某游戏社区App | So层逆向分析

已于 2023-04-16 18:25:12 修改
阅读量2.8k 收藏 13
点赞数 4
分类专栏: 逆向 爬虫 文章标签: 游戏 爬虫 python 安全
于 2023-04-11 16:05:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43505430/article/details/130085976
版权

大家好,我是TheWeiJun,不知不觉已经来到了2022年底。回顾这一年,发生了太多事迹;有挫折、有喜悦、其中最开心的是结交了许多志同道合的朋友。本文将是笔者2022年最后一篇文章收官之战,全程高能,在阅读的同时不要忘记点赞+关注哦⛽️

特别声明:本公众号文章只作为学术研究,不用于其它不法用途;如有侵权请联系作者删除。

目录

一、抓包分析

二、Jadx反编译

三、frida hook调试

四、ida动态注册分析

五、算法还原

六、思路总结

趣味模块

新年新气象,永远行大运。2022年的最后一战由小军出场!小军的职业是一名计算机高级开发工程师,小军的爱好是喜欢玩游戏。他特别喜欢玩一些新游,然后关注下大家对新游的一些体验和看法。于是小军找到了某游戏社区,在小军想时刻关注游戏社区更新动态时,他遇到了难题,通过jadx定位到加密参数后,遇到了So层文件。今天我们将与小军并肩作战去探索我们未知的领域,感兴趣的读者记得给我一个star!

公众号:逆向与爬虫的故事

专注于网络爬虫、JS逆向、APP逆向、安全攻防实战经验分享及总结。

一、抓包分析

1、打开我们本次需要抓取的App,使用charles设置代理进行抓包,抓包截图如下所示:

说明:之所以进行打码处理,也是为了避免不必要的麻烦,希望大家能理解。我们的目的是要学习别人的加固思路而非破解!

2、搜索指定关键字,定位我们想要获取的数据包,然后截图如下所示:

总结:观察上图,确定我们本次需要还原的参数authorization后,初步判断该参数后,无法确定使用的什么加密手段;接下来让我们进入反编译调试环节吧!

二、Jadx反编译

1、使用Fart对指定App的apk脱壳后,直接使用jadx打开脱壳后保存的zip包,截图如下所示:

2、等待jadx反编译完毕后,我们使用查找参数名和关键字的方法进行加密位置定位,截图如下所示:

温馨提示:此刻如果你电脑内存不够16个G,介意还是换个电脑再来操作,相信我绝对没有错。

3、经过分析及追踪java源代码,最后定位到authorization参数加密的位置如下图所示:

总结:分析上面authorization的加密逻辑,我们需要确定return返回值中包含的多个参数的初始值即可完成对该参数的算法还原,接下来我们一起进入hook调试环节分析一下该算法吧。

三、frida hook调试

1、想要获取加密逻辑,我们首先需要先拿到str、e3、d2、f2的初始值,先hook一下c方法,构建frida代码如下所示:

2、启动frida脚本,执行刚刚写好的hook代码后,刷新手机界面,分析截图如下所示:

此刻,我们将charles中的该请求包也截图,进行对比分析,截图如下:

总结:观察上面两张图的参数值,我们可以清楚地看到入参、出参和charles中的参数一一对应,接下来我们只需要还原每一个参数算法即可。

3、各个参数hook调试分析后,所有参数初判断总结如下:

  • e3  当前unix时间戳,10位

  • d2  五位随机字符,由字母和数字组合。

  • str 40位长度,初步怀疑为sha1加密 待定分析

  • str2 40位长度,初步怀疑为sha1加密 待定分析

  • f2  hmac sha1加密,通过分析java源码得出

3.1  f2 参数 hook代码如下所示:

3.2  终端打印入参及出参输出如下所示:

4、接下来我们分析下str、str2两个参数的生成规则,只要解决掉这两个参数,我们就可以实现authorization参数的算法还原。经过多次hook,我们发现str、str2的值好像是固定不变的,截图如下所示:

结论:由于没有突破口,进行app卸载后重新安装,使用frida脚本重新hook,将hook到的str、str2的值进行查找,发现了该值是有新的接口返回的,截图如下所示:

frida hook界面截图如下:

charles定位截图如下:

总结:此刻我们已经知道了str、str2的生成规律,我们只需要还原该接口请求就能实现str、str2的参数生成,接下来我们需要对sign参数进行解密分析。

5、使用jadx查找sign参数,最后定位到该参数位置截图如下所示:

5.1  编写frida脚本进行函数hook,代码截图如下:

