app逆向入门案例一

已于 2023-11-23 18:43:11 修改
阅读量1.1k 收藏 8
点赞数 18
文章标签: java
于 2023-11-23 18:40:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43985113/article/details/134583858
版权

app逆向入门案例一

样本

JXU2NjEzJXU3M0VEJTIwNS4xLjA=

目标:实现登录

1、抓包分析

接口:https://m.yiban.cn/api/v4/passport/login

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?在这里插入图片描述

多次抓包发现只有password参数在发生变化。

2、跟踪password参数的生成过程

objection -N -h <ip> -p 57575 -g com.yiban.app explore -P ~/.objection/plugins

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?在这里插入图片描述

用objection的搜索发现okhttp3.

所以直接选择在点击登录之后直接查看okhttp3.Request$Builder的实例

plugin wallbreaker objectsearch okhttp3.Request$Builder

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?在这里插入图片描述
选择最新生成的那个对象并查看
![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=C%3A%5CUsers%5CAdmin%5CDesktop%5C%E7%AC%94%E8%AE%B0%5Cimages%5Cimage-20231123180420488.png!%5Bimage-在这里插入图片描述

运气很好发现password参数就在Builder的tags中,我们直接把tag方法 hook住,查看它的调用栈。

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=C%3A%5CUsers%5CAdmin%5CDesktop%5C%E7%在这里插入图片描述

配合静态代码(dexdump将dexdump出并用010去修复文件头https://github.com/hluwa/frida-dexdump)分析password的加密过程在m70.j中

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=C%3A%5CUsers%5CAdmin%5CDesktop%5C%在这里插入图片描述

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?在这里插入图片描述

str:明文密码
JNIHelper.getEncodePwdPublicKey():加密密钥   固定参数 加密密钥 通过hook获取到
WXMediaMessage.DESCRIPTION_LENGTH_LIMIT :1024 固定参数

在这里插入图片描述

3、password加密参数生成

尝试过完全脱机去生成password的加密,但是java的Cipher不支持”RSA/None/PKCS1Padding“,又对这个加密不熟悉无法手撸一个。就自己写了一个app去主动调用这个加密方法,然后通过python rpc生成。

android studio

package com.example.yibanpassword;

import android.os.Build;
import android.util.Base64;

import java.security.Key;
import java.security.KeyFactory;
import java.security.spec.PKCS8EncodedKeySpec;
import java.security.spec.X509EncodedKeySpec;

import javax.crypto.Cipher;

public class EncryptPassword {
    public static String getPassword(String password){
        String JNIHelper = "通过hook获取到的加密密钥";
        int length = 1024;
        String key = "RSA/None/PKCS1Padding";
        return new String(c(j(password.getBytes(), a(JNIHelper.getBytes()), length, key, true)));
    };

    private static byte[] j(byte[] bArr, byte[] bArr2, int i, String str, boolean z) {
        KeyFactory keyFactory;
        Key generatePrivate;
        int i2;
        if (bArr != null && bArr.length != 0 && bArr2 != null && bArr2.length != 0) {
            try {
                if (Build.VERSION.SDK_INT < 28) {
                    keyFactory = KeyFactory.getInstance("RSA", "BC");
                } else {
                    keyFactory = KeyFactory.getInstance("RSA");
                }
                if (z) {
                    generatePrivate = keyFactory.generatePublic(new X509EncodedKeySpec(bArr2));
                } else {
                    generatePrivate = keyFactory.generatePrivate(new PKCS8EncodedKeySpec(bArr2));
                }
                if (generatePrivate == null) {
                    return null;
                }
                Cipher cipher = Cipher.getInstance(str);
                if (z) {
                    i2 = 1;
                } else {
                    i2 = 2;
                }
                cipher.init(i2, generatePrivate);
                int length = bArr.length;
                int i3 = i / 8;
                if (z && str.toLowerCase().endsWith("pkcs1padding")) {
                    i3 -= 11;
                }
                int i4 = length / i3;
                if (i4 > 0) {
                    byte[] bArr3 = new byte[0];
                    byte[] bArr4 = new byte[i3];
                    int i5 = 0;
                    for (int i6 = 0; i6 < i4; i6++) {
                        System.arraycopy(bArr, i5, bArr4, 0, i3);
                        bArr3 = i(bArr3, cipher.doFinal(bArr4));
                        i5 += i3;
                    }
                    if (i5 != length) {
                        int i7 = length - i5;
                        byte[] bArr5 = new byte[i7];
                        System.arraycopy(bArr, i5, bArr5, 0, i7);
                        return i(bArr3, cipher.doFinal(bArr5));
                    }
                    return bArr3;
                }
                return cipher.doFinal(bArr);
            } catch (Exception e) {
                e.printStackTrace();
            }
        }
        return null;
    }

    private static byte[] i(byte[] bArr, byte[] bArr2) {
        byte[] bArr3 = new byte[bArr.length + bArr2.length];
        System.arraycopy(bArr, 0, bArr3, 0, bArr.length);
        System.arraycopy(bArr2, 0, bArr3, bArr.length, bArr2.length);
        return bArr3;
    }

