猿人学11题so逆向

已于 2024-01-07 22:03:22 修改
阅读量1.3k 收藏 9
点赞数 15
分类专栏: 安卓逆向 文章标签: android python java
于 2024-01-07 22:00:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48076656/article/details/135445497
版权

猿人学第11题

将App下载后进行观察

在这里插入图片描述

界面还算简单,拖到jadx中进行反编译

在这里插入图片描述

全局搜索sign关键字进行定位很快就会找到sign生成的位置,仔细观察最后会发现sig方法在native层

在这里插入图片描述

到这里就可以直接将so文件拉出来看了

通过ida查看发现 sign方法是动态注册,所以直接搜JniOnload

在这里插入图片描述

点击方法进入

在这里插入图片描述

直接很清楚的就会发现getSign关键字,点击Tab键进入伪c代码界面

在这里插入图片描述

大致看了下,还是直接进行Unidbg调用so比较方便,这个是需要补JNi环境的

package com.dta.yuanrenxue8;

import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Module;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.wrapper.DvmLong;
import com.github.unidbg.memory.Memory;

import java.io.File;
import java.io.IOException;

import java.util.Random;

public class MainActivity2 {

    private final AndroidEmulator emulator;
    private final VM vm;
    private final Module module;
    private final DvmClass TTEncryptUtils;
    private final boolean logging;

    MainActivity2(boolean logging) {
        this.logging = logging;

        emulator = AndroidEmulatorBuilder.for32Bit().setProcessName("com.yuanrenxue.onlinejudge2020").build(); // 创建模拟器实例,要模拟32位或者64位,在这里区分
        final Memory memory = emulator.getMemory(); // 模拟器的内存操作接口
        memory.setLibraryResolver(new AndroidResolver(23)); // 设置系统类库解析

        vm = emulator.createDalvikVM(new File("unidbg-android/src/test/java/com/dta/yuanrenxue8/YuanRenXueOJ_1.2-release.apk")); // 创建Android虚拟机
        vm.setVerbose(logging); // 设置是否打印Jni调用细节

        vm.setJni(new AbstractJni() {
            @Override
            public DvmObject<?> callStaticObjectMethodV(BaseVM vm, DvmClass dvmClass, DvmMethod dvmMethod, VaList vaList) {
                if ("android/os/Looper->myLooper()Landroid/os/Looper;".equals(dvmMethod.toString())){
                    return vm.resolveClass("android/os/Looper").newObject(null);
                }
                return null;
            }
            @Override
            public DvmObject<?> newObjectV(BaseVM vm, DvmClass dvmClass, DvmMethod dvmMethod, VaList vaList) {
                if ("java/util/Random-><init>()V".equals(dvmMethod.toString())){
                    return vm.resolveClass("java/util/Random").newObject(new Random());
                }else if("java/util/Random-><init>(J)V".equals(dvmMethod.toString())){
                    return vm.resolveClass("java/util/Random").newObject(new Random(vaList.getLongArg(0)));
                }
                return null;
            }
            @Override
            public int callIntMethodV(BaseVM vm, DvmObject<?> dvmObject, DvmMethod dvmMethod, VaList vaList) {
                if ("java/util/Random->nextInt(I)I".equals(dvmMethod.toString())){
                    Random a = (Random)dvmObject.getValue();
                    return a.nextInt(vaList.getIntArg(0));
                }
                return 0;
            }
            @Override
            public DvmObject<?> callObjectMethodV(BaseVM vm, DvmObject<?> dvmObject, DvmMethod dvmMethod, VaList vaList) {
                if("android/content/ContextWrapper->getFilesDir()Ljava/io/File;".equals(dvmMethod.toString())){
                    return vm.resolveClass("java/io/File").newObject(new File("/"));
                }else if("java/io/File->getAbsolutePath()Ljava/lang/String;".equals(dvmMethod.toString())){
                    return new StringObject(vm, "/");
                    // 这里会在你的电脑C:\Users\用户名称\AppData\Local\Temp\rootfs\default目录下创建一个.did.bin的文件
                }
                return null;
            }
            @Override
            public boolean acceptMethod(DvmClass dvmClass, String signature, boolean isStatic) {
                return true;
            }
        });

        DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/armeabi-v7a/libyuanrenxue_native.so"), false); // 加载libttEncrypt.so到unicorn虚拟内存,加载成功以后会默认调用init_array等函数