5.2  启动刚刚编写的hook脚本,终端输出截图如下:

5.3  此刻我们查看charles中的数据包sign截图如下:

总结:sign参数生成方法定位后,我们只需要还原sign加密方法即可完成所有代码闭环。

6、sign加密方法定位后,我们追踪java代码,最后确定到native层路径,截图如下:

总结:加载so、通过native关键字定义了需要调用的方法getSign,也就是说,它这里调用的是so层的加密算法,so是什么?简单来说,它是c/c++编译后的产物。context、bArr变量我们都已经知道明文信息,接下来,我们需要用ida打开so文件,去探索so层对该方法做了哪些加密操作吧。

四、ida动态注册分析

1、两个参数值确定了,下面要做的工作就是分析so层的加密算法获取sign值。我们通过压缩软件打开apk,因为我手机的cpu类型是arm64-v8a, 是向下兼容的,选择使用armeabi-v7a中的so文件是可以的。找到目标文件,使用ida打开后截图如下所示:

2、使用ctrl+F查找静态注册的指定方法名,结果无法搜寻到,这个时候可以肯定java调用的方法名在so文件中是动态注册的。找到JNI_Onload,点击该方法,使用F5打开该方法,截图如下所示:

3、点击v4后面的地址off_5004[0]进入指定代码块进行分析,截图如下所示:

总结:这个时候我们看到了java层的getSign方法和java层该方法的两个参数类型,接下来我们继续追踪分析so层是如何加密的。

4、点击sub_131c+1地址,然后按F5进入指定代码块,截图如下所示:

说明:这个地方会有签名校验,判断我们是否重新打包。如果为true,则直接返回0,否则执行下面的操作。

5、继续点击sub_1094地址方法,进入新的代码块,最新截图如下图所示:

总结:这个代码逻辑是拿我们在java native接口函数中传递的字符串与So中的字符串进行比较,然后给v8变量赋值,之后的加密逻辑会使用到v8变量。

6、点击sub_1B04地址进入到最新代码块区域,截图如下所示:

7、点击上图四个常量,然后点击按键H格式化常量值转为16进制,截图如下所示:

总结:看过md5源码的同学,应该对这个四个常量比较熟悉吧,这不就是A、B、C、D四个常量值吗?到这里,我们可以肯定,sign的加密算法就是md5加密;sign值的生成规则其实是指定参数拼接不同包名对应的salt进行md5加密即可。接下来,让我们进入算法还原环节吧!

五、算法还原 

1、sign参数算法还原如下:

import hashlib
def get_sign():
    salt = "PeCkE6Fu0B10Vm9BKfPfANwCUAn5POcs"
    data = f'X-UA=V=1&PN=xxx&VN_CODE=224003000&LOC=CN&LANG=zh_CN&CH=seo-baidu&UID=07e90f02-7def-4f28-a0b4-70098396e1df&NT=1&SR=1080x1794&DEB=Google&DEM=Pixel+2&OSV=10&action=active&android_id=84c16aaccd10a6e5&cpu=arm64-v8a&model=Pixel 2&name=Google&nonce=istb4&pn=0&push_id=6ce79a19f68c48779463dc893589c46c&screen=1080x1794&supplier=1&time=1671172755&uuid=07e90f02-7def-4f28-a0b4-70098396e1df&version=10{salt}'
    sign = hashlib.md5(data.encode(encoding='UTF-8')).hexdigest()
    print("e6a071ae2dc6cd117278b0f9d2fa04b1")
    print(sign)

pycharm终端输出如下:

总结:解决sign参数后,也就意味着str、str2参数我们能够获取到了,接下来我们对authorization参数mac做算法还原。

2、mac参数算法还原如下:

def get_mac():
    data = "1649340509\nhi9b4\nGET\n/landing/v5/timeline-with-device?action=refresh&X-UA=V%3D1%26PN%3D%26VN_CODE%3D224003000%26LOC%3DCN%26LANG%3Dzh_CN%26CH%3Dseo-baidu%26UID%3Dc2ff8daf-08ca-4e54-b051-6c5fde70bdda%26NT%3D1%26SR%3D1080x1794%26DEB%3DGoogle%26DEM%3DPixel%2B2%26OSV%3D10&show_channel_app=1\napi.xxxdada.com\n443\n\n"
    str2 = "d1e76439035449b521ea6c3d27aae758ef05ec65"
    mac = hash_hmac(data, str2)
    print("new--------")
    print(mac)
    print('ori--------')
    print("qrcn7ei6EBAPs/LkBO+undcifsk=")


def hash_hmac(code, key):
    hmac_code = hmac.new(key.encode(), code.encode(), sha1).digest()
    return base64.b64encode(hmac_code).decode()
 

pycharm终端输出如下:
 

 

总结:走到这里所有算法还原就结束了。我们只需要把分析的每个参数进行字符串拼接即可实现对authorization参数的生成!最后一步流程就省略了,结果已经很明朗了,感谢各位读者朋友阅读!
 