    public static byte[] c(byte[] bArr) {
        if (bArr != null && bArr.length != 0) {
            return Base64.encode(bArr, 2);
        }
        return new byte[0];
    }
    private static byte[] a(byte[] bArr) {
        return Base64.decode(bArr, 2);
    }
}

js

function encryptPassword(inputStr) {
    let result;
    Java.perform(function () {
        var targetClass = Java.use("com.example.yibanpassword.EncryptPassword");
        result = targetClass.getPassword(inputStr)
    })
    return result;
}

rpc.exports = {
    invokemethod01: encryptPassword
}

python

import frida


def message(message, data):
    if message['type'] == 'send':
        print(f"[*] {message['payload']}")
    else:
        print(message)

def rpc_get_password(password):
    session = frida.get_device_manager().add_remote_device('ip:57575').attach('com.example.yibanpassword')
    with open(r"C:\Users\Admin\PycharmProjects\pythonProject\yiban\encryptPassword.js") as f:
        jsCode = f.read()

    # print("加载代码", jsCode)
    script = session.create_script(jsCode)
    script.on("message", message)
    script.load()

    return script.exports.invokemethod01(password)

import time
from time import sleep
import rpcpassword
import requests


def login(encrypt_password):
    headers = {
        "AppVersion": "5.1.0",
        "User-Agent": "YiBan/5.1.0 Mozilla/5.0 (Linux; Android 9; Pixel 3 XL Build/PQ3A.190801.002; wv) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/71.0.3578.99 Mobile Safari/537.36",
        "smdid": "BIopBuOyfxs1eV8zgcKMAWevXxUVBNa3yZznRWhGuNUH4r3uKJoARNZlN05qmqSob/V5r3rw2FNp5eWRy0ePl0Q==",
        "Host": "m.yiban.cn"
    }
    url = "https://m.yiban.cn/api/v4/passport/login"
    data = {
        "app": "1",
        "sig": "70c934af06fff8d2",
        "ct": "2",
        "password": encrypt_password,
        "authCode": "",
        "identify": "c4d74c3b-3698-4386-9feb-33df88523e61",
        "v": "5.1.0",
        "mobile": "自己的电话",
        "sversion": "28",
        "device": "Google:Pixel 3 XL",
        "apn": "wifi",
        "token": ""
    }
    response = requests.post(url, headers=headers, data=data)

    print(response.text)
    print(response)

if __name__ == '__main__':
    login(rpcpassword.rpc_get_password("自己的密码"))

4、效果展示

![外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传](https://img-home.csdnimg.cn/images/20230724024159.png?origin_url=C%3A%5CUsers%5CAdmin%5CDesktop%5C%E7%AC%94%E8%在这里插入图片描述

nse = requests.post(url, headers=headers, data=data)

print(response.text)
print(response)

if name == ‘main’:
login(rpcpassword.rpc_get_password(“自己的密码”))


## 4、效果展示

[外链图片转存中...(img-Vxze9yKO-1700735510314)]

