某网赚游戏sign解密

最新推荐文章于 2023-09-26 21:06:11 发布
最新推荐文章于 2023-09-26 21:06:11 发布
阅读量4.5k 收藏 2
点赞数 4
分类专栏: 安卓逆向 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44348983/article/details/121275266
版权

某网赚游戏分析时,提示我root机无法正常登录,打算深入看看。

抓包发现其会提交设备及环境信息上去:

 换个手机,尝试修改root、black_app等参数,发现最终响应数据显示失败,前面可能会有验证

重新抓一次,发现应用第一步登录时,会下发一个token,由token和请求参数 最终会运算得到一个sign,由sign来验证是否改了包

登录时的请求参数

响应数据

{
"code": 200,
"msg": "success",
"time_stamp": "2021-09-30 15:32:53",
"token": "MDQzMTZlMzg5OTEwNDNiM2E2YzYyNTE2ZGI1ZmM1NjNjRDIyODJEOQ=="
}

这个下发的token后面都会用到

通过分析代码发现其sign的运算比较简单:

1 通过一个native函数getSignKey得到key

2 param=所有请求参数中,除了channel 和 app_id字段外,其他字段的拼接(当然sign字段也不算,他此时还没算出来呢)

3 第二步的param再拼接上第一步的key

4 对第三部的结果求md5,最后就得到sign的值

所以关键还是要得到这个native函数getSignKey返回的key,通过对该native函数hook,发现其参数二为app_id,参数三为channel

函数原型:public static native String getSignKey(Context context, String str, String str2);

下面看汇编代码

.text:00002E18 var_7C = -0x7C
.text:00002E18 var_24 = -0x24
.text:00002E18 var_14 = -0x14
.text:00002E18 var_10 = -0x10
.text:00002E18 arg_0 = 8
.text:00002E18
.text:00002E18 ; __unwind {
.text:00002E18 PUSH {R4-R7,LR}
.text:00002E1A ADD R7, SP, #0xC
.text:00002E1C STR.W R8, [SP,#0xC+var_10]!
.text:00002E20 SUB SP, SP, #0x70
.text:00002E22 MOV R8, R0
.text:00002E24 LDR R0, =(__stack_chk_guard_ptr - 0x2E2E)
.text:00002E26 MOV R1, R2               ; context -> R1 将上下文放入R1
.text:00002E28 MOV R5, R3               ; param2 -> R5 将参数2放入 R5
.text:00002E2A ADD R0, PC ; __stack_chk_guard_ptr
.text:00002E2C LDR R0, [R0] ; __stack_chk_guard
.text:00002E2E LDR R0, [R0]
.text:00002E30 STR R0, [SP,#0x80+var_14]
.text:00002E32 MOV R0, R8
.text:00002E34 BLX j_getSign
.text:00002E38 MOV R0, R8
.text:00002E3A MOV R1, R5              ; 对 param2 转换为 cstr
.text:00002E3C BLX j_Jstring2CStr
.text:00002E40 LDR R1, [R7,#arg_0]     ; 由于 JNIEnv 和 this 的站位,参数3在native变成第五个参数,该参数由栈传递
.text:00002E42 MOV R6, R0
.text:00002E44 MOV R0, R8
.text:00002E46 BLX j_Jstring2CStr     ; 对 param3 转换为 cstr
.text:00002E4A MOV R4, R0
.text:00002E4C MOV R0, R6 ; s
.text:00002E4E BLX strlen             ; 求 param2 的长度
.text:00002E52 MOV R5, R0
.text:00002E54 MOV R0, R4 ; s
.text:00002E56 BLX strlen             ; 求 param3 的长度
.text:00002E5A ADD R0, R5             ; 将 param2 与 param3 长度相加
.text:00002E5A                        ; size = len(param2) + len(param3) + 0x10
.text:00002E5C ADDS R0, #0x10 ; size
.text:00002E5E BLX malloc             ; 向内存申请size大小的空间
.text:00002E62 MOV R1, R6 ; src
.text:00002E64 MOV R5, R0
.text:00002E66 BLX strcpy
.text:00002E6A MOV R0, R5 ; dest
.text:00002E6C MOV R1, R4 ; src
.text:00002E6E BLX strcat            ; 将 param2 放入申请的buff 然后拼上 param3
.text:00002E72 MOV R0, R5 ; s
.text:00002E74 BLX strlen
.text:00002E78 LDR R1, =(aZEjgup850fHaba - 0x2E82)
.text:00002E7A ADD R0, R5
.text:00002E7C MOVS R2, #0x11
.text:00002E7E ADD R1, PC ; "Z#EJgUP850F*HaBA"
.text:00002E80 BLX __aeabi_memcpy    ; 再拼上 Z#EJgUP850F*HaBA
.text:00002E80                       ; buff = param2 + param3 + Z#EJgUP850F*HaBA
.text:00002E84 MOV R0, R5 ; s
.text:00002E86 BLX strlen
.text:00002E8A ADD R6, SP, #0x80+var_7C
.text:00002E8C MOV R4, R0
.text:00002E8E MOV R0, R6
.text:00002E90 BLX j_MD5Init       ; 标准 MD5 算法,在局部变量内填入4个 模数
 
