某订房软件算法分析还原

已于 2022-07-16 16:56:30 修改
阅读量591 收藏 2
点赞数 1
文章标签: 大数据 android
于 2022-07-16 16:51:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43729769/article/details/125813175
版权

1,抓包

 2,定位关键位置,

 这次太简单了

frida hook 一下

Java.perform(function(){
        var header=Java.use("com.xxxx.xxxx.xxxx");
        console.log("start hook!!")
        header.a.overload('java.lang.String', 'java.lang.String', 'java.lang.String', 'java.lang.String', 'int', 'long').implementation=function(str1,str2,str3,str4,int1,long){
            console.log("\nstr1",str1,"\nstr2",str2,"\nstr3",str3,"\nstr4",str4,"\nint1",int1,"\nlong",long)
            var  ret=this.a(str1,str2,str3,str4,int1,long)
            //printStack()
            console.log("X-TGH :",ret)
            return ret;
        }

        header.encrypt.implementation=function(str1,str2,str3,str4,int1,long){
            console.log("\nstr1",str1,"\nstr2",str2,"\nstr3",str3,"\nstr4",str4,"\nint1",int1,"\nlong",long)
            var retval=this.encrypt(str1,str2,str3,str4,int1,long)
            console.log("X-TGH encrypt :",retval)
            return retval;
        }
    
    })

 打印结果

str1   null
str2 Mozilla/5.0 (Linux; Android 8.1.0; Pixel Build/OPM4.171019.021.P1; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/61.0.3163.98 Mobile Safari/537.36 tujia(hotel/263/263 mNet/wifi loc/zh_CN)  设备信息
str3 LON=null;LAT=null;AX=null;OY=null;CID=-1;LAC=-1;UID=c93a7674-d056-3b90-a9f9-ff195e6a27c8;OSVersion=8.1.0;AppVersion=263_263;DevType=2;DevModel=Pixel;Manufacturer=Google;;TJM=0;VersionName=8.40.1;    
str4 {"api_level":"263","platform":"1","res":null,"seed":651798267,"session_id":"c93a7674-d056-3b90-a9f9-ff195e6a27c8_1657895363857","timestamp":1657895780,"uid":"c93a7674-d056-3b90-a9f9-ff195e6a27c8"}
int1 196   str4.lenght
long 1657895838  time
X-TGH encrypt : 09b8b7593131ede78b53e91ae9d807684e068cfc
X-TGH : 09b8b7593131ede78b53e91ae9d807684e068cfc

 主动调用一下

function invoke(){
    Java.perform(function(){
        var Gundam = Java.use("com.xxxxxx");
        var StrCls = Java.use('java.lang.String');
        var arg0_str ="";
        var arg0 = StrCls.$new(arg0_str);
        var arg1_str = "Mozilla/5.0 (Linux; Android 8.1.0; Pixel Build/OPM4.171019.021.P1; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/61.0.3163.98 Mobile Safari/537.36 tujia(hotel/263/263 mNet/wifi loc/zh_CN)"
        var arg1 = StrCls.$new(arg1_str);
        var arg2_str = "LON=null;LAT=null;AX=null;OY=null;CID=-1;LAC=-1;UID=c93a7674-d056-3b90-a9f9-ff195e6a27c8;OSVersion=8.1.0;AppVersion=263_263;DevType=2;DevModel=Pixel;Manufacturer=Google;;TJM=0;VersionName=8.40.1;"
        var arg2 = StrCls.$new(arg2_str);
        var arg3_str = "{\"code\":null,\"parameter\":{\"abTests\":{\"T_login_831\":{\"s\":true,\"v\":\"A\"},\"searchhuojia\":{\"s\":true,\"v\":\"D\"},\"listfilter_227\":{\"s\":true,\"v\":\"D\"},\"T_renshu_292\":{\"s\":true,\"v\":\"D\"},\"Tlisttest_45664\":{\"s\":true,\"v\":\"C\"},\"Tlist_168\":{\"s\":true,\"v\":\"C\"},\"T_LIST27620\":{\"s\":true,\"v\":\"C\"}}},\"client\":{\"abTest\":{},\"abTests\":{}"
        var arg3 = StrCls.$new(arg3_str);
        var arg4 = arg3.getBytes().length;
        var arg5 = 1657895838;
        var ret = Gundam.encrypt(arg0,arg1,arg2,arg3,arg4,arg5);
        console.log("invoke encrypt ret:" + ret);

