拼夕夕anti-token分析

最新推荐文章于 2024-01-17 14:29:23 发布
最新推荐文章于 2024-01-17 14:29:23 发布
阅读量239 收藏 2
点赞数
文章标签: 算法 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44389363/article/details/134952383
版权

前言:拼夕夕charles抓包分析发现跟商品相关的请求头里都带了一个anti-token的字段且每次都不一样,那么下面的操作就从分析anti-token开始了
1.jadx反编译直接搜索
在这里插入图片描述
选中跟http相关的类对这个方法进行打印堆栈
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
结合堆栈方法调用的情况找到具体anti-token是由拦截器类f.a方法调用的,在http.a.c()方法中生成并且http.p.e()方法中加入请求头

在http.a.c()方法中有个一个判断条件如果为true则走d.a().e()方法生成anti-token
在这里插入图片描述
如果为false则走j()方法生成anti-token
在这里插入图片描述
hook这个i()方法返回值可知获取商品详情接口返回值为false所以走的是j()方法进行计算anti-token。
在这里插入图片描述
SecureNative.deviceInfo3()方法生成,传入的str为pdd生成的固定id 一个字符串.
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
根据hook_libart 得到info3()方法是在libodd_secure.so中,那么ida打开看看这个so包
在这里插入图片描述

2.这部分我们采用unidbg+jnitrace+frida相结合的方式

unidbg前期准备的代码这里就不发了直接调用这个info3方法
在这里插入图片描述
这里提示调用gad()方法返回一个字符串那么frida hook这个方法拿到这个值 如下图 一个固定的字符串

16位长度看着像AES的密钥
在这里插入图片描述
继续补环境 这里简单补环境就不发了
在这里插入图片描述
补完简单的环境代码后,再次运行报这个错误 看错误应该是缺少文件 ,那么看看日志需要补那个文件

继续运行,没有返回值报空指针。execve()函数执行的时候程序exit了这里我们返回对象本身.
在这里插入图片描述
execve()函数执行的时候程序exit了
在这里插入图片描述
execve filename=/system/bin/sh, args=[sh, -c, cat /proc/sys/kernel/random/boot_id]

这个函数相当于查看 boot_id这个文件信息
在这里插入图片描述
捋顺下逻辑应该就是先fork进程 然后在子进程中读取这个文件 然后把他写入pip中

那么自定义syscallhandler后 再次运行成功拿到结果
在这里插入图片描述
全部代码如下:

package pdd;
 
import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Emulator;
import com.github.unidbg.Module;
import com.github.unidbg.file.FileResult;
import com.github.unidbg.file.IOResolver;
import com.github.unidbg.file.linux.AndroidFileIO;
import com.github.unidbg.linux.android.AndroidARMEmulator;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.file.ByteArrayFileIO;
import com.github.unidbg.memory.Memory;
import com.github.unidbg.memory.SvcMemory;
import com.github.unidbg.spi.SyscallHandler;
import com.github.unidbg.unix.UnixSyscallHandler;
 
import java.io.File;
import java.nio.charset.StandardCharsets;
import java.util.ArrayList;
import java.util.List;
import java.util.UUID;
 
public class Pddmain extends AbstractJni implements IOResolver<AndroidFileIO> {
 
    private AndroidEmulator androidEmulator;
    private static final String APK_PATH = "/Users/Downloads/com.xunmeng.pinduoduo_6.7.0_60700.apk";
    private static final String SO_PATH = "/Users/Downloads/com.xunmeng.pinduoduo_6.7.0_60700/lib/armeabi-v7a/libpdd_secure.so";
    private Module moduleModule;
    private VM dalvikVM;
 
    public static void main(String[] args) {
        Pddmain main = new Pddmain();
        main.create();
    }
 
