猿人学11题so逆向

已于 2024-01-07 22:03:22 修改
阅读量1.1k 收藏 9
点赞数 15
分类专栏: 安卓逆向 文章标签: android python java
于 2024-01-07 22:00:31 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48076656/article/details/135445497
版权
文章讲述了如何使用Unidbg工具对Android应用进行逆向工程,定位到sign生成位置,观察到sign方法在native层,并利用JNIOnload动态注册。接着介绍了如何通过Unidbg调用SO文件中的函数,以及通过Python接口实现与服务器交互的过程。
摘要由CSDN通过智能技术生成

猿人学第11题

将App下载后进行观察

在这里插入图片描述

界面还算简单,拖到jadx中进行反编译

在这里插入图片描述

全局搜索sign关键字进行定位很快就会找到sign生成的位置,仔细观察最后会发现sig方法在native层

在这里插入图片描述

到这里就可以直接将so文件拉出来看了

通过ida查看发现 sign方法是动态注册,所以直接搜JniOnload

在这里插入图片描述

点击方法进入

在这里插入图片描述

直接很清楚的就会发现getSign关键字,点击Tab键进入伪c代码界面

在这里插入图片描述

大致看了下,还是直接进行Unidbg调用so比较方便,这个是需要补JNi环境的

package com.dta.yuanrenxue8;

import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Module;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.wrapper.DvmLong;
import com.github.unidbg.memory.Memory;

import java.io.File;
import java.io.IOException;

import java.util.Random;

public class MainActivity2 {

    private final AndroidEmulator emulator;
    private final VM vm;
    private final Module module;
    private final DvmClass TTEncryptUtils;
    private final boolean logging;

    MainActivity2(boolean logging) {
        this.logging = logging;

        emulator = AndroidEmulatorBuilder.for32Bit().setProcessName("com.yuanrenxue.onlinejudge2020").build(); // 创建模拟器实例,要模拟32位或者64位,在这里区分
        final Memory memory = emulator.getMemory(); // 模拟器的内存操作接口
        memory.setLibraryResolver(new AndroidResolver(23)); // 设置系统类库解析

        vm = emulator.createDalvikVM(new File("unidbg-android/src/test/java/com/dta/yuanrenxue8/YuanRenXueOJ_1.2-release.apk")); // 创建Android虚拟机
        vm.setVerbose(logging); // 设置是否打印Jni调用细节

        vm.setJni(new AbstractJni() {
            @Override
            public DvmObject<?> callStaticObjectMethodV(BaseVM vm, DvmClass dvmClass, DvmMethod dvmMethod, VaList vaList) {
                if ("android/os/Looper->myLooper()Landroid/os/Looper;".equals(dvmMethod.toString())){
                    return vm.resolveClass("android/os/Looper").newObject(null);
                }
                return null;
            }
            @Override
            public DvmObject<?> newObjectV(BaseVM vm, DvmClass dvmClass, DvmMethod dvmMethod, VaList vaList) {
                if ("java/util/Random-><init>()V".equals(dvmMethod.toString())){
                    return vm.resolveClass("java/util/Random").newObject(new Random());
                }else if("java/util/Random-><init>(J)V".equals(dvmMethod.toString())){
                    return vm.resolveClass("java/util/Random").newObject(new Random(vaList.getLongArg(0)));
                }
                return null;
            }
            @Override
            public int callIntMethodV(BaseVM vm, DvmObject<?> dvmObject, DvmMethod dvmMethod, VaList vaList) {
                if ("java/util/Random->nextInt(I)I".equals(dvmMethod.toString())){
                    Random a = (Random)dvmObject.getValue();
                    return a.nextInt(vaList.getIntArg(0));
                }
                return 0;
            }
            @Override
            public DvmObject<?> callObjectMethodV(BaseVM vm, DvmObject<?> dvmObject, DvmMethod dvmMethod, VaList vaList) {
                if("android/content/ContextWrapper->getFilesDir()Ljava/io/File;".equals(dvmMethod.toString())){
                    return vm.resolveClass("java/io/File").newObject(new File("/"));
                }else if("java/io/File->getAbsolutePath()Ljava/lang/String;".equals(dvmMethod.toString())){
                    return new StringObject(vm, "/");
                    // 这里会在你的电脑C:\Users\用户名称\AppData\Local\Temp\rootfs\default目录下创建一个.did.bin的文件
                }
                return null;
            }
            @Override
            public boolean acceptMethod(DvmClass dvmClass, String signature, boolean isStatic) {
                return true;
            }
        });

        DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/armeabi-v7a/libyuanrenxue_native.so"), false); // 加载libttEncrypt.so到unicorn虚拟内存,加载成功以后会默认调用init_array等函数