    })
}

3,so层分析。用下Unidbg

第一步先把框架搭起来,

package com.xxxx;

import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.LibraryResolver;
import com.github.unidbg.Module;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.api.PackageInfo;
import com.github.unidbg.linux.android.dvm.api.Signature;
import com.github.unidbg.linux.android.dvm.array.ArrayObject;
import com.github.unidbg.linux.android.dvm.array.ByteArray;
import com.github.unidbg.memory.Memory;
import net.dongliu.apk.parser.bean.CertificateMeta;

import java.io.File;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;

public class xxxx extends AbstractJni {

    private static final String APP_PACKAGE_NAME="xxxx";
    private final AndroidEmulator mEmulator;
    private final Memory mMemory;
    private final VM vm;
    private final Module dvmModule;

    xxxx(){
        //创建模拟器实列
        mEmulator = AndroidEmulatorBuilder.for32Bit().setProcessName(APP_PACKAGE_NAME).build();
        //emulator = AndroidEmulatorBuilder.for32Bit().setProcessName(APP_PACKAGE_NAME).build();
        //获取模拟器内存接口
        mMemory = mEmulator.getMemory();
        //设置系统类库解析
        mMemory.setLibraryResolver(new AndroidResolver(23));
        //创建虚拟机,传入apk
        vm = mEmulator.createDalvikVM(new File("F:\\xxx.apk"));
        //加载so
        DalvikModule dvm = vm.loadLibrary(new File("F:\\libtujia_encrypt.so"), true);
        //获取本SO模块的句柄
        dvmModule = dvm.getModule();
        //设置jni
        vm.setJni(this);
        //打印日志
        vm.setVerbose(true);
        // 调用JNI OnLoad
        dvm.callJNI_OnLoad(mEmulator);
    }

    public static void main(String[] args) {
        xxxx xxxx = new xxxx();

    }

    @Override
    public DvmObject<?> callStaticObjectMethod(BaseVM vm, DvmClass dvmClass, String signature, VarArg varArg) {
        switch (signature){
            case "com/xxxx/xxxx/xxxxx->getInstance()Lcom/tujia/hotel/TuJiaApplication;":
                return vm.resolveClass("com/xxxx/xxxx/xxxxx").newObject(signature);
            case "java/security/MessageDigest->getInstance(Ljava/lang/String;)Ljava/security/MessageDigest;":{
                StringObject type = varArg.getObjectArg(0);
                System.out.println(type);
                String name = "";
                if ("\"SHA1\"".equals(type.toString())) {
                    name = "SHA1";
                } else {
                    name = type.toString();
                    System.out.println("else name: " + name);
                }
                try {
                    return vm.resolveClass("java/security/MessageDigest").newObject(MessageDigest.getInstance(name));
                } catch (NoSuchAlgorithmException e) {
                    e.printStackTrace();
                }
            }
        }
        return super.callStaticObjectMethod(vm, dvmClass, signature, varArg);
    }

    @Override
    public DvmObject<?> callObjectMethod(BaseVM vm, DvmObject<?> dvmObject, String signature, VarArg varArg) {
        switch (signature){
            case "com/xxxx/xxxx/xxxxxx->getPackageName()Ljava/lang/String;":{
                return new StringObject(vm,"com.tujia.hotel");
            }
            case "com/xxxx/xxxx/xxxxxx->getPackageManager()Landroid/content/pm/PackageManager;":{
                return vm.resolveClass("android/content/pm/PackageManager").newObject(signature);
            }
            case "java/security/MessageDigest->digest([B)[B":{
                MessageDigest messageDigest = (MessageDigest) dvmObject.getValue();
                byte[] input = (byte[]) varArg.getObjectArg(0).getValue();
                byte[] result = messageDigest.digest(input);
                return  new ByteArray(vm,result);
            }
        }
        return super.callObjectMethod(vm, dvmObject, signature, varArg);
    }

