一.前言
昨天我们讲了unidbg的上篇,都是一些之前讲过的简单案例,末尾还单独说了一个新案例海南航空,今天我们来讲的案例都是之前讲过的,主要是和大家说补环境
二.唯品会skey
大家如果不记得了,可以去看看前面的文章,这里给出文章地址
当时我们找到这里,就没有带大家往里面读,而我们是通过hook得到的,发现怎么都是固定的,而当时我没给出他so文件的名字,这里我给大家贴出来
是libkeyinfo.so,我们今天用unidbg跑出来,是不是还是很简单,我这里和大家说一下,这里和昨天是一样的,这个只是带大家回顾一下,而需要补环境的在后面,大家可以先试试自己写
两个参数大家也看到了,一个是content对象,另一个就是字符串skey,返回值是个固定值
6692c461c3810ab150c9a980d0c275ec
然后就c个代码啦,现在我们来编写sign里的内容
这里给出代码
public void sign(){
// 1 找到类
DvmClass KeyInfo = vm.resolveClass("com/vip/vcsp/KeyInfo");
// 2 找到方法
String method = "getNavInfo(Landroid/content/Context;Ljava/lang/String;)Ljava/lang/String;";
// 3 执行
StringObject obj=KeyInfo.callStaticJniMethodObject(
emulator,
method,
vm.resolveClass("android/content/Context").newObject(null),
new StringObject(vm,"skey")
);
// 4 打印结果
String result = obj.getValue();
System.out.println(result);
}
运行结果和当时hook的一致
三.唯品会api_sign
这个和skey是一天讲的,就不用给出链接地址了,这里给几张截图给大家回顾一下
发现最后是在gsNav方法,so和刚才是一个so文件,传的参数有四个,分别是
参数一:content对象
参数二:Map对象
参数三:字符串
参数四:布尔值
我这里给出当时hook的参数和结果
参数2:map==> {app_name=achievo_ad, app_version=7.83.3, channel=oziq7dxw:::, device=Pixel 2 XL, device_token=a9d1a2b9-2a79-36fd-a8ca-cbe24c03979d, manufacturer=Google, os_version=30, regPlat=0, regid=null, rom=Dalvik/2.1.0 (Linux; U; Android 11; Pixel 2 XL Build/RP1A.201005.004.A1), skey=6692c461c3810ab150c9a980d0c275ec, status=1, vipruid=, warehouse=null}
参数3 字符串 ==> null
参数4 布尔==> false
那我们就开始编写了,因为so文件还是一样的,所以初始化我们不需要更改,直接复制刚才的就好
3.1代码解释
这个代码发现和大家之前写的不太一样,这里我来具体解释
首先是Map new出来的是TreeMap是因为Map是一个接口,不能直接new出Map,不记得得可以去看看前面得java基础,都有说到,这个不是重点,我就不说了
然后就是比如那些类对应得jni签名大家不知道,这个时候就能借助gpt,问一下对应的全类名就好
举个栗子
然后把.换成/,前面加个L,用多了也就都记得了
接下来就是 ProxyDvmObject.createObject(vm,map)
给unidbg传参数时,需要包裹
-之前咱们学的
-字符串:new StringObject(vm,"")
-布尔数字类型:直接传
-其他自定义类型:vm.resolveClass("java/util/Map").newObject(map对象)
-今天学到一个新的:无论对象什么类型,他能自动识别并匹配
ProxyDvmObject.createObject(vm,对象)
而我们点开这个源码看一下
发现这个的本质就是读取传入参数的类型,然后给他new出对象,这个就十分的方便了,不需要再在里面写参数了,那我们接下来就有个问题,我们当时的content对象都给他当成是null传进去那么
vm.resolveClass("android/content/Context").newObject(null)
ProxyDvmObject.createObject(vm,null)
是不是一样的,第一个得到的是Context的对象,只是内容是空的
第二个它不是任何对象的对象,就是null,大家体会一下就知道了
只有拥有了content对象的时候,才能这么使用
而bool和数字也不能使用这个,因为他们直接传入就好,并不需要包裹
答疑完之后,我们运行一下
发现报错了
java.lang.UnsupportedOperationException: java/util/TreeMap->entrySet()Ljava/util/Set;
at com.github.unidbg.linux.android.dvm.AbstractJni.callObjectMethod(AbstractJni.java:921)
3.2 补环境
遇到这个错误说明我们得要来补环境了,意思就是callObjectMethod中传入ava/util/TreeMap->entrySet()Ljava/util/Set;找不到方法嘛,我们就需要来补这个环境
-在so中调用java代码时,会需要补环境
-TreeMap在调用entrySet方法时报错
-在so中,传入c代码中map--》map在调用entrySet时,报错了--》环境中没有--咱们需要补
那我们直接输入callObjectMethod然后按照tab,自动出这么多
然后在里面写要补的方法,具体就和我这么来就行
如果不知道执行方法的类型,也可以写object,object可以代指所有的泛型,再用
return ProxyDvmObject.createObject(vm,objct);,这个前面说过可以知道里面的具体类型
现在就不报刚才的那个错误了,我们接着补,我这里带大家补几个,发现这个还是在刚才的方法里面,直接再写个if判断
按照这个来嘛,我们再运行
发现现在报callBooleanMethod这个错误,那我们写这个然后按tab
选择这个带signature的
我们再次运行
又回到刚才的位置写个if判断,这里我就
运行报这个错,我们再写if判断咯
运行报错,再写个if判断
运行结果
这就已经出值了,这就已经ok了,发现这个都是在补java的环境,这里我给出所有的补环境代码供大家学习
@Override
