某查查登录算法全解

已于 2024-09-14 12:46:04 修改
阅读量867 收藏 30
点赞数 31
分类专栏: android逆向 文章标签: 安卓逆向
于 2024-04-02 23:20:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xmx_000/article/details/137287939
版权

声明

仅供学习交流使用,切勿用于违法犯罪.

抓包

在这里插入图片描述
看登录请求要逆向的参数有password,deviceUniqueid,sign,deviceid,还有头部的Authorization,Authorization是后来发现的,这个如果正确登录了之后就失效了,需要重新请求获取,这个比较简单,在这先说明一下,如果登录成功再登录一次,不换Authorization就会出现下面的
在这里插入图片描述
这里参数比较多,先hook看一下有没有java层的加密,有的话可以减少在java层花费的时间,有更多时间还原so层的加密,算法自吐或者算法助手,我比较喜欢用算法助手.这个sign算法除了登录需要,其他搜索类的等等接口都需要.

password

搜一下0e031dcac2bfa6decad46f54abeac50e,我输入的是123456
在这里插入图片描述
点进去一个看看
在这里插入图片描述

搜一下明文779226276cd4d68ebb04f827b0a158cb,可能加密了多层
在这里插入图片描述
很明显了,拼接了两层DHX_password:
password分析完毕

deviceUniqueid

搜一下b9a4fdc908cdfff3158361cf512fb9f8
在这里插入图片描述
明文是unknown26:2c:5d:67:ca:95,后面那串可能是mac地址或者蓝牙地址

sign

76e166ab73f32c4bd5984822ba9b1d24||d,由前面32位和"||d"拼接组成的
搜索下前32位试试,搜了下没有结果,大概率就是so层的算法了.接下来就是定位加密位置了.

搜索大法

在这里插入图片描述
太多了,肯定不可能一个一个点过去看,这样太费劲了.换个思路hook

hashmap.put

var hashMap = Java.use("java.util.HashMap");
hashMap.put.implementation = function (a, b) {
    // if (a != null && a.equals("sign")) {
        console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()))
        console.log("hashMap.put: ", a, b);
    // }
    return this.put(a, b);
}

在这里插入图片描述
搜一下没有结果,换个hook点

StringBuilder.toString

var sb = Java.use("java.lang.StringBuilder");
sb.toString.implementation = function () {
var retval = this.toString();
if (retval.indexOf("||d") != -1) {
    console.log("StringBuilder.toString: ", retval);
    console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()))
}
return retval;
}

sign后面有个"||d",所以最终的sign字符串可能是通过StringBuilder.append添加上去的,可以hook stringBuilder.toString() 输出最终的字符串
在这里插入图片描述
有结果,32位数字来自str2,经过了getmd5方法,但是java层的md5没有hook到,应该是so的md5
在这里插入图片描述
就在下面
在这里插入图片描述

let EncryptImpl = Java.use("com.android.icredit.utils.EncryptImpl");
EncryptImpl["getMd5"].implementation = function (str) {
console.log(`EncryptImpl.getMd5 is called: str=${str}`);
let result = this["getMd5"](str);
console.log(`EncryptImpl.getMd5 result=${result}`);
return result;
};

hook下这个native方法
在这里插入图片描述

先验证下是不是md5,万一它连盐都没有加直接就出结果了就可以不用看so了
在这里插入图片描述
验证是标准的md5 sign分析完毕,入参由deviceId+时间戳+盐值组成
除此以外,如果你觉得他是so的算法,也可以hook jni函数,比如NewStringUTF
因为很多大厂的算法你通过上面介绍的方法很有可能hook不到,但是hook NewStringUTF有可能会出现你想要的字符串,但是如果结果通过字节数组返回的,那也会出现hook不到的情况.

NewStringUTF

var addrNewStringUTF = null;
var symbols = Module.enumerateSymbolsSync("libart.so");
for (var i = 0; i < symbols.length; i++) {
    var symbol = symbols[i];
    if (symbol.name.indexOf("NewStringUTF") >= 0 && symbol.name.indexOf("CheckJNI") < 0) {
        addrNewStringUTF = symbol.address;
        console.log("NewStringUTF is at ", symbol.address, symbol.name);
    }   