    private void create() {
        AndroidEmulatorBuilder androidEmulatorBuilder = new AndroidEmulatorBuilder(false) {
            @Override
            public AndroidEmulator build() {
                return new AndroidARMEmulator("com.xunmeng.pinduoduo",rootDir,backendFactories) {
                    @Override
                    protected UnixSyscallHandler<AndroidFileIO> createSyscallHandler(SvcMemory svcMemory) {
                        return new PddArmSysCallHand(svcMemory);
                    }
                };
            }
        };
        androidEmulator = androidEmulatorBuilder.setProcessName("").build();
        androidEmulator.getSyscallHandler().addIOResolver(this);
        Memory androidEmulatorMemory = androidEmulator.getMemory();
        androidEmulatorMemory.setLibraryResolver(new AndroidResolver(23));
        dalvikVM = androidEmulator.createDalvikVM(new File(APK_PATH));
        DalvikModule module = dalvikVM.loadLibrary(new File(SO_PATH), true);
        moduleModule = module.getModule();
        dalvikVM.setJni(this);
        dalvikVM.setVerbose(true);
        dalvikVM.callJNI_OnLoad(androidEmulator, moduleModule);
        callInfo3();
    }
 
    @Override
    public void callStaticVoidMethodV(BaseVM vm, DvmClass dvmClass, String signature, VaList vaList) {
        if ("com/tencent/mars/xlog/PLog->i(Ljava/lang/String;Ljava/lang/String;)V".equals(signature)) {
            return;
        }
        super.callStaticVoidMethodV(vm, dvmClass, signature, vaList);
    }
 
    private void callInfo3() {
        List<Object> argList = new ArrayList<>();
        argList.add(dalvikVM.getJNIEnv());
        argList.add(0);
        DvmObject<?> context = dalvikVM.resolveClass("android/content/Context").newObject(null);
        argList.add(dalvikVM.addLocalObject(context));
        argList.add(dalvikVM.addLocalObject(new StringObject(dalvikVM, "api/oak/integration/render")));
        argList.add(dalvikVM.addLocalObject(new StringObject(dalvikVM, "dIrjGpkC")));
        Number number = moduleModule.callFunction(androidEmulator, 0xb6f9, argList.toArray())[0];
        String toString = dalvikVM.getObject(number.intValue()).getValue().toString();
        System.out.println(toString);
    }
 
    @Override
    public DvmObject<?> callStaticObjectMethodV(BaseVM vm, DvmClass dvmClass, String signature, VaList vaList) {
        if ("com/xunmeng/pinduoduo/secure/EU->gad()Ljava/lang/String;".equals(signature)) {
            return new StringObject(vm, "cb14a9e76b72a627");
        } else if ("java/util/UUID->randomUUID()Ljava/util/UUID;".equals(signature)) {
            UUID uuid = UUID.randomUUID();
            DvmObject<?> dvmObject = vm.resolveClass("java/util/UUID").newObject(uuid);
            return dvmObject;
        }
        return super.callStaticObjectMethodV(vm, dvmClass, signature, vaList);
    }
 
    @Override
    public DvmObject<?> callObjectMethodV(BaseVM vm, DvmObject<?> dvmObject, String signature, VaList vaList) {
        if ("java/util/UUID->toString()Ljava/lang/String;".equals(signature)) {
            UUID uuid = (UUID) dvmObject.getValue();
            return new StringObject(vm, uuid.toString());
        } else if ("java/lang/String->replaceAll(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;".equals(signature)) {
            String obj = dvmObject.getValue().toString();
            String arg0 = vaList.getObjectArg(0).toString();
            String arg1 = vaList.getObjectArg(1).toString();
            String replaceAll = obj.replaceAll(arg0, arg1);
            return new StringObject(vm, replaceAll);
 
        }
        return super.callObjectMethodV(vm, dvmObject, signature, vaList);
    }
 
    @Override
    public int callIntMethodV(BaseVM vm, DvmObject<?> dvmObject, String signature, VaList vaList) {
        if ("java/lang/String->hashCode()I".equals(signature)) {
            return dvmObject.getValue().toString().hashCode();
        }
        return super.callIntMethodV(vm, dvmObject, signature, vaList);
    }
 