    @Override
    public DvmObject<?> getObjectField(BaseVM vm, DvmObject<?> dvmObject, String signature) {
        switch (signature){
            case "com/xxxx/xxxx/x->xxxxx:[Landroid/content/pm/Signature;":
                return vm.resolveClass("Landroid/content/pm/Signature").newObject(signature);
        }
        return super.getObjectField(vm, dvmObject, signature);
    }
}

补完环境跑一下

[main]D/Gundam: sign input 3 = 3687596384,~= 607370911
[main]D/Gundam: sign arr2 3 = 607370911,tempX= 607370911
[main]D/Gundam: sign input 4 = 699393680,~= 3595573615
[main]D/Gundam: sign arr2 4 = 3595573615,tempX= -699393681
[main]D/Gundam: result = 1
[main]D/Gundam: check result is ok
JNIEnv->RegisterNatives(com/xxxx/xxxx/xxxxx, RW@0x4001f000[libtujia_encrypt.so]0x1f000, 2) was called from RX@0x400040f3[libtujia_encrypt.so]0x40f3
RegisterNative(com/xxxx/xxxx/xxxxx, encrypt(Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;Ljava/lang/String;IJ)Ljava/lang/String;, RX@0x400036a9[libtujia_encrypt.so]0x36a9)
RegisterNative(com/xxxx/xxxx/xxxxx, bodyEncrypt(Ljava/lang/String;JLjava/lang/String;ILjava/lang/String;I)Ljava/lang/String;, RX@0x4000380d[libtujia_encrypt.so]0x380d)

成功跑出来了,现在主动调用一下encrypt();

public void invoke_encrypt() {
        //构建数组
        ArrayList<Object> args = new ArrayList<>();
        DvmClass dvmClass = vm.resolveClass("com/xxxxxx");
        DvmObject<?> dvmObject = dvmClass.newObject(null);
        Object arg0 = vm.addLocalObject(new StringObject(vm, ""));
        String arg1 ="Mozilla/5.0 (Linux; Android 8.1.0; Pixel Build/OPM4.171019.021.P1; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/61.0.3163.98 Mobile Safari/537.36 tujia(hotel/263/263 mNet/wifi loc/zh_CN)";
        Object args1_str=vm.addLocalObject(new StringObject(vm,arg1));
        String arg2 = "LON=null;LAT=null;AX=null;OY=null;CID=-1;LAC=-1;UID=c93a7674-d056-3b90-a9f9-ff195e6a27c8;OSVersion=8.1.0;AppVersion=263_263;DevType=2;DevModel=Pixel;Manufacturer=Google;;TJM=0;VersionName=8.40.1;";
        Object arg2_str=vm.addLocalObject(new StringObject(vm,arg2));
        String arg3 = "{\"code\":null,\"parameter\":{\"abTests\":{\"T_login_831\":{\"s\":true,\"v\":\"A\"},\"searchhuojia\":{\"s\":true,\"v\":\"D\"},\"listfilter_227\":{\"s\":true,\"v\":\"D\"},\"T_renshu_292\":{\"s\":true,\"v\":\"D\"},\"Tlisttest_45664\":{\"s\":true,\"v\":\"C\"},\"Tlist_168\":{\"s\":true,\"v\":\"C\"},\"T_LIST27620\":{\"s\":true,\"v\":\"C\"}}},\"client\":{\"abTest\":{},\"abTests\":{},\"adTest\":{\"m1\":\"Color OS V5.2.1\",\"m2\":\"\"}";
        Object arg3_str=vm.addLocalObject(new StringObject(vm,arg3));
        int arg4_len = arg3.getBytes(StandardCharsets.UTF_8).length;
        long arg5_long=1657895838L;
        args.add(vm.getJNIEnv());   //第一个参数是env
        args.add(0);                //第二个参数一般是jObject或者jClass 可以填写0,一般用不到
        args.add(arg0);
        args.add(args1_str);
        args.add(arg2_str);
        args.add(arg3_str);
        args.add(arg4_len);
        args.add(arg5_long);
        Number number = dvmModule.callFunction(mEmulator, 0x36a9, args.toArray());
        //System.out.println("number :"+number);
        String sign = vm.getObject(number.intValue()).getValue().toString();
        System.out.println("invoke_encrypt sign :"+sign);
    }

