猿人学app安卓比赛第一题sign参数

已于 2023-05-15 18:31:45 修改
阅读量581 收藏
点赞数 1
分类专栏: 猿人学app 文章标签: java python javascript
于 2023-04-25 16:38:48 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44851624/article/details/130368321
版权

一、抓包

1.这里使用的是charles,配置charles抓包

可以看到有三个参数:page、t、sign

2.猜想:sign是不是page和t某种组合方式之后的加密

3.加密方式:

  • HmacMD5
  • MD5 32位
  • UUID

4.那么我们还原sign参数之后,去构建请求1-100页返回的数据只和即可过关

二、分析

1.使用jadx打开猿人学app,将apk拖到jadx即可,可以看到是混淆之后的,但是不要怕

2。根据接口的url,我们搜索 /app1,之后转到这个地方

转到之后是这样的,一看有page、有sign、有t,那就是这里了

然后进到OooO00o里

随便进一个

之后搜索sign,定位到了这

跳到这个sign的声明,右键sign-跳到声明,这里就是我们要找的地方

三、frida hook

找到sign的生成就要开始hook了,这里参考了猿人学-APP大赛-第一题-Frida初试、调用Java代码_猿人学app第一题_银古_1427的博客-CSDN博客

1.分析,参数主要是 sb 转 string 再转 bytes 传入的

2.启动frida,hook这个sign

import frida
import sys


def bytes2str(ascii_lst):
    '''bytes 列表转字符串'''
    string = ''.join(map(chr, ascii_lst))
    print(string)


def on_message(message, data):
    if message["type"] == "send":
        print(f"send >>> {message['payload']}")
        bytes2str(message['payload'])
    else:
        print(f"log >>> {message}")


test = '''
function main(){
    console.log("脚本加载成功");
    Java.perform(function() {
        var clazz = Java.use('com.yuanrenxue.match2022.security.Sign');
        clazz.sign.implementation = function() {
            console.log('进入函数内部');
            console.log("参数为:", arguments[0]);
            send(arguments[0]);
            console.log("结果为:",clazz.sign.apply(this, arguments));
            return clazz.sign.apply(this, arguments);
        }

    });
}
setImmediate(main)
'''
# 两种启动方式
# 第一种 启动方式(app已经启动起来)
process = frida.get_usb_device(-1).attach('猿人学2022')  # 手机启动的进程名字(包名)
script = process.create_script(test)  # js hook代码放进去
script.on('message', on_message)  # 开始hook操作
script.load()
sys.stdin.read()  # 一直挂在这里,python程序不要断掉

# 第二种 spawn重启app,可以hook app启动阶段加载流程的application,正在加载阶段的一些,frida版本与手机不匹配可能会闪崩
# device = frida.get_usb_device(-1)
# # 通过spawn方式活得进程id,然后去重启这个app
# pid = device.spawn(['com.yuanrenxue.match2022.security'])  # 手机启动的进程名字(包名)
# process = device.attach(pid)
  • 一直没有输出的话,先退出重新启动app,再运行脚本
  • 一直进入不了函数内部的话,可以使用 rpc 的方式
  • 不需要 on_message 也可以打印

这里的hook结果是这样的:

四、编写脚本

这里用的是Frida rpc,参考:猿人学-APP大赛-第一题-Frida初试、调用Java代码_猿人学app第一题_银古_1427的博客-CSDN博客,主要就是把sign函数暴漏出来

# -*- coding:utf-8 -*-
import frida, time, sys
import requests


# from requests.packages import urllib3
def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)


def get_url():
    device = frida.get_usb_device(timeout=1000)  # 获取USB设备句柄
    process = device.attach('猿人学2022')  # 注入进程
    print(process)

    with open('第一题.js', encoding='utf-8') as f:
        jscode = f.read()

    script = process.create_script(jscode)  # 加载js代码
    script.on('message', on_message)  # 监控任何来自目标进程的消息
    script.load()
    print('load js ok')
    num = 0
    for i in range(1, 101):
        url = 'https://appmatch.yuanrenxue.com/app1'
        headers = {
            'Host': 'appmatch.yuanrenxue.cn',
            'accept-language': 'zh-CN,zh;q=0.8',
            'user-agent': 'Mozilla/5.0 (Linux; U; Android 7.1.1; zh-cn; ONEPLUS A3010 Build/NMF26F) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30',
            'content-type': 'application/x-www-form-urlencoded',
            'cache-control': 'no-cache',
        }
        data = {
            'page': str(i),
            't': str(int(time.time())),
            'token': '你自己的token',
        }
        data['sign'] = script.exports.main('page=' + data['page'] + data['t'])

        print(data)
        response = requests.post(url, headers=headers, data=data, verify=False)
        print(response.json())
        value_data = response.json()
        for value in value_data['data']:
            num += int(value['value'])
        print(num)
        time.sleep(1)


if __name__ == '__main__':
    get_url()