 

 

 

六、总结分享
 

 

回顾整个分析流程,本次难点主要概括为以下几点:
 

 

  •  
    如何快速定位加密参数的位置
     
  •  
    熟悉hmac sha1加密算法
     
  •  
    熟悉md5源码加密实现
     
  •  
    熟悉ida、jadx、frida使用
     
 

 

今天分享到这里就结束了,欢迎大家关注下期文章,我们不见不散⛽️
 

 

文章来源:逆向与爬虫的故事(公众号)
 

原文链接:某游戏社区App | So层逆向分析
 

微信搜:逆向与爬虫的故事;给我一个关注!
 

 


                

        

        

    

  


            

                    
            

    

      

        

            

              
                
                  逆向与爬虫的故事
                
              
            

            

                关注
              
            

        

        

          
      

      

            

                专栏目录
          









                



	

		

			

				
					
总结IDA调试app so库的三种方法

				
			

			

				

					zzwlpx的博客
				

				

					06-01
					
					1万+
					
				

			

		

		

			
				
        本文总结网上一些做法,结合自己的经验,提供不反编、修改、重新编译apk而调试app的方法。一、ida动态启动调试(1)打开ida,直接将apk拖到ida中,选择class.dex,如下图:注意:也可以将apk解压之后,直接将class.dex拖拽至ida。(2)双击打开class.dex后,设置debug选项(3)点击set specific option,设定包名及入口方法注意:...

			
		

	



                

              
                



	

		

			

				
					
.so文件反编译_记一次APP的so算法逆向(四)

				
			

			

				

					weixin_39788051的博客
				

				

					11-27
					
					2121
					
				

			

		

		

			
				
“前言:初学逆向 请多多指教 这个10月即将结束,这也是我第一个月的逆向学习 很感谢一直有41个人关注我...”学习到的内容—1、不同反编译工具的不同2、Frida Memory对象的使用01—APP登陆界面:POST  http://mobile.fjtv.net/haibo4/m_login.php?system_version=5.1.1&app_version=3.0....

			
		

	



                


  
              

                


	

		

			

				
					
app逆向学习记录——1

					
最新发布

				
			

			

				

					dbhbc的博客
				

				

					08-10
					
					224
					
				

			

		

		

			
				
app逆向学习记录

			
		

	





	

		

			

				
					
逆向so_某一次APP的so算法逆向

				
			

			

				

					weixin_29696999的博客
				

				

					01-15
					
					2910
					
				

			

		

		

			
				
“前言:初学逆向 请多多指教”01—这里直接通过雷电模拟器进行抓包,app登陆口如下:发现这个app是不走代理的流量的,一般这里的解决方法可以对app的Http请求框架进行hook或者是进行全局抓包,这里使用的是HttpAnalyzer工具进行抓包POST/login?vno=4.3.0HTTP/1.1Content-Type: application/x-www-form-url...

			
		

	



		

			
		



	

		

			

				
					
红米k30  允许调用gpu调试_记一次APP的so算法逆向(六)

				
			

			

				

					weixin_39901685的博客
				

				

					11-04
					
					783
					
				

			

		

		

			
				
“前言:初学逆向 请多多指教”学习到的内容—1、在java,对容器类的对象进行hook来进行快速定位2、ida的findcrypt插件对so的算法快速识别3、文章分析简单,就是记录了一次新的hook思路,没有新的套路,就当作练手了,有一个字段没有分析出来,之后知道了会补上的算法逆向过程—APP登陆界面:数据包(请求和相应)如下:POST /api/v1/auth/login/sms...

			
		

	





	

		

			

				
					
android 逆向so,逆向Android SO,以《遇见》App为例

				
			

			

				

					weixin_32021519的博客
				

				

					05-27
					
					361
					
				

			

		

		

			
				
工具:IDA6.6,不会发图,只能用文字描述了。研究过《遇见》登录的同学可能都知道,只要修改过APK,在登录时都会提示软件盗版。经研究登录时safecode字段有问题,可能是验证了签名。在libiaroundnet.so中Java_net_iaround_utils_NativeLibUtil_aaa实现。步骤1:下载http://gdown.baidu.com/data/wisegame.....