 
以下为 MD5Init函数的汇编代码                                
.text:000020E4 MD5Init                               
.text:000020E4                                        
.text:000020E4 ; __unwind {
.text:000020E4                 PUSH            {R7,LR}
.text:000020E6                 MOV             R7, SP
.text:000020E8                 MOVW            R2, #0x2301            
.text:000020EC                 MOVW            R3, #0xAB89
.text:000020F0                 MOVW            R12, #0xDCFE
.text:000020F4                 MOVW            LR, #0x5476
.text:000020F8                 MOVS            R1, #0
.text:000020FA                 MOVT.W          R2, #0x6745             R2 = 0x67452301
.text:000020FE                 MOVT.W          R3, #0xEFCD             R3 = 0xEFCDAB89
.text:00002102                 MOVT.W          R12, #0x98BA            R12 = 0x98BADCFE
.text:00002106                 MOVT.W          LR, #0x1032             LR = 0x10325476
.text:0000210A                 STRD.W          R1, R1, [R0],#8
.text:0000210E                 STMIA.W         R0, {R2,R3,R12,LR}
.text:00002112                 POP             {R7,PC}
 
查阅资料发现 R2 R3 R12 LR 中的4个常数 刚好为标准MD5算法的4个模数
 
 
下面继续分析getSignKey

.text:00002E94 MOV R0, R6
.text:00002E96 MOV R1, R5
.text:00002E98 MOV R2, R4
.text:00002E9A BLX j_MD5Update     ; 参数一: 被填入MD5算法模数数组的局部变量的地址(传引用)
.text:00002E9A                     ; 参数二: buff
.text:00002E9A                     ; 参数三: len(buff)
.text:00002E9E ADD R4, SP, #0x80+var_24
.text:00002EA0 MOV R0, R6
.text:00002EA2 MOV R1, R4
.text:00002EA4 BLX j_MD5Final       ; 完成KD5 运算,并将结果写入参数er中(R1)
.text:00002EA8 MOVS R0, #0x21 ; '!' ; size
.text:00002EAA BLX malloc           ; 申请长度33的空间
.text:00002EAE MOV R5, R0
.text:00002EB0 MOV R0, R4
.text:00002EB2 MOV R1, R5
.text:00002EB4 MOVS R2, #0x10
.text:00002EB6 BLX j_ByteToHexStr    ; 将byte转换为 16进制 字符串
.text:00002EBA MOVS R0, #0
.text:00002EBC MOV R1, R5
.text:00002EBE STRB.W R0, [R5,#0x20]  ; 在该缓冲区第33位写入0
.text:00002EC2 MOV R0, R8
.text:00002EC4 BLX j_charToJstring    ; 将该长度为 32 的16进制字符串转化为jString并 返回
.text:00002EC8 LDR R1, =(__stack_chk_guard_ptr - 0x2ED0)
.text:00002ECA LDR R2, [SP,#0x80+var_14]
.text:00002ECC ADD R1, PC ; __stack_chk_guard_ptr
.text:00002ECE LDR R1, [R1] ; __stack_chk_guard
.text:00002ED0 LDR R1, [R1]
.text:00002ED2 SUBS R1, R1, R2
.text:00002ED4 ITTT EQ
.text:00002ED6 ADDEQ SP, SP, #0x70
.text:00002ED8 LDREQ.W R8, [SP+0x10+var_10],#4
.text:00002EDC POPEQ {R4-R7,PC}
.text:00002EDE BLX __stack_chk_fail