        DvmClass cContextWrapper = vm.resolveClass("android/content/ContextWrapper");
        TTEncryptUtils = vm.resolveClass("com/yuanrenxue/onlinejudge2020/OnlineJudgeApp", cContextWrapper);

        dm.callJNI_OnLoad(emulator); // 手动执行JNI_OnLoad函数
        module = dm.getModule(); // 加载好的libttEncrypt.so对应为一个模块

    }

    void destroy() throws IOException {
        emulator.close();
        if (logging) {
            System.out.println("destroy");
        }
    }

    public static void main(String[] args) throws Exception {
        MainActivity2 test = new MainActivity2(false);
       // test.ttEncrypt(args[0]);
        test.ttEncrypt("1");
        test.destroy();
    }

    void ttEncrypt(String number){
        StringObject signobj = TTEncryptUtils.newObject(null).callJniMethodObject(emulator, "getSign(J)Ljava/lang/String;", DvmLong.valueOf(vm, Long.parseLong(number))); // 执行Jni方法
        String sign = signobj.getValue();
        System.out.println(sign);
    }
}

以下是Unidbg返回的结果

在这里插入图片描述

我这里是直接使用springboot+Unidbg通过接口将返回值传送给python进行调用,也可以使用jar包的形式传递给python进行调用,手机进行抓包查看该题的请求参数以及url

在这里插入图片描述

总体上也就这几个参数需要注意,到这里就可以使用python进请求了

import requests


def get_res(page):
    global s
    url = 'http://localhost:8080/getSign/' + str(page)

    sign = requests.get(url=url).text

    new_url = 'https://match.yuanrenxue.com/api/match/11/query'
    params = {
        'id': str(page),
        'sign': sign
    }
    res = requests.get(url=new_url, params=params).json()
    s += res['data']
    print(res)


if __name__ == '__main__':
    s = 0
    for i in range(0, 100):
        get_res(i)
    print(s)

python返回结果如下:

在这里插入图片描述

R玍一世ㄜ
关注
专栏目录
猿人App逆向 第二 so层加密
qq_38759383的博客
06-05 1010
安卓逆向,so层加密 具体so层实操参考:https://blog.csdn.net/tjcwt2011/article/details/122079661 4.然后按F5,就可以将汇编代码转换为C代码 为什么下面的sign函数有三个传参? 很多同就有疑惑,java层sign函数有一个传参,为什么这边有三个传参,以第三个参数为标准传参,前面两个有可能是JNIEnv、j......
JS逆向系列之猿人爬虫第11 - app抓取 - so文件协议破解
自成背后的博客
08-10 2162
JS逆向系列之猿人爬虫第11-app抓取
Python爬虫实战:app抓取 - so文件协议破解 安卓练习 猿人比赛11详解
weixin_46564418的博客
03-29 911
目链接:http://match.yuanrenxue.com/match/11 安装好app后,打开HttpCanary抓包,然后随意查询一个范围内的数字 这里可以看到加载了一个so文件,然后调用了getSign方法得到了sign,如果继续静态分析的话,就要用到IDA来分析,这里我直接使用python+frida框架解决 这里跳过配置环境的部分,直接遍历0-9999来调用getSign方法获取sign,因为请求次数比较多,所以我这里还是用了多线程进行请求 import frida import
猿人库十一——人均会解js——采坑式
含笑
12-29 1675
猿人库十一——人均会解jsl 1. 首先 进入 浏览器的开发者工具, 在 Network 找到 对应的请求,在Response中查看返回的内容(这里注意 一下,会找到俩个challenge/11的请求) 2. 模拟请求数据 再次用postman模拟请求,显示要登陆 在 请求的Header信息里面 cookie直接复制, 或者在 浏览器的 Application 里面的cookie栏,复制 seesionid 参数携带后在请求(这里可以看到 Expires...
猿人(非常简单js混淆、雪碧图、样式干扰 css加密、js混淆源码乱码、js混淆动态cookie、访问逻辑)
热门推荐
yytkkn的博客
03-20 1万+
习目标: python习—猿人 习内容: 1、非常简单js混淆 1、非常简单js混淆 试连接:http://match.yuanrenxue.com/match/12 解决方法: import base64 import requests import time # http://match.yuanrenxue.com/api/match/12?page=1&m=eXVhbnJlbnh1ZTE%3D sum = 0 for i in range(5): time.sl
猿人app内部第二-app逆向-so初体验
Ig_thehao的博客
09-02 1614
案例为猿人app第二,主要习各种逆向方法,最终目标脱机执行,习了frida的各种api的使用,ida的操作,trace的操作,以及一定的trace文件分析能力。
第一届猿人爬虫比赛1-20
自成背后的博客
10-23 582
猿人第一届Web端反混淆攻防赛1-20
猿人2022APP逆向--第三 so层加密混淆
qq_38759383的博客
06-07 807
安卓逆向,so层加密混淆破解,unidbg调用so文件
猿人2022年App逆向--第七 quic
qq_38759383的博客
06-10 631
QUIC (Quick UDP Internet Connections)是由 Google 从 2013 年开始研究的基于 UDP 的可靠传输协议,它最早的原型是 SPDY + QUIC-Crypto + Reliable UDP,后来经历了 SPDY 转型为 2015 年 5 月 IETF 正式发布的 HTTP/2.0,以及 2016 年 TLS/1.3 的正式发布。2016 年成立,IETF 的 QUIC 标准化工作组启动,考虑到 HTTP/2.0 和 TLS/1.3 的发布,它的核心协议族逐步进化为
猿人2022年App逆向--第九 TCP
qq_38759383的博客
06-22 832
猿人2022-APP逆向 第九 tcp
猿人安卓逆向对抗比赛(1-5
zjq592767809的博客
05-20 2099
猿人安卓逆向对抗比赛(1-5目 一 java层加密 二 so层加密 三 so层加密带混淆 四 grpc 五 双向认证 六 设备指纹加密 七 quic 八 upx 九 tcp 十 tls 第一java层加密 不管三七二十一,上来先抓个包看看 这是一个post请求,并且附带三个参数,其中一个是sign,那么第一要分析的应该就是这个sign了,用jadx反编译apk,尝试搜索一下请求地址【/ap
Unidbg调用猿人so计算sign
zjq592767809的博客
03-25 1383
一些踩过的坑 1.需要设置jni,jni中存在反射调用java层对象 2.需要hook文件路径相关的函数,例如sub_33A14 3.需要使用unidbg的0.9.3版本,里面有callStaticObjectMethodV的jni方法 package com.bytedance.frameworks.core.encrypt; import com.github.unidbg.AndroidEmulator; import com.github.unidbg.Emulator; import com.g
猿人js逆向第一
Huangqingmeng的博客
12-07 270
猿人第一
weixin_42072632的博客
12-19 1250
** 猿人系列保姆及教程 ** 第一* 链接:http://match.yuanrenxue.com/match/1 1 分析所需参数请求来源及获取请求索要参数 上图我们可以分析出我们所需数据请求的url为http://match.yuanrenxue.com/api/match/1?m=e1c053a7e2130d440b11196035803350%E4%B8%A81608486311其中m是我们需要分析的参数.那么接下来我们分析m来源 2 首先进行全局搜索,如下图我们发现搜不到参数 3 既然
python爬虫 - 猿人第十九突破ja3指纹验证
app安全逆向、移动开发、tls/ja3、爬虫、反爬
12-12 6856
ja3指纹破解,骚操作删除原生加密算法
js逆向-猿人(10-11)js和app协议破解
李玺
01-27 1962
猿人爬虫比赛第十:《js混淆 重放攻击对抗》 地址: http://match.yuanrenxue.com/match/10 开无痕,开控制台, debugger 右键选择 :never pause here ,先这样瞧一瞧 又是无限debugger,后面给页面卡蹦了,电脑内存卡满。 处理方法要么不debug要么用js-hook掉吧。然后从堆栈进去找m,拼代码。 不好意思,后面我就不看了,实在浪费时间。 猿人爬虫比赛第十一:《app so文件协议破解》 地址: http://match.y
windows10使用bat脚本安装前后端环境之msyql5.7安装配置并重置用户密码
最新发布
风吹淡了悲伤
09-27 326
mysql-user-init.sql:重置root密码(并新增zhangsan用户授予权限)adserver-simple.sql:创建数据库sql脚本。5.启动并修改root密码(新增用户初始化授予权限)2.新增data文件夹与my.ini配置文件。1.下载mysql5.7 zip格式安装包。4.安装mysql windows服务。
Android Camera 预览角度和拍照保存图片角度相关
sinat_37429535的博客
09-23 1168
基于Android R(11)
Android 已经过时的方法用什么新方法替代?
赵星海的博客
09-25 308
【代码】Android 已经过时的方法用什么新方法替代?
猿人js逆向TypeError: list indices must be integers or slices, not str第一的爬虫编写
08-31
关于您提到的猿人js逆向的问,我需要更多的信息才能为您提供具体的答案。对于爬虫编写,您可以使用Python的各种库(如Requests、BeautifulSoup、Scrapy等)来获取网页的内容,并进一步解析和处理。您可以使用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值