			
		

	





	

		

			

				
					
Android 简单的so逆向

				
			

			

				

					有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
				

				

					06-27
					
					1549
					
				

			

		

		

			
				
有兴趣的同学可以关注下我的个人公众号和星球公众号链接星球链接。

			
		

	





	

		

			

				
					
Frida Hook 常用函数、java  hook、so  hook、RPC、群控

				
			

			

				

					墨鱼菜鸡
				

				

					07-11
					
					4167
					
				

			

		

		

			
				
From:Frida hook 常用函数分享:https://www.52pojie.cn/thread-1196917-1-1.html From:Frida Hook Android 常用方法:https://blog.csdn.net/zhy025907/article/details/89512096 
 
 Frida 使用:https://z...

			
		

	





	

		

			

				
					
Frida:轻量级SO级别Hook框架

				
			

			

				

					
				

			

		

		

			
				
"Frida 是一个轻量级的动态代码插桩工具,主要用于移动安全领域的APP逆向分析。它可以对指定进程中的SO模块进行hook,提供Python和JavaScript接口,支持主控端与目标进程的交互,允许实时监控和修改。Frida的功能...

			
		

	





	

		

			

				
					
红队专题-REVERSE汇编/二进制PWN/逆向/反编译

				
			

			

				

					aming小老弟
				

				

					10-10
					
					1374
					
				

			

		

		

			
				
ROP(Return-Oriented Programming)链是一种计算机安全领域中的攻击技术,用于绕过内存执行保护措施,实现利用漏洞进行代码注入和控制流劫持。由一系列已存在于程序内存中的代码片段(称为gadget)组成的,这些片段通常是程序的合法指令序列。通过将这些gadget按照特定的顺序串联起来,攻击者可以构造出一条可执行的ROP链,用于实现特定的攻击目的。ROP链的基本原理依赖于已存在的代码片段,而不是插入自定义的恶意代码。这样可以避免执行数据区域中的恶意代码,

			
		

	





	

		

			

				
					
[AI in security]-216 开源威胁情报线索【仅供学习研究使用】

				
			

			

				

					
				

				

					08-08
					
					1567
					
				

			

		

		

			
				
暗网大屏:https://gcokedsa123.grafana.net/dashboard/snapshot/2OJ9OtmtitwiGcIqwIVhvzgmTKDBtTkF?9.深信服安全中心 https://wiki.sec.sangfor.com.cn/index/abroad。微步测绘:https://x.threatbook.com/v5/mapping。火花:https://ti.venuseye.com.cn/#/home。

			
		

	





	

		

			

				
					
当你写爬虫抓不到APP请求包的时候该怎么办?【初级篇】

				
			

			

				

					简书博客搬家测试账号
				

				

					02-12
					
					1044
					
				

			

		

		

			
				
欢迎关注天善智能,我们是专注于商业智能BI,人工智能AI,大数据分析与挖掘领域的垂直社区,学习,问答、求职一站式搞定!
对商业智能BI、大数据分析挖掘、机器学习,python,R等数据领域感兴趣的同学加微信:tstoutiao,邀请你进入数据爱好者交流群,数据爱好者们都在这儿。
作者:loco  Python爱好者社区专栏作者知乎:https://w...

			
		

	





	

		

			

				
					
wifi定位算法 java_记一次APP的so算法逆向(七)

				
			

			

				

					weixin_39530557的博客
				

				

					12-11
					
					630
					
				

			

		

		

			
				
“前言:初学逆向 请多多指教 好累 感觉每天这样肝 人有点受不了了...”学习到的内容—1、新学习到IDA的一些分析时候的小技巧2、算法还原代码实现的练习(有个参数没有分析出来,后面知道了会补上的)3、在Frida中使用命令行调试的方便方法分析过程—APP登陆界面:请求包:POST /api/adult/check_guest HTTP/1.1Content-Type: app...