所以综合以上 getSignKey 函数的功能为对 app_id + channel + Z#EJgUP850F*HaBA 求MD5,还挺简单的。

搞定了sign接下来就可以写个脚本生成sing来改包了

YoooHaaa
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
接口测试加密解密以及接口签名sign原理
mango22_2的博客
05-30 5408
一、什么是加密以及解密 加密:在网络上传输的原始数据(明文)经过加密后形成(密文)传输,防止被窃取。 解密:将加密还原成原始数据 二、加密方式分类 对称式加密:对加密和解密使用的是同一个密钥 非对称式加密:非对称式加密需要两个密钥(双钥),分别叫公钥和秘钥,这两把秘钥可以互相加解密,公钥公开的,不需要保密,私钥是保密的。 三、加密方式详解 1、加对称密技术: DES加密算法:加密安全性弱,一般应用于旧的系统里面 AES加密算法:一般用于前后端分离的接口加密 Base64加密算法:编码的方
微信小程序加密数据解密算法Go版
08-10
微信小程序加密数据解密算法Go版
创客工具箱SIGN超强加密分析+源码.zip
04-10
创客工具箱SIGN超强加密分析+源码.zip 是E语言下的代码 研究用,EEE 创客工具箱SIGN超强加密分析+源码.zip
赚钱游戏 2.0.2 版 c++
最新发布
04-17
赚钱游戏 c++
某某星图sign参数解密分析
TheWeiJun的博客
06-02 1269
可以确定,刚刚的js调试的sign值和请求的url的sign值一致,那么我们对所有的js算法进行还原成python代码吧!计算长度为32位,初步怀疑为md5加密,找到加密参数后,进行断点调试。,有着执着的追求,信奉终身成长,不定义自己,热爱技术但不拘泥于技术,爱好分享,喜欢读书和乐于结交朋友,欢迎加我微信与我交朋友。分享日常学习中关于爬虫、逆向和分析的一些思路,文中若有错误的地方,欢迎大家多多交流指正☀️。通过分析,可以确定和js调试的sign值结果一致,接下来进行算法还原!微信搜:逆向与爬虫的故事;
淘宝sign 解密 淘宝商品爬虫
热门推荐
Felix__H的博客
03-19 1万+
淘宝api sign加密算法 转载学习:https://cloud.tencent.com/developer/article/1200820 淘宝对于h5的访问采用了和客户端不同的方式,由于在h5的js代码中保存appsercret具有较高的风险,mtop采用了随机分配令牌的方式,为每个访问端分配一个token,保存在用户的cookie中,通过cookie带回服务端分配的token, 客户端...
记录一个简单的sign值破解过程
qq_42470170的博客
04-22 5244
这个接口是查询了淘宝旺旺号的一些信息 声明: 此文章仅供参考学习,如造成侵权,请联系删除。 目标接口: https://xxxxxxxxxx.com/credit2/index/get 目标数据: “{“account”:“这个帐号只是传说”,“buyer_total_point”:4662,“buyer_good_rate”:“100.00”,“buyer_level”:9,“reg_time”:“2004-06-05 15:40:41”,“last_logintime”:“未知”,“area”:“江
请求数据通过URL加入sign验证加密与解密
墨的博客
03-28 2658
通过生成sign对网络请求进行加密的算法案例分析