    @Override
    public FileResult<AndroidFileIO> resolve(Emulator<AndroidFileIO> emulator, String pathname, int oflags) {
        if ("/proc/stat".equals(pathname)) {
            String info = "cpu  15884810 499865 12934024 24971554 59427 3231204 945931 0 0 0\n" +
                    "cpu0 6702550 170428 5497985 19277857 45380 1821584 529454 0 0 0\n" +
                    "cpu1 4438333 121907 3285784 1799772 3702 504395 255852 0 0 0\n" +
                    "cpu2 2735453 133666 2450712 1812564 4626 538114 93763 0 0 0\n" +
                    "cpu3 2008473 73862 1699542 2081360 5716 367109 66860 0 0 0\n" +
                    "intr 1022419954 0 0 0 159719900 0 16265892 4846825 5 5 5 6 0 0 497 24817167 17 176595 1352 0 28375276 0 0 0 0 5239 698 0 0 0 0 0 0 3212852 0 12195284 0 0 0 0 0 43 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 12513 2743129 375 12477726 0 0 0 0 37 1351794 0 36 8 0 0 0 0 0 0 5846 0 0 0 0 0 0 0 0 0 141 32 0 55 0 0 0 0 0 0 0 0 18 0 18 0 0 0 0 0 0 66 0 0 0 0 0 0 0 77 0 166 0 0 0 0 0 394 0 0 0 0 0 1339137 0 0 0 0 0 0 313 0 0 0 55759 7 7 7 0 0 0 0 0 0 0 0 3066136 0 47 0 0 0 2 2 0 0 0 6 8 0 0 0 2 0 462 2952327 35420 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 495589 0 0 0 0 3 27 0 0 0 0 0 0 0 0 0 0 0 0 0 0 37662 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 4760 0 0 97 0 0 0 0 0 0 0 0 0 243 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 4649 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 22355451 0 0 0 14 0 24449357 96 49415 2 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 17067 780222 3211 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 2 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 1 1 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 649346 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0\n" +
                    "ctxt 1572087931\n" +
                    "btime 1649910663\n" +
                    "processes 230673\n" +
                    "procs_running 6\n" +
                    "procs_blocked 0\n" +
                    "softirq 374327567 12481657 139161248 204829 7276312 2275183 26796 12851725 80988196 1422751 117638870";
            return FileResult.success(new ByteArrayFileIO(oflags, pathname, info.getBytes(StandardCharsets.UTF_8)));
        }
        return null;
    }
}