至此完成登录拿到了access_token。
!空!空!
关注
Python爬虫逆向案例:某驾校app登录参数sign分析-frida
2201_76125393的博客
02-23 761
这里简单使用一下frida-rpc,我们不通过app触发得到结果,我们主动调用的方式一般就是frida-rpc解决。看到里边生成了一个sign,然后我们用jadx反编译一下该app,该app是无壳的,然后我们搜一下。安装app后进入app,会提示输入手机号,然后输入一个手机号,点击下一步,进行抓包。str是传入的值,因此我们需要知道str是什么,这里使用frida抓一下。然后修改代码,变为主动调用app里的md5方法。重启app,运行代码,输入手机号,点击下一步。找个网站md5一下,发现和刚开始的值吻合。
最新X货APP逆向教程
06-01
这篇教程关注的是对"X货APP"的逆向分析,该应用的版本为v7.20.1。逆向工程师通常会遇到强制更新、反调试以及网络通信的拦截与分析等问题,本教程将详细介绍如何处理这些挑战。 1. **强制更新的绕过** 当应用强制...
app逆向篇之实战案例-某音乐app
博客
03-09 2200
本文章仅供学习交流,严禁用于任何商业和非法用途,如有侵权,可联系本文作者删除
爬虫----记录某新闻详情页app逆向过程(app逆向初学第一次实战)
bjsyc123456的博客
08-17 1971
记录第一次实战app爬虫逆向
APP逆向案例之(二)对加固APP进行分析和破解
zhaoxiaoba123的博客
11-26 2974
说明:对加固APP进行分析和破解,对发现新版本提示关掉 先对APP窗口类行进HOOK,确定窗口提示用的是那个类。
Android逆向分析案例——某点评APP登陆请求数据解密
热门推荐
生为码农,死亦码奴
08-09 1万+
上一次的逆向分析案例中讲了如何去分析某酒店的APP登陆请求,为了进一步学习如何逆向分析以及学习其他公司的网络传输加解密,本次案例将继续就登陆请求的数据加密进行分析,实现从网络抓包的密文到明文的转换,这次成为炮灰的是某点评的APP~ 首先,分析的步骤还是和上一次分析某酒店的APP那样: 反编译-->找关键代码-->分析请求代码加解密原理-->验证密文到明文准确性。 分析步骤的重点主要是第3
安卓应用逆向过程-(以某班为例)
零琴的Hope
08-11 1168
本文包括以下方面: 搭建手机虚拟环境、软件查壳、软件脱壳、软件抓包、以及常规方法下的反编译以及反编译工具的使用、.so文件的打开等等。 旨在记录反编译过程,避免再次反编译时查阅大量资料解决已遇到的问题,以及提高反编译的效率。希望各路大佬能予以批评指正。
记录第一次完整安卓逆向过程笔记
Ig_thehao的博客
10-06 3004
文章目录前言一、安卓逆向的准备二、刷机+配置+安装app1.安卓系统版本2.手机root+面具安装3.xposed安装三.逆向app总结 前言 作为新时代爬虫er,逆向技能是必不可少的,在博主精心学习了几个月js逆向之后,又把矛头指向了安卓逆向,同为逆向,虽然相同点很多,都是不同点也不少,这里记录一下博主初学安卓逆向步入的几个大坑,和完整逆向的过程,希望能够帮助到安卓逆向新人,望周知!! 一、安卓逆向的准备 工欲善其事,必先利其器,这里给大家推荐一下我在本文中使用过的工具(都在网盘链接里,都给你们安排好.
app逆向学习相关笔记
12-13
在移动应用开发和安全领域,app逆向工程是一个重要的实践环节,它涉及对已安装应用程序的分析,以理解其工作原理、查找潜在漏洞或提取敏感信息。本笔记主要介绍了使用adb命令进行app逆向工程的基础操作,包括adb的...
APP逆向3.滑块教程.avi
08-03
APP破解
APP逆向图片补充.avi
08-03
APP逆向
android菜谱app入门级学习案例
08-28
一个简单的菜谱app 包含分类、菜谱列表、菜谱详情、菜谱收藏、查看收藏、搜索菜谱等基础功能 页面一般,但方便入门学习 主要知识点: 1.radioGroup+fragment实现底部导航栏的切换 2.viewpager展示推荐菜谱 3.使用...
Android逆向实例笔记—续力破解三个Android程序
sorgs
08-24 1万+
这三个app都不是很难。但是主要的目的就是练练手,然后去理理思路。 破解在于多多练习
(1)Java 编程基础概览:数据类型、常量、变量、标识符与运算符
码界领航的Cherry Yang的博客
10-28 999
8 位,占1个字节,有符号的,范围 -128(-2^7)至 127(2^7-1)。32 位,占4个字节,范围 -2,147,483,648(-2^31)至 2,147,483,647(2^31 - 1)。Java 提供了六种数字类型,其中四个为整数类型,两个为浮点类型,还有字符类型,以及布尔型。16 位,占2个字节,范围 -32768(-2^15)至 32767(2^15 - 1)64 位,占8个字节,范围 -2^63 至 2^63 - 1。16 位 Unicode 字符,占 2 个字节。
java_方法递归调用
HHppGo的博客
10-27 481
简单的说: 递归就是方法自己调用自己,每次调用时传入不同的变量.递归有助于编程者解决复杂问题,同时可以让代码变得简洁。
ssm智慧社区电子商务系统+vue
weixin_44832324的博客
10-28 1224
系统能否进行正常工作,功能模块能否实现,程序代码是否有错误,这些都需要通过系统测试来进行判断,测试是程序开发中必不可少的步骤,就算系统一步不差的被开发出来了,但进行测试时总能发现一个之前从没遇到过的问题[26]。在系统开发的整个过程当中都需要不断进行系统测试,根据经验发现,前期的一个小问题,将会酿成后期的一个大问题,所以越早发现,越早解决,才能保证后续的编码、测试和设计能够顺利进行。目前,系统测试所使用的方法主要是黑盒测试,系统测试的目的包括:根据客户的需求来设计用户界面;
Java复习24(PTA)
2301_79272475的博客
10-30 291
Java复习24(PTA):多种排序的book类*
JavaScript的第十一天
最新发布
全栈学习ing
10-31 547
在使用offset系列时需注意该属性为css属性,一般用于和javascript结合使用来获取信息,所以在使用该属性时只能获取值而不能改变值。最近的具有定位属性的祖先元素顶部边缘左侧边缘。
Java爬虫的京东“寻宝记”:揭秘商品类目信息
2401_87849308的博客
10-30 722
在这个数据驱动的时代,我们就像一群特工,穿梭在数字的海洋中,寻找着隐藏的宝藏——商品类目信息。今天,我们将带领你一起,用Java这把精密的瑞士军刀,深入京东的神秘领域,揭开商品类目的神秘面纱。为了避免被京东的反爬虫机制发现,我们需要设置合理的请求间隔,并且可能需要模拟浏览器的User-Agent。经过一系列的特工任务和挑战,我们终于成功获取了商品的类目信息,并且安全返回。我们需要找到京东商品类目信息的API接口,这将是我们特工任务的起点。在代码的世界里,我们不仅要追求技术的高度,更要追求道德的底线。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值