unidbg已经跑通了,用ida去看下so文件。

解析完成以后,G->跳转到0x36a9,就是encrypt()的函数地址

 

 能看到这么一个方法,进去瞅瞅

 里面有点乱 ,一点一点看

有两种,第一种,跟着传参看。第二种,从返回值看。

 看这种看起来类似算法常量,复制搜索一下。

接着往下看,

j_tjtxtutf8()   点进去,是base64,有两处调用的

再往下进入tjcreate()

 看这个常量是SHA1的K值,剩下的呢。

SHA1常量:0x67452301, 0xEFCDAB89, 0x98BADCFE, 0x10325476,0xC3D2E1F0 

SHA K值:0x5A827999 ,0x6ED9EBA1,0x8F1BBCDC,0xCA62C1D6

 这是在初始化 SHA1

 猜测一下,j_tjreset(),是运算。j_tjget()是 SHA1的结果

function hook_native(){
    Java.perform(function(){
        var encrypt_addr=Module.findBaseAddress("libxxxx.so")
        console.log("encrypt_addr :",encrypt_addr)
        var sha1_update=encrypt_addr.add(0x2C94+1)
        Interceptor.attach(sha1_update,{
            onEnter:function(args){
                console.log("sha1_update args[0] onEnter:\n",hexdump(args[0],{length:128}))
                this.r0=args[0]
                console.log("\nsha1_update args[1] onEnter:\n",hexdump( args[1], parseInt(args[2])))
            },onLeave:function(retval){
                console.log("\nsha1_update retval onLeave:\n",hexdump(this.r0,{length:128}))
            }
        })
    })
}

主动调用invoke()

 也可以用unidbg HOOK。

先试一下SHA1,

 和我们的sign对不上。

那就是魔改喽,返回到算法里看下。

我们知道 SHA1 只会和常量和K值表进行运算。

所以你算什么?

 测试一下

 好啦

大致流程已经知道了。等下 看下明文是个什么。

 对照咱们的传参比较一下;

1,#arg1_str#arg5#字符串#arg2_str#(arg3_str(排序))