联系作者Q 1452142503

。秘密。
关注
安卓逆向小案例——阿里系某电影票务APP加密参数还原-Unidbg
weixin_44084602的博客
09-18 5407
使用unidbg调用sgmain.so,还原x-sign等加密参数
anti_content不难,我手把手教大家研究透拼夕夕anti_content,请看我的逆向解析过程。拼刀刀店铺后台用到anti_content,pdd的wap网站也用到anti_content
逆向先驱者
06-04 3845
作为逆向工作的你和我,对技术有向往和追求的,我们通过要实现反反爬工程来挑战自我,为的是超越自我。各大搜索引擎用到了爬虫技术实现网络数据的抓取,通过抓取的数据进行分析来方面我们检索想要的数据。分析问题,一定要找一个切入点,我们一般用谷歌浏览器打开网址,打开开发者工具,找到一个跟输入内容有相应回应的请求地址,例如search_suggest?本文展示的内容目的是为了学术研究,按理脱敏工作做得非常到位,希望大家学会本领不要攻击任何人的服务器,一定要遵守互联网各项正确的规则,一定要遵守法律法规。
最详细的拼多多anti-token||anti_content算法分析过程(一)
qq_40232219的博客
10-29 7922
文章目录前言一、正文开始1.寻找包含anti-token参数的文件2.寻找文件中设置anti-token参数的位置 前言 很多写爬虫的小伙伴在这个参数上犯愁了,像我自己常用的python来说,虽然有selenium去操作浏览器,但是效率和问题都比较多,用接口的方式也方便些,所以出几节关于这个参数的js解密文章,希望帮到小伙伴们 提示:文章仅供学习,请遵纪守法,做一个好市民! 一、正文开始 今天来分析anti-token参数,首先打开拼多多的拼多多优惠券页面,那其他的页面也会有设置anti_conte
拼多多anti-token 字段加解密学习分析
qq_41155858的博客
09-17 3175
安卓逆向-拼多多anti-token 字段加解密学习分析
【Python3爬虫】破解同程旅游加密参数 antitoken-爬虫深度技术
liujainq的博客
04-10 1439
【Python3爬虫】2020年最新破解同程旅游加密参数 antitoken 一、前言简介   在现在各个网站使用的反爬措施中,使用 JavaScript 加密算是很常用的了,通常会使用 JavaScript加密某个参数,例如 token 或者 sign。在这次的例子中,就采取了这种措施来反爬,使用 JavaScript 加密了一个参数 antitoken,而本篇博客要写的就是如何应对和解决...
提取拼夕夕小程序screen_tokenanti_token加密方法
代码果的博客
11-06 2839
拼夕夕果园自动化操作环境及软件项目意义实现思路操作步骤 操作环境及软件 python3.7+frida 微信pc版2.9.5.56 PDD小程序 wxappUnpacker nodejs 项目意义 实现拼夕夕果园助力,浇水等一系列操作 实现思路 第一步:获取拼夕夕小程序包 第二步:解包提取拼夕夕screen_tokenanti_token加密js 第三步:抓取助力,浇水数据包,搭建服务器实现自动化 操作步骤 第一步: 运行PC版微信,执行frida Hook微信小程序函数 删除C:\Users\用户名\
拼夕夕anti-contenti加密
02-23
可用
拼夕夕-220501130847.xmind
05-01
拼夕夕-220501130847.xmind
拼夕夕商家工作台 多开器 v1.0.0免费版
12-25
为您提供拼夕夕商家工作台 多开器下载,拼夕夕商家工作台是一款拼多多商家客户端多开器,可以帮助用户一次登录多个账号进行管理,能够高效的进行管理,不再需要进行账号切换,方便实用。功能介绍 1、拼多多商家工作...
拼夕夕wss.7z 懂的都懂
02-10
标题中的“拼夕夕wss.7z 懂的都懂”暗示这可能是一个关于拼多多(拼夕夕)Websocket服务(WSS)的压缩包,其中包含了与拼多多平台接口交互相关的文件。Websocket是一种在客户端和服务器之间建立长连接的协议,允许...
为什么Unidbg模拟执行的结果和主动调用的结果不同(一)
lilac的博客
06-29 5022
一、前言 前言打个广告,Unidbg有很多实操问题,文章说起来不直观而且费劲,最典型的就是怎么补JNI环境,很多朋友都补的又慢又折腾,欢迎大家私信了解七月的Unidbg课程,课程我主讲,而且由我的老板,逆向大牛R0ysue指导设计,大可放心。 除此之外,建了一个Unidbg学习交流群,纯粹的技术交流,欢迎各位大佬来玩,私聊我拉进群。 接下来进入正题,看文章标题大家也能猜到,这一篇的内容是一个新系列的开始,这并不意味着《逆向十三篇》结束了,而是Unidbg模拟执行的结果和主动调用的结果不同这个问题太过重要了,
拼多多anti-token分析