【爬虫逆向案例】某道翻译js逆向—— sign解密
皮埃尔的博客
07-24 2951
某易有道翻译
QQ音乐sign解密以及排行榜完整歌曲数据
weixin_41586984的博客
03-26 4087
文章目录前言一、sign解密二、修改js,修改传参,获取全量数据总结 前言 最近看到有很多小伙伴在搞某Q音乐,我也特意来水一篇,因为pc端的限制排行榜只能出现20首歌曲,但是我发现其实简单的修改一个参数就能显示跟app端一样的百首歌曲 如有侵犯贵司权益,请通知删除 一、sign解密 这个参数其实破解网上都已经都烂大街了,简单地说一下吧。 我们直接暴力一点,也不慢慢追了,直接从连接的最后一次js文件调用进去,然后直接搜sign这个字段,如下图所示 我们可以直观的看到sign是由getSecurityS
解密和签名校验可视化工具(Golang)
余衫马的博客
08-03 2272
RSA加密、解密、签名、验证 golang 封装
赚钱游戏 2.0.1 版 (资源免费)
04-14
c++赚钱游戏
一款基于uniCloud、uniAD的合成类网赚游戏
07-06
一款基于uniCloud、uniAD的合成类网赚游戏
新版微信夹娃娃抓猴子网络赚钱游戏2.0源码 带三级分销
04-22
源码描述: 1.好友每玩一次,都有佣钱; 2.好友玩5元夹,奖赏0.5元,好友玩10元夹,奖赏1元,好友玩20元夹,奖赏2元。 3.只需发朋友圈,群发,发群,5级分佣,越线代理,赚点越多。 4.让好友变成自个的下线,让好友...
游戏试玩站打码赚钱平台系统源码.zip
05-09
免费游戏试玩站打码赚钱平台系统可运营的广告任务网源码 安装说明: 1.恢复数据; 2.数据连接库配置路径:protected\config\mail.php 文件中修改第60行 (记得不要用记事本修改,否则可能会出现验证码显示不了...
Android逆向 某州 解密sign字段 so层 算法分析 Unidbg模拟执行
zhoumi_
08-11 2472
跟着龙哥学 SO逆向入门实战教程一:OASIS 前言 功力不及龙哥百分之一文笔也是实力也是, 仅作为个人记录学习过程。 龙哥博客传送门 1. 需解密对象 “sign” 字段 跟着龙哥学的,忘了查壳用jadx打开之后发现文件有点少查壳之后发现是x60加固。掉以轻心了… 2. 脱壳 查壳 脱壳 直接上dump_dex.js 3. 定位到 java 关键函数 重新压缩成zip用jadx 再次打开 搜索 “sign” 去掉一些加载sdk的包名是个剩下框框之内,心急的朋友可能开始一个一个去点,
2023年最新电商某东app端sign签名算法与cipher加解密逆向分析(2023-09-26)
byc6352的专栏
09-26 2355
2023年最新电商某东app端sign签名算法与cipher加解密逆向分析(2023-09-26)
某医APP sign参数解密
一起学习哈
04-11 7495
微医APP sign参数解密
什么样的游戏算是个好玩的游戏
10-31
一个好玩的游戏应该让玩家在游戏过程中感到愉快的游戏体验。游戏品质一般可以分为三个层次:普通、精品、经典。只要游戏能赚钱的好游戏可算是精品游戏,而经典的游戏,必然有深厚的游戏内涵,甚至能够从这个游戏产生周边产品。一个游戏的好坏由多方面决定,但趣味性是一个游戏最重要的部分。游戏画面优美程度、玩家可玩时间、角色的主角的乳房部位多边形数目等都是其次的因素。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值