2,字符串反转

3,Base64

4,xor 0x21

5,SHA1

路人。你好
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
php自写预约订时间列表
04-12
这个系统的核心在于实现合理的预约算法,以确保资源的公平分配和有效管理。下面我们将详细探讨如何利用PHP来构建这样的功能。 首先,我们需要设计数据结构来存储间和预订信息。每个间可以有其唯一的ID、名称、...
酒店订系统数据库设计.doc
10-01
酒店订系统数据库设计
使用Java的MessageDigest实现MD5加密算法
NanYII_的博客
04-09 1万+
文章目录前言一、MessageDigest 类是什么?二、方法介绍1、getInstance2、update3、digest4、reset5、isEqual三、使用步骤1.创建报文摘要实例2.传入需要计算的字符串3.计算消息摘要4.处理计算结果四、MD5工具类1.MessageDigest实现对字符串的MD5加密算法2.MessageDigest实现对文本的MD5加密算法3.简化写法五、总结 前言 金三银四,又到了求职招聘旺季,很多粉丝也在此期间找到了工作,开始了自己项目实战的首战,最近有几个粉丝小伙伴向我
Unidbg初步学习记录
qq_44628911的博客
10-14 2398
这个案例网上有很多,适合入门哈哈。
app安全之安卓native层安全分析(三):ida使用+unidbg补环境
m0_61869253的博客
02-20 1970
SO入门实战教程三:V2-Sign_unidbg context_白龙~的博客-CSDN博客还是那句,我会借鉴龙哥的文章,以一个初学者的角度,加上自己的理解,把内容丰富一下,尽量做到不在龙哥的基础上画蛇添足,哈哈。1.看so的调用逻辑,如果有loadlibrary的同时有调用某个方法,unidbg模拟执行的时候也要先调用这个方法2.如果加载so文件的时候,给定的第二个参数是false,加上so文件有字符串加密和混淆的话就会乱码,所以这里最好给为true,ida里,shift+F7,可以看。
unidbg 某汽车类app分析
chilly
12-13 2378
unidbg 模拟执行某汽车app native层算法
unidbg第三讲 com.github.unidbg.android.AndroidTest
xubaoyong的专栏
12-28 1814
讲解例子 类似的例子还有 com.github.unidbg.android.Android64Test 学习内容 手动调用native方法 手动调用JNI_OnLoad方法 手动调用模拟器入口方法 对jni里的env调用callStaticFloatMethod、newObject、setFloatField、SetDoubleField、 getStaticBooleanField等方法进行hook 课前准备及了解的知识: 从源码中知道test文件和libnative.so文.
某市地产动态分析.docx
10-13
### 某市地产动态分析知识点总结 #### 一、背景与目的 - **背景**:为了解决地产市场上存在的不透明交易问题,如“内订”炒、开发商人为控制源、一多卖等问题,某市政府推出了商品销售合同网上备案登记...
酒店订应用figma模板.zip
12-28
《酒店订应用Figma模板解析与设计指南》 在当今数字化时代,高效便捷的酒店订应用已经成为人们出行住宿的重要工具。Figma作为一款云端协作设计工具,因其强大的功能和易用性,逐渐成为UI/UX设计师的首选。本篇...
某酒店管理案例企业培训分析.pptx
10-14
【知识点分析】 1. 销售策略:案例中的两名推销员面对同样的市场环境,采取了截然不同的态度。一名推销员看到的是困难,认为没有市场潜力;另一名则看到了机会,认为这里是未开发的市场。这反映了销售策略的差异,...
让C++也支持RMI
杨德龙的专栏
08-11 2864
http://www.vckbase.com/document/viewdoc/?id=1846 作者:王树栋下载源代码摘要RMI( Remote Method Invocation),远程方法访问,作为java最早的分布式解决方案给网络程序的设计带来了极大的方便。尤其是在做C/S开发中,程序员不必关心底层网络通讯细节,即可像调用本地对象方法一样调用远端对象方法,方便了程序员编程。
SO逆向入门实战教程三:V2-Sign
lilac的博客
06-03 9959
文章目录一、前言二、准备三、Unidbg模拟执行四、算法还原五、尾声 一、前言 这是SO逆向入门实战教程的第三篇,上篇的重心是Unidbg的Hook使用,本篇的重点是如何在Unidbg中补齐JAVA环境以及哈希算法的魔改。 侧重新工具、新思路、新方法的使用,算法分析的常见路子是Frida Hook + IDA ,在本系列中,会淡化Frida 的作用,采用Unidbg Hook + IDA 的路线。 主打入门,但并不限于入门,你会在样本里看到有浅有深的魔改加密算法、以及OLLVM、SO对抗等内容。 对样本.