第一题.js的代码:

//字符串转字节序列
function stringToByte(str) {
    var bytes = new Array();
    var len, c;
    if (str) {
        len = str.length;
        for (var i = 0; i < len; i++) {
            c = str.charCodeAt(i);
            if (c >= 0x010000 && c <= 0x10FFFF) {
                bytes.push(((c >> 18) & 0x07) | 0xF0);
                bytes.push(((c >> 12) & 0x3F) | 0x80);
                bytes.push(((c >> 6) & 0x3F) | 0x80);
                bytes.push((c & 0x3F) | 0x80);
            } else if (c >= 0x000800 && c <= 0x00FFFF) {
                bytes.push(((c >> 12) & 0x0F) | 0xE0);
                bytes.push(((c >> 6) & 0x3F) | 0x80);
                bytes.push((c & 0x3F) | 0x80);
            } else if (c >= 0x000080 && c <= 0x0007FF) {
                bytes.push(((c >> 6) & 0x1F) | 0xC0);
                bytes.push((c & 0x3F) | 0x80);
            } else {
                bytes.push(c & 0xFF);
            }
        }
    }
    return bytes;
}

//主动调用sign函数
var a
var yy

function main(a) {
    console.log("Script loded successfully")
    console.log(a)
    Java.perform(function () {
        console.log("Inside java perform function")
        var Sign = Java.use('com.yuanrenxue.match2022.security.Sign')//对指定的类名动态的获取这个类的JavaScript引用
        console.log("Java.use.successfully") //定位类
        var asinn = Sign.$new()   //创建实例
        yy = asinn.sign(stringToByte(a))
        console.log(yy) //定位类
    })
    return yy
}

//入口函数
rpc.exports = {
    main: main
}

五、成果(开心~)

参考文章:猿人学逆向比赛第一题sign参数(第三期)_wx63da3ca9e1323的技术博客_51CTO博客猿人学-APP大赛-第一题-Frida初试、调用Java代码_猿人学app第一题_银古_1427的博客-CSDN博客

