一、抓包
1.这里使用的是charles,配置charles抓包
可以看到有三个参数:page、t、sign
2.猜想:sign是不是page和t某种组合方式之后的加密
3.加密方式:
- HmacMD5
- MD5 32位
- UUID
4.那么我们还原sign参数之后,去构建请求1-100页返回的数据只和即可过关
二、分析
1.使用jadx打开猿人学app,将apk拖到jadx即可,可以看到是混淆之后的,但是不要怕
2。根据接口的url,我们搜索 /app1,之后转到这个地方
转到之后是这样的,一看有page、有sign、有t,那就是这里了
然后进到OooO00o里
随便进一个
之后搜索sign,定位到了这
跳到这个sign的声明,右键sign-跳到声明,这里就是我们要找的地方
三、frida hook
找到sign的生成就要开始hook了,这里参考了猿人学-APP大赛-第一题-Frida初试、调用Java代码_猿人学app第一题_银古_1427的博客-CSDN博客
1.分析,参数主要是 sb 转 string 再转 bytes 传入的
2.启动frida,hook这个sign
import frida
import sys
def bytes2str(ascii_lst):
'''bytes 列表转字符串'''
string = ''.join(map(chr, ascii_lst))
print(string)
def on_message(message, data):
if message["type"] == "send":
print(f"send >>> {message['payload']}")
bytes2str(message['payload'])
else:
print(f"log >>> {message}")
test = '''
function main(){
console.log("脚本加载成功");
Java.perform(function() {
var clazz = Java.use('com.yuanrenxue.match2022.security.Sign');
clazz.sign.implementation = function() {
console.log('进入函数内部');
console.log("参数为:", arguments[0]);
send(arguments[0]);
console.log("结果为:",clazz.sign.apply(this, arguments));
return clazz.sign.apply(this, arguments);
}
});
}
setImmediate(main)
'''
# 两种启动方式
# 第一种 启动方式(app已经启动起来)
process = frida.get_usb_device(-1).attach('猿人学2022') # 手机启动的进程名字(包名)
script = process.create_script(test) # js hook代码放进去
script.on('message', on_message) # 开始hook操作
script.load()
sys.stdin.read() # 一直挂在这里,python程序不要断掉
# 第二种 spawn重启app,可以hook app启动阶段加载流程的application,正在加载阶段的一些,frida版本与手机不匹配可能会闪崩
# device = frida.get_usb_device(-1)
# # 通过spawn方式活得进程id,然后去重启这个app
# pid = device.spawn(['com.yuanrenxue.match2022.security']) # 手机启动的进程名字(包名)
# process = device.attach(pid)
- 一直没有输出的话,先退出重新启动app,再运行脚本
- 一直进入不了函数内部的话,可以使用 rpc 的方式
- 不需要 on_message 也可以打印
这里的hook结果是这样的:
四、编写脚本
这里用的是Frida rpc,参考:猿人学-APP大赛-第一题-Frida初试、调用Java代码_猿人学app第一题_银古_1427的博客-CSDN博客,主要就是把sign函数暴漏出来
# -*- coding:utf-8 -*-
import frida, time, sys
import requests
# from requests.packages import urllib3
def on_message(message, data):
if message['type'] == 'send':
print("[*] {0}".format(message['payload']))
else:
print(message)
def get_url():
device = frida.get_usb_device(timeout=1000) # 获取USB设备句柄
process = device.attach('猿人学2022') # 注入进程
print(process)
with open('第一题.js', encoding='utf-8') as f:
jscode = f.read()
script = process.create_script(jscode) # 加载js代码
script.on('message', on_message) # 监控任何来自目标进程的消息
script.load()
print('load js ok')
num = 0
for i in range(1, 101):
url = 'https://appmatch.yuanrenxue.com/app1'
headers = {
'Host': 'appmatch.yuanrenxue.cn',
'accept-language': 'zh-CN,zh;q=0.8',
'user-agent': 'Mozilla/5.0 (Linux; U; Android 7.1.1; zh-cn; ONEPLUS A3010 Build/NMF26F) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30',
'content-type': 'application/x-www-form-urlencoded',
'cache-control': 'no-cache',
}
data = {
'page': str(i),
't': str(int(time.time())),
'token': '你自己的token',
}
data['sign'] = script.exports.main('page=' + data['page'] + data['t'])
print(data)
response = requests.post(url, headers=headers, data=data, verify=False)
print(response.json())
value_data = response.json()
for value in value_data['data']:
num += int(value['value'])
print(num)
time.sleep(1)
if __name__ == '__main__':
get_url()
第一题.js的代码:
//字符串转字节序列
function stringToByte(str) {
var bytes = new Array();
var len, c;
if (str) {
len = str.length;
for (var i = 0; i < len; i++) {
c = str.charCodeAt(i);
if (c >= 0x010000 && c <= 0x10FFFF) {
bytes.push(((c >> 18) & 0x07) | 0xF0);
bytes.push(((c >> 12) & 0x3F) | 0x80);
bytes.push(((c >> 6) & 0x3F) | 0x80);
bytes.push((c & 0x3F) | 0x80);
} else if (c >= 0x000800 && c <= 0x00FFFF) {
bytes.push(((c >> 12) & 0x0F) | 0xE0);
bytes.push(((c >> 6) & 0x3F) | 0x80);
bytes.push((c & 0x3F) | 0x80);
} else if (c >= 0x000080 && c <= 0x0007FF) {
bytes.push(((c >> 6) & 0x1F) | 0xC0);
bytes.push((c & 0x3F) | 0x80);
} else {
bytes.push(c & 0xFF);
}
}
}
return bytes;
}
//主动调用sign函数
var a
var yy
function main(a) {
console.log("Script loded successfully")
console.log(a)
Java.perform(function () {
console.log("Inside java perform function")
var Sign = Java.use('com.yuanrenxue.match2022.security.Sign')//对指定的类名动态的获取这个类的JavaScript引用
console.log("Java.use.successfully") //定位类
var asinn = Sign.$new() //创建实例
yy = asinn.sign(stringToByte(a))
console.log(yy) //定位类
})
return yy
}
//入口函数
rpc.exports = {
main: main
}
五、成果(开心~)
参考文章:猿人学逆向比赛第一题sign参数(第三期)_wx63da3ca9e1323的技术博客_51CTO博客、猿人学-APP大赛-第一题-Frida初试、调用Java代码_猿人学app第一题_银古_1427的博客-CSDN博客