public DvmObject<?> callObjectMethod(BaseVM vm, DvmObject<?> dvmObject, String signature, VarArg varArg) {
if(signature.equals("java/util/TreeMap->entrySet()Ljava/util/Set;")){
// 1 拿到map对象
//从dvmObject中拿到TreeMap的对象,通过getValue,返回的类型需要做强制类型转换
TreeMap map=(TreeMap)dvmObject.getValue();
// 2 调用map对象的 entrySet ,没有参数,返回值是Set类型
// 报错可以知道 返回值:Ljava/util/Set;
Set set=map.entrySet();
// 3 包裹,返回给unidbg
// return vm.resolveClass("java/util/Set").newObject(set);
return ProxyDvmObject.createObject(vm,set);
}
else if(signature.equals("java/util/Set->iterator()Ljava/util/Iterator;")){
// 获取对象,强制类型转换
Set set=(Set) dvmObject.getValue();
//执行方法 iterator
Iterator it=set.iterator();
//包裹返回
return ProxyDvmObject.createObject(vm,it);
}
else if(signature.equals("java/util/Iterator->next()Ljava/lang/Object;")){
Iterator it=(Iterator) dvmObject.getValue();
Object obj=it.next();
return ProxyDvmObject.createObject(vm,obj);
}
else if(signature.equals("java/util/Map$Entry->getKey()Ljava/lang/Object;")){
Map.Entry me=(Map.Entry) dvmObject.getValue();
Object obj=me.getKey();
return ProxyDvmObject.createObject(vm,obj);
}
else if(signature.equals("java/util/Map$Entry->getValue()Ljava/lang/Object;")){
Map.Entry me=(Map.Entry) dvmObject.getValue();
Object obj=me.getValue();
return ProxyDvmObject.createObject(vm,obj);
}
return super.callObjectMethod(vm, dvmObject, signature, varArg);
}
@Override
public boolean callBooleanMethod(BaseVM vm, DvmObject<?> dvmObject, String signature, VarArg varArg) {
if(signature.equals("java/util/Iterator->hasNext()Z")){
Iterator it =(Iterator) dvmObject.getValue();
boolean z=it.hasNext();
//流程还是之前那样,只是bool类型不需要包裹返回,是不是感觉写sign还是很像
return z;
}
return super.callBooleanMethod(vm, dvmObject, signature, varArg);
}四.识货案例
这个案例和我们之前讲的案例不太一样,这个主要是和大奖讲补环境方法,这个是识货的老接口,当时搜索的数据都是加密的,我们这次来破这个,大家不知道其实也没关系,主要是学习补环境
我们把写好sign之后,可能很多人要问我,为什么要把字符串拼接这么多次,不麻烦吗,当然很麻烦啦,但是java有字符串限制,不能一下创建很长的字符串,所以要把字符串一个个添加进去,那我们现在来运行一下
4.1补安卓环境
那我们接着补
这个是安卓中的方法,拿不到,直接按照这个补空返回,如果后期这个还报错,就接着补
报错这个,我们接着补
还是和刚才一样,我们接着运行接着补
运行
这就出结果了,说明校验不严格
4.2 系统对象
在补环境时候,会有java和安卓的对象
-java的对象--》jdk提供了--》unidbg中会自带--》entrySet--》jdk自带的
-安卓的对象--》安卓的sdk提供--》unidbg中没有--》我们统一都返回空对象
-后期还会遇到--》app中自己写的类的对象--》把人家的类copy出来--》放到unidbg中
安卓的一个对象[context,Application,ActivityThread]--->其实很难伪造出来--》安卓中独有的
-我们没有安卓的sdk,造不出来的,它的源码极为复杂
-我们统一都返回 vm.resolveClass("android/app/ActivityThread").newObject(null);
-context。。本质都是为了:拿蓝牙信息,设备id号,sdk版本,包名。。。。
-补到最后,写死即可
4.3 安卓sdk
常见对象,如果不知道,就是搜索
ActivityThread:
安卓程序的主线程或UI线程,ActivityThread的main方法是整个APP的入口Application:
当前应用对象(本质是context),一般获取手机信息(蓝牙,网络),应用信息(包名,权限),数据传递,数据共享 ,数据缓存等PackageManager:
1、安装,卸载应用
2、查询permission相关信息
3、查询Application相关信息(application,activity,receiver,service,provider及相应属性等)
4、查询已安装应用
5、增加,删除permission
6、清除用户数据、缓存,代码段等
4 注意
以后遇到安卓系统的常见对象,我们先搜索,它作用是什么,先设置为null(vm.resolveClass("android/content/pm/PackageManager").newObject(null)),后续需要什么,通过hook或者写死再补环境
五.总结
这一期的案例写了我很久,主要是摆烂去了,星露谷物语太好玩了,沉迷其中,不过只有几节课就完结了,争取先完结再去玩吧,明天和大家讲一下unidbg的下期,我会和大奖讲补环境稍微难的了,案例大家拭目以待吧
补充
有不懂的地方可以主页咨询我,有求必应
扫一扫
3824
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