南城城
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
猿人App逆向 第二 so层加密
qq_38759383的博客
06-05 949
安卓逆向,so层加密 具体so层实操参考:https://blog.csdn.net/tjcwt2011/article/details/122079661 4.然后按F5,就可以将汇编代码转换为C代码 为什么下面的sign函数有三个传参? 很多同就有疑惑,javasign函数有一个传参,为什么这边有三个传参,以第三个参数为标准传参,前面两个有可能是JNIEnv、j......
猿人第二届第一小记
06-06
猿人第二届第一小记
猿人app第一,无需rpc过关!
weixin_45686246的博客
07-04 202
【代码】【猿人app第一,无需rpc过关!
Android逆向猿人2022年app比赛第一(步步验证)
qq_41866988的博客
05-23 587
再启动一次,可以看到这次恢复正常了,参数就是page=11684850913,sign是d8fde916979aeb58d3398ea0c0e455c7和我们之前分析的参数是差不多的结果。跟进去可以大概看出,这是一个加密操作的函数,也跟到了底部,我们这里先不对该函数内部逻辑进行研究,先hook一下这个函数,看看返回的是不是和抓包的结果一致。可以看到成功hook上了,并且和抓包内容一致,但是这个传入的bArr是一个byte[]类型的数据,没有办法很直观的看到传入的是什么参数
猿人2022安卓逆向对抗比赛第二分析
Steven的杂货铺
07-08 646
1.charles 抓包工具 2.pixelxl 真机 3.jadx 4.本机安装 python 和 frida首先,在第一的时候,已经分析出app是没有壳的,并且知道了,app请求的路由的包的路径,我们再一次进行Charles抓包 可以获取到 第二的post请求 可以看到 post 请求的 form表单也是三个参数第一的时候 直接搜索 /app1 找到唯一匹配点,第二 的 post 提交的 path 路径 也大差不差 可以看到 搜索到唯一的匹配点,双击进入 可以看到依旧是原来的 路由表 右键
猿人2022安卓逆向对抗比赛第一分析
Steven的杂货铺
07-08 1273
通过 GDA 可以 了解到 app 没有任何的壳 防止app 有可能不走代理,所以通过 charles + postern 进行 sock转发通过 注册后 进入 第一** 计算1~100页所有数字之和**Charles 中 可以看到 post 请求 有三个参数 ,请求的结果为 每页需要计算的数字第一个是 page 页数 很明显第二个是 sign 值 为加密流程第三个 是 t 可以通过 上面的time 请求 了解到是时间戳那么整体就是分析sign值 是如何产生的 ,是否和page页数和t时间戳相关...
猿人APP逆向第一
weixin_49859373的博客
03-17 554
猿人APP逆向第一
猿人安卓逆向对抗比赛(1-5
zjq592767809的博客
05-20 2040
猿人安卓逆向对抗比赛(1-5目 一 java层加密 二 so层加密 三 so层加密带混淆 四 grpc 五 双向认证 六 设备指纹加密 七 quic 八 upx 九 tcp 十 tls 第一java层加密 不管三七二十一,上来先抓个包看看 这是一个post请求,并且附带三个参数,其中一个是sign,那么第一要分析的应该就是这个sign了,用jadx反编译apk,尝试搜索一下请求地址【/ap
猿人2022安卓逆向对抗比赛第四分析
Steven的杂货铺
07-09 1075
说实话身为菜鸟的我,根本没有接触过这个东西,先不管三七二十一,抓个包先。 Charles 里面没有任何的请求数据,并且app也没有目显示,嘶。。。恐怖如斯。排错时间到,把postern 给关闭 ,然后重新打开app看看 惊奇的发现,目出来了,那么就不是app的问,是我的问了,既然Charles抓不到包,那么就祭出 roysue 大佬的神器 r0capture 这不就抓到想要抓到的数据了嘛,不难看出有了路径了,那么就直接 jadx 打开 搜索 一下 额。。。。为空。。。为啥嘞?对于上面的无法
Android逆向猿人2022年app比赛第四grpc与Protobuf使用(步步验证)
qq_41866988的博客
05-25 1270
前面2-3第一思路基本上一样的,这里就不出教程了,这篇文章比较繁琐,基本上描述了我做这的思路,有很多走不通的地方也有对应的方法,所以会比较长,没有耐心的朋友可以看看其他人较为简短的文章(逆向这东西主要看思路,代码量其实对比后端没多少的)
猿人第一m函数的js源码
07-05
猿人第一m函数的js源码
猿人第六javascript文件
08-03
js文件
Javascript逆向+猿人第二+动态cookie+逆向
02-28
寻找入口:逆向在大部分情况下就是找一些加密参数到底是怎么来的,关键逻辑可能写在某个关键的方法或者隐藏在某个关键的变量里,一个网站可能加载了很多 JavaScript 文件,如何从这么多的 JavaScript 文件的代码行中...
猿人js逆向第二补环境js
05-21
猿人js逆向第二完整补环境js文件
J031_使用TCP协议支持与多个客户端同时通信
最新发布
lzn20161229的博客
08-03 186
使用TCP协议支持与多个客户端同时通信。
SpringBoot+Vue图书(图书借阅)管理系统-附项目源码与配套文档
m0_74283290的博客
08-03 602
本论文阐述了一套先进的图书管理系统的设计与实现,该系统采用Java语言,结合现代Web开发框架和技术,旨在为图书馆提供高效、灵活且用户友好的资源管理解决方案。系统利用Spring Boot框架为核心,整合MyBatis ORM工具,以及MySQL数据库,构建了一个高性能、可扩展的后端服务。前端界面则采用了Vue.js框架,以提供流畅的用户交互体验。论文首先进行了详尽的需求分析,确定了系统的核心功能,包括图书的添加、编辑、删除、查询,读者的注册、登录、个人信息管理,以及图书的借阅、归还、续借流程。
社区养老服务小程序的设计
Karen198的博客
07-31 525
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
猿人js逆向TypeError: list indices must be integers or slices, not str第一的爬虫编写
08-31
对于您提到的错误TypeError: list indices must be integers or slices, not str,这是因为您在访问列表中的元素时使用了字符串作为索引,而列表的索引必须是整数或切片类型。解决这个错误的方法是使用整数或切片来访问列表中的元素。 关于您提到的猿人js逆向的问,我需要更多的信息才能为您提供具体的答案。对于爬虫编写,您可以使用Python的各种库(如Requests、BeautifulSoup、Scrapy等)来获取网页的内容,并进一步解析和处理。您可以使用这些库发送HTTP请求获取网页内容,然后使用解析库来提取您需要的数据。 爬虫编写的一般步骤如下: 1. 导入所需的库 2. 发送HTTP请求获取网页内容 3. 使用解析库解析网页内容 4. 提取所需的数据 5. 进行数据的进一步处理和存储 您可以根据具体的需求和网站的结构进行相应的编写和调试。如果您需要更具体的帮助,请提供更多的信息。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [Python:TypeError: list indices must be integers or slices, not str报错解决及原理](https://blog.csdn.net/hhd1988/article/details/128031602)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* [Python BeautifulSoup [解决方法] TypeError: list indices must be integers or slices, not str](https://download.csdn.net/download/weixin_38590567/14871394)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值