jmm18363027827的博客
08-26 2436
拼多多charles抓包分析发现跟商品相关的请求头里都带了一个anti-token的字段且每次都不一样,那么下面的操作就从分析anti-token开始了。
探寻闲鱼SellerId加解密算法(2) ——还原C代码
最新发布
bugtraq的博客
01-17 1757
但目前有个问题,sub_CC50这个函数的0xCC90位置,BX R2, R2为动态跳转。前几天实现了闲鱼SellerId加密还原,但原理还是基于Unidbg调用闲鱼的so文件,按程序执行方式执行的解密操作。这种实现的弊端在于无法还原真正的算法,而且想在此基础上逆向算法,比如将明文加密,甚至是学习算法细节,就很是不足了。郑重声明:内容仅供参考学习,如果有人使用相关代码,或者在相关代码基础上开发其他应用,需要承担因此产生的所有责任。所以继续尝试在执行的过程中,还原出整个算法的代码。那么,今天的内容来了。
taobao app 爬虫杂谈
女神的脑残粉的博客
10-20 2070
仅供学习研究 。请勿用于非法用途,本人将不承担任何法律责任。 参考文章 frida sekiro fridaManager 环境搭建 frida 加载 sekiro dex 文件 实现与服务端交互 frida sekiro 实现 taobao sgmain 70102 远程 rpc 调用 androidAsync fridaManager 实现某宝 sgmain 70102 rpc 远程调用 某宝系 tb tm sgmain x-sign 分析 - unidbg sekiro 最近一直在研究淘宝 APP
拼多多系列加密crawlerInfo、screen_tokenanti_content参数
热门推荐
qian123shuai的博客
05-02 1万+
只说下思路吧,毕竟把加密代码公开对别网站不好。如有权益问题可以发私信联系我删除,或q:1847858794 如图 ,我见过拼多多所有系列都是用的同一套加密方式,有个0a开头。加密是他自己写的一套加密方式,涉及到的加密参数有:鼠标点击位置、href、ua、cookie和时间戳。 加密位置在如图所示地方: 稍微混淆了下,找到加密位置就是去慢慢调试js了,这需要多掌握些js知识...
某8同城app 密码算法 Unidbg模拟
qq_41823971的博客
01-13 2019
直接上代码了 package com.wuba.uc; import com.github.unidbg.AndroidEmulator; import com.github.unidbg.Emulator; import com.github.unidbg.Module; import com.github.unidbg.file.FileResult; import com.github.unidbg.file.IOResolver; import com.github.unidbg.linux.
某宝x-sign、x-mini-wua、 x-sgext、 x-umt算法解析
weixin_42407151的博客
04-21 3159
进行jadx分析 追踪到最后结果。某宝APP 9.XX。3、进行unidbg黑盒调用。
使用Appium爬取淘宝App数据
weixin_33812433的博客
03-26 2805
0x01、介绍说明 1、简介 Appium是一个自动化测试开源工具。通过WebDriver协议驱动IOS、Android、Windows Phone平台上的原生应用、混合应用和web应用。 2、Appium工作原理 Appium选择了Client/Server的设计模式,Server可以在OSX、Windows以及Linux系统上运行,Client支持Ruby、Python、Java、PHP、C#...
海思音频库找不到
qq_39048131的博客
12-10 780
错误日志: DL_hi_audio_dlopen [Line]:43 [Info]:dlopen libsecurec.so or libhive_HPF.so failed 法1: 将对应的so放入/lib 或 /user/lib下; 法2: 若法1不行,在脚本中加上这句试试: export LD_LIBRARY_PATH=/usr/lib:$LD_LIBRARY_PATH 并在中断echo $(LD_LIBRARY_PATH) 确认导出情况; 法3:已将对应的音频库放在/lib下,还是报错? 编
SI-NET:多尺度上下文感知卷积块用于说话人验证
此外,可能还进行了敏感性分析,探讨了不同参数设置对系统性能的影响,以及对噪声和变体的鲁棒性测试。 这篇论文提出的SI-NET为声纹识别提供了新的视角和方法,通过多尺度上下文感知,提高了系统在复杂环境下的识别...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值