        DvmClass cContextWrapper = vm.resolveClass("android/content/ContextWrapper");
        TTEncryptUtils = vm.resolveClass("com/yuanrenxue/onlinejudge2020/OnlineJudgeApp", cContextWrapper);

        dm.callJNI_OnLoad(emulator); // 手动执行JNI_OnLoad函数
        module = dm.getModule(); // 加载好的libttEncrypt.so对应为一个模块

    }

    void destroy() throws IOException {
        emulator.close();
        if (logging) {
            System.out.println("destroy");
        }
    }

    public static void main(String[] args) throws Exception {
        MainActivity2 test = new MainActivity2(false);
       // test.ttEncrypt(args[0]);
        test.ttEncrypt("1");
        test.destroy();
    }

    void ttEncrypt(String number){
        StringObject signobj = TTEncryptUtils.newObject(null).callJniMethodObject(emulator, "getSign(J)Ljava/lang/String;", DvmLong.valueOf(vm, Long.parseLong(number))); // 执行Jni方法
        String sign = signobj.getValue();
        System.out.println(sign);
    }
}

以下是Unidbg返回的结果

在这里插入图片描述

我这里是直接使用springboot+Unidbg通过接口将返回值传送给python进行调用,也可以使用jar包的形式传递给python进行调用,手机进行抓包查看该题的请求参数以及url

在这里插入图片描述

总体上也就这几个参数需要注意,到这里就可以使用python进请求了

import requests


def get_res(page):
    global s
    url = 'http://localhost:8080/getSign/' + str(page)

    sign = requests.get(url=url).text

    new_url = 'https://match.yuanrenxue.com/api/match/11/query'
    params = {
        'id': str(page),
        'sign': sign
    }
    res = requests.get(url=new_url, params=params).json()
    s += res['data']
    print(res)


if __name__ == '__main__':
    s = 0
    for i in range(0, 100):
        get_res(i)
    print(s)

python返回结果如下:

在这里插入图片描述

JS逆向系列之猿人爬虫第11 - app抓取 - so文件协议破解
自成背后的博客
08-10 5143
JS逆向系列之猿人爬虫第11-app抓取
js逆向第23例:猿人11-app抓取-so文件协议破解
花臂不花Home
01-30 1075
任务 11:完成群里发布APP的任务,并将任务结果填入下方。
Python爬虫实战:app抓取 - so文件协议破解 安卓练习 猿人比赛11详解
weixin_46564418的博客
03-29 967
目链接:http://match.yuanrenxue.com/match/11 安装好app后,打开HttpCanary抓包,然后随意查询一个范围内的数字 这里可以看到加载了一个so文件,然后调用了getSign方法得到了sign,如果继续静态分析的话,就要用到IDA来分析,这里我直接使用python+frida框架解决 这里跳过配置环境的部分,直接遍历0-9999来调用getSign方法获取sign,因为请求次数比较多,所以我这里还是用了多线程进行请求 import frida import
猿人库十一——人均会解js——采坑式
含笑
12-29 1763
猿人库十一——人均会解jsl 1. 首先 进入 浏览器的开发者工具, 在 Network 找到 对应的请求,在Response中查看返回的内容(这里注意 一下,会找到俩个challenge/11的请求) 2. 模拟请求数据 再次用postman模拟请求,显示要登陆 在 请求的Header信息里面 cookie直接复制, 或者在 浏览器的 Application 里面的cookie栏,复制 seesionid 参数携带后在请求(这里可以看到 Expires...
红米k30 允许调用gpu调试层_记一次APPso层算法逆向(六)
weixin_39901685的博客
11-04 822
“前言:初逆向 请多多指教”习到的内容—1、在java层,对容器类的对象进行hook来进行快速定位2、ida的findcrypt插件对so层的算法快速识别3、文章分析简单,就是记录了一次新的hook思路,没有新的套路,就当作练手了,有一个字段没有分析出来,之后知道了会补上的算法逆向过程—APP登陆界面:数据包(请求和相应)如下:POST /api/v1/auth/login/sms...
.so文件反编译_记一次APPso层算法逆向(四)
weixin_39788051的博客
11-27 2196
“前言:初逆向 请多多指教 这个10月即将结束,这也是我第一个月的逆向习 很感谢一直有41个人关注我...”习到的内容—1、不同反编译工具的不同2、Frida Memory对象的使用01—APP登陆界面:POST http://mobile.fjtv.net/haibo4/m_login.php?system_version=5.1.1&app_version=3.0....
wifi定位算法 java_记一次APPso层算法逆向(七)
weixin_39530557的博客
12-11 681
“前言:初逆向 请多多指教 好累 感觉每天这样肝 人有点受不了了...”习到的内容—1、新习到IDA的一些分析时候的小技巧2、算法还原代码实现的练习(有个参数没有分析出来,后面知道了会补上的)3、在Frida中使用命令行调试的方便方法分析过程—APP登陆界面:请求包:POST /api/adult/check_guest HTTP/1.1Content-Type: app...
猿人App逆向 第二 so层加密
qq_38759383的博客
06-05 1124
安卓逆向so层加密 具体so层实操参考:https://blog.csdn.net/tjcwt2011/article/details/122079661 4.然后按F5,就可以将汇编代码转换为C代码 为什么下面的sign函数有三个传参? 很多同就有疑惑,java层sign函数有一个传参,为什么这边有三个传参,以第三个参数为标准传参,前面两个有可能是JNIEnv、j......
猿人2022APP逆向--第三 so层加密混淆
qq_38759383的博客
06-07 908
安卓逆向so层加密混淆破解,unidbg调用so文件
猿人2022年App逆向--第七 quic
qq_38759383的博客
06-10 710
QUIC (Quick UDP Internet Connections)是由 Google 从 2013 年开始研究的基于 UDP 的可靠传输协议,它最早的原型是 SPDY + QUIC-Crypto + Reliable UDP,后来经历了 SPDY 转型为 2015 年 5 月 IETF 正式发布的 HTTP/2.0,以及 2016 年 TLS/1.3 的正式发布。2016 年成立,IETF 的 QUIC 标准化工作组启动,考虑到 HTTP/2.0 和 TLS/1.3 的发布,它的核心协议族逐步进化为
猿人APP逆向习 demo-01
u014685598的博客
02-22 648
猿人APP逆向习 demo-01 1. 抓包: 2. 分析 抓包看来就是一个sign加上一个翻页参数。这个sign看着像32位md5,遗憾的是自吐MD5并没有什么结果, 3.
猿人APP逆向第一
weixin_49859373的博客
03-17 689
猿人APP逆向第一
猿人2022年App逆向--第九 TCP
qq_38759383的博客
06-22 938
猿人2022-APP逆向 第九 tcp
猿人2022APP逆向--第四 grpc
qq_38759383的博客
06-07 662
安卓逆向,grpc,那么grpc是什么呢?
猿人2022APP逆向--第五 双向认证
qq_38759383的博客
06-09 842
2022猿人第五app逆向,双向认证
猿人2022年App逆向--第一 java层加密
qq_38759383的博客
05-22 770
第六,先搞个unidbg看能不能跑起来 加载so是没问的,动态注册函数地址能跑出来,然鹅调用getDeviceId函数就无穷无尽的报错,patch了半天,先放弃这个方法,转成用frida分析,找到核心加密函数再说 so文件扔进ida,简单过一下分析 快捷键g,输入0x49ff4 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Qlh8LezR-1653216943046)(D:\youdaoyun\qqBF5B470D9BE5B28E891CBD790EE637AD\926
猿人app内部第二-app逆向-so初体验
Ig_thehao的博客
09-02 1928
案例为猿人app第二,主要习各种逆向方法,最终目标脱机执行,习了frida的各种api的使用,ida的操作,trace的操作,以及一定的trace文件分析能力。
Android 简单的so逆向
最新发布
有什么问题回复不及时,可以私聊我。也可以加我的星球:知识爬行者
06-27 2481
有兴趣的同可以关注下我的个人公众号和星球公众号链接星球链接。
Android逆向猿人2022年app比赛第一(步步验证)
qq_41866988的博客
05-23 995
再启动一次,可以看到这次恢复正常了,参数就是page=11684850913,sign是d8fde916979aeb58d3398ea0c0e455c7和我们之前分析的参数是差不多的结果。跟进去可以大概看出,这是一个加密操作的函数,也跟到了底部,我们这里先不对该函数内部逻辑进行研究,先hook一下这个函数,看看返回的是不是和抓包的结果一致。可以看到成功hook上了,并且和抓包内容一致,但是这个传入的bArr是一个byte[]类型的数据,没有办法很直观的看到传入的是什么参数。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值