			
		

	





	

		

			

				
					
第7章so逆向流程控制分析

				
			

			

				

					安全参透之旅
				

				

					03-17
					
					688
					
				

			

		

		

			
				
第7章so逆向流程控制分析
 
环境配置
1、 Ubuntu15.10系统IP:192.168.153.130
2、 工具 make 和 IDA
 
 
1、 交叉编译使用make命令
编译后会生成if、if.o、if.S文件
2、 接着使用IDA工具打开if文件查看ARM汇编代码

3、 查看if0的流程图语句,双击if0位置后按空格键进入



将var_8参数位

			
		

	





	

		

			

				
					
Android逆向——过frida检测+so算法逆向

					
热门推荐

				
			

			

				

					weixin_43889136的博客
				

				

					11-07
					
					1万+
					
				

			

		

		

			
				
过frida检测
sodes算法分析
somd5算法分析

			
		

	





	

		

			

				
					
Android逆向分析--so文件

				
			

			

				

					oBuYiSeng的博客
				

				

					03-07
					
					1647
					
				

			

		

		

			
				
1、创建名称为hello的Android工程,借助Eclipse ADT插件快速添加Native Support的方法
android工程右键--》Android Tools--》Add Native Support即可




2、在MainActivity中编写如下代码
public class MainActivity extends ActionBarActivity {



			
		

	





	

		

			

				
					
android逆向分析so,Android逆向 之 IDA静态分析so(一)

				
			

			

				

					weixin_31070201的博客
				

				

					05-25
					
					1040
					
				

			

		

		

			
				
概述本文使用IDA对android调用so进行静态分析,以此实验掌握so的一些分析技巧。前置条件ARM 汇编 (虚拟机为armebi-v7a)IDA的基本使用JNI开发基础Android中调用so# direct methods# 加载so库.method static constructor ()V.locals 1.prologue.line 26const-string v0, "veri...

			
		

	





	

		

			

				
					
安卓逆向-SO相关HOOK

				
			

			

				

					m0_63462097的博客
				

				

					07-07
					
					1199
					
				

			

		

		

			
				
so相关枚举与hook

			
		

	





	

		

			

				
					
BitLocker驱动器加密使用

				
			

			

				

					史凯力
				

				

					12-31
					
					4325
					
				

			

		

		

			
				
Windows BitLocker驱动器加密通过加密Windows操作系统卷上存储的所有数据可以更好地保护计算机中的数据。
BitLocker使用TPM帮助保护Windows操作系统和用户数据,并帮助确保计算机即使在无人参与、
丢失或被盗的情况下也不会被篡改。小小驿站网这里给大家介绍一下使用方法。
这种加密重启电脑以后第一次打开盘符需要输入密码
1、控制面板

2、打开Windows BitLocker驱动器加密

3、打开BitLocker —— 选择需要加密的盘符。

4、设置密码

5、密钥保存方式以

			
		

	





	

		

			

				
					
某flutter-app逆向分析

				
			

			

				

					09-16
				

			

		

		

			
				
某flutter-app逆向分析是指对于一个使用flutter框架开发的应用进行逆向工程分析。逆向工程是通过分析应用的代码、二进制文件等来了解其内部实现细节。

首先,我们需要获取该应用的安装包文件(APK或IPA文件),然后进行解包操作,将其转换为可读取的文件目录结构。

接下来,我们可以使用一些工具来提取应用的资源文件、代码文件等。对于flutter-app来说,可以提取出dart文件,这是flutter的主要代码文件,其中包含了应用的逻辑实现。

通过阅读dart文件,我们可以了解应用的代码结构、数据模型、界面设计等。可以分析应用的逻辑实现方法,包括各种函数、类、方法的调用关系。

同时,还可以通过分析相关配置文件、资源文件等来了解应用的各种设置、资源加载方式等。

在逆向过程中,还可以使用一些调试工具来进一步了解应用的运行机制。例如,hook工具可以拦截应用的函数调用,并捕获输入输出数据,用于进一步分析。

逆向分析的目的可以有很多,比如了解应用的工作原理、发现潜在的漏洞或安全问题、提供参考用于自己的开发等。

需要注意的是,逆向分析需要遵守法律规定。未经授权的逆向分析可能侵犯他人的知识产权,涉及到隐私等方面的问题。因此,在进行逆向分析之前,应该了解并遵守当地相关法律法规,避免产生法律纠纷。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  





	
打赏作者

	

		

		
			
		
		

		

			
逆向与爬虫的故事

			
你的鼓励将是我创作的最大动力

		

	

	

			

	

	

    ¥1
    ¥2
    ¥4
    ¥6
    ¥10
    ¥20
	

	

		

			

				

					扫码支付:¥1
				

				

					

					
					获取中
					

				

				

					
					
					扫码支付
				

			

		

		

			
您的余额不足,请更换扫码支付或充值

			
打赏作者

		

	



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值