可以反编译APK文件,提取其中的资源文件和源代码。它支持多种操作系统,使用简单方便。 2. jadx:jadx也是一款开源的工具,可以将APK文件反编译为可读的Java源代码。它的特点是反编译效果较好,可以还原大部分源代码的结构和逻辑。 3. JD-GUI:JD-GUI是一款基于Java的APK反编译工具,能够将APK文件转化为Java源文件,并提供了一个可视化界面来查看源代码。它的界面友好,操作简便。 4. Procyon:Procyon是另一款可视化反编译工具,能够将APK文件转化为Java源代码,并且保留原有的注释。它相对比较稳定,适用于处理较大的APK文件。 以上是一些常见的免费APK可视化反编译工具,它们都有各自的特点和优势,根据需求可以选择适合自己的工具进行使用。值得一提的是,虽然这些工具都是免费的,但在使用时要遵守相关的法律和规定,避免违反软件著作权等相关法律。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值