浅谈javaz中的MD5加密
Kting_Night的博客
08-05 288
MD5是常用的加密算法,也经常用于校验信息完整,如文件的完整性。用术语讲,MD5是一种消息摘要算法(Message Digest Algorithm)。另外还有一种常用的消息摘要算法SHA1。如果想了解这些的话,可以去百度百科:MD5、SHA1、消息摘要算法。 Java已经实现了MD5、SHA1算法。利用java.security.MessageDigest类就可以获取字符串和文件的MD5以及S...
java.security.MessageDigest的使用(1)!
热门推荐
噬日者
01-08 3万+
    我们知道,编程中数据的传输,保存,为了考虑安全性的问题,需要将数据进行加密.我们拿数据库做例子.如果一个用户注册系统的数据库,没有对用户的信息进行保存,如,我去页面注册,输入"Vicky","123456".注册.web服务器未对数据进行加密而直接写入数据库,那么数据库中的用户信息,便是一个直接可用的数据!一旦服务器服务器被黑~那么用户的信息将毫无保留的展现在黑客面前...为了解决这个弊端
Unidbg参数传递时一个常见的坑
lilac的博客
06-23 5828
一、问题描述 本篇描述一个常见且隐蔽的坑,新手很容易一头雾水。我写了个demo,里面包含两个方法。快来看看吧! JAVA代码 package com.roysue.test623; import androidx.appcompat.app.AppCompatActivity; import android.os.Bundle; import android.view.View; import android.widget.Button; import android.widget.TextView;
unidbg 模拟执行案例(某汽车类app)(续)
chilly
12-21 2439
unidbg 模拟执行案例 直接frida hook hookClass.addCheckCode.overload('java.lang.String', 'int').implementation = function (p1, p2) { console.log('222p1 ===> ' + p1); console.log('222
攻防世界illusion暴力破解
Devil丶LY
08-04 2485
算法是不可能看算法的,这辈子都不可能看算法的,汇编又不会,出题人又苟得一匹,加密算法就算每一行都看懂了也不知道整体函数是干嘛的,只有暴力破解这种东西才能维持生活。
Kafka快速入门:Kafka驱动JavaApi的使用
dxh9231028的博客
08-20 776
Kafka的事务机制是一项强大的功能,旨在确保消息的原子性写入以及提供"Exactly Once"语义(EOS),特别适用于需要高度可靠性的数据流处理和分布式系统。
SpringBoot整合MQ
最新发布
weixin_55772633的博客
08-24 709
springboot整合ActiveMQ提供了JmsMessagingTemplate对象作为客户端操作消息队列操作ActiveMQ需要配置ActiveMQ服务器地址,默认端口61616企业开发时通常使用监听器来处理消息队列中的消息,设置监听器使用注解@JmsListener配置jms的pub-sub-domain属性可以在点对点模型和发布订阅模型间切换消息模型。
酒店订管理系统需求分析
10-22
酒店订管理系统是为了帮助酒店管理者更好地管理和经营酒店而设计的。其主要功能包括管理客、管理餐厅、管理各级密保、修改特别账单、设置系统参数、数据整理、经营情况诊断、数据分析和查询酒店各级信息等操作。具体来说,酒店订管理系统需要满足以下需求: 1. 客管理:包括客信息的录入、查询、修改和删除,客状态的管理,客预订和入住管理等。 2. 餐厅管理:包括餐厅信息的录入、查询、修改和删除,餐厅菜单的管理,餐厅预订和就餐管理等。 3. 密保管理:包括系统用户的管理,权限的分配和控制,密码的修改和重置等。 4. 特别账单管理:包括特殊客户的账单管理,如会员、团队、旅行社等。 5. 系统参数设置:包括系统基本信息的设置,如酒店名称、地址、电话等,以及系统功能的设置,如预订规则、价格策略等。 6. 数据整理:包括客、餐厅、特别账单等数据的整理和归档,以及数据备份和恢复等。 7. 经营情况诊断:包括酒店经营情况的分析和诊断,如客入住率、餐厅就餐率、收入和支出等。 8. 数据分析:包括酒店经营数据的分析和报表生成,如客入住分析、餐厅销售分析等。 9. 查询酒店各级信息:包括客、餐厅、特别账单等信息的查询和统计。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值