}
    if (addrNewStringUTF != null) {
    Interceptor.attach(addrNewStringUTF, {
        onEnter: function (args) {
            var c_string = args[1];
            var dataString = c_string.readCString();
            if (dataString) {
                if (dataString.length==32) {  //这里写要对字符串的筛选
                    console.log(dataString);
                    //读取当前是在那个so文件,那个地址
                    // console.log(Thread.backtrace(this.context, Backtracer.FUZZY).map(DebugSymbol.fromAddress).join('\n') + '\n');
                    //先用下面的
                    // console.log(Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n') + '\n');
                    console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()));
                }
            }

        },
    });
}

中间有个if判断 if (dataString.length==32),可以输出你想要的字符串的堆栈信息如果输出太多app可能会崩溃.

deviceid

这个似乎不是java层的,而是webview页面生成的.它的另一个名称是qcc_deviceid

并且把app清理缓存后这个值就不一样了,搜索也可以看到有js文件,这个不是重点了,感兴趣的自己试着还原一下吧
在这里插入图片描述

最后

案例比较简单,我也是挑的相对热门一点的需要爬虫业务的app来分析的
主要就是hook定位关键代码,有搜索大法,不过这个已经越来越不使用了,hashmap.put,StringBuilder.toString,base64,string.getbytes等等,以及so的NewStringUTF,还是需要根据经验来定位.
文章老是莫名被某sdn删掉,然后还审核不通过,后面估计发自己博客了

杨如画.
关注
专栏目录
frida进行hook的常用定位招数大全
云霄IT的博客
07-13 2027
【代码】frida进行hook的常用定位招数大全。
基于frida的so函数hook实战
热门推荐
Haward
01-31 1万+
一、环境 win10、python38、frida库、夜神模拟器 (1)安装frida环境 (a)frida python -m pip install frida //运行python38版本 //python -m module_name相当于python /path/to/module.py(当我们知道一个模块的名字,但不知道它的路径时,我们可以通过 -m 参数) 假如以上方法出错,建议本地下载frida包安装 https://pypi.org/project/frida/#files(选择f
安卓逆向学习笔记(10)- 安卓逆向学习资料
蜗牛
05-30 6026
因为喜欢Android安全,而Android逆向是Android安全的一个分支,所以小弟利用业余时间自学了一点Android逆向。 在学习过程中总结了一点学习资料,特此分享给大家。 (1)Android安全大牛的博客:          鬼哥的博客: 听鬼哥说故事             Jack_Jia的博客: Android手机病毒分析及研究          i 简行的博客:简行之旅
Native开发与逆向第三篇 - hook JNI函数NewStringUTF
u013170888的博客
08-30 491
Pixel 3a::com.mycode.nativehello ]-> env : 0x7d44041250 param1 Hello from C++ , 这是动态注册。addr_NewStringUTF retval : Hello from C++ , 这是动态注册。目标是hook NewStringUTF 打印字符串。运行打印结果:参数和返回值都正常打印出来字符串。
查查app sign算法破解(二)
weixin_30538029的博客
07-12 991
查查app sign算法破解 企查查app sign算法破解初步探索 上次把sign加密其中的一个参数找到了时间戳,这次继续找其他参数。就找这个cOI。 继续同样的套路ctrl+shif+f搜索cOI 我靠-------这也太多了吧,筛选一下 搜索cOI = 点击第二个,我们继续看,这个是设置设备id,好像在哪见过,不管了,这个我们可以伪造一个,只要sign和设备ID相同就行。 这次我们又...
查查app sign算法初步探索
成小新的博客
11-24 1512
查查app sign算法破解初步探索 之前有说过企查查的sign的解密,但这次是企查查app的sign算法破解,目前是初步进程。 目前我们需要做查壳,具体方法可以百度搜索,企查查用的360加固,很简单,我去脱壳一下。 脱完壳,我们需要逆向dex,如何逆向呢???我们可以借助jeb工具,具体用法百度一下,我这里用的是手机端反逆向。 逆向之后我们现在需要把class文件反编译为java文件,用到工...
Android逆向——过frida检测+so层算法逆向
weixin_43889136的博客
11-07 1万+
过frida检测 so层des算法分析 so层md5算法分析
frida hook jni 函数 NewStringUTF 打印参数和返回值字符串
08-30
frida hook jni 函数 NewStringUTF 打印参数和返回值字符串。 参考:https://blog.csdn.net/u013170888/article/details/141724349
3.frida Native层Hook
高新园养鸡场
03-12 2438
测试用例 本次的hook代码都用 frida-tools方式 书写。首先写一个简单的程序用来测试。后续的测试就在这个程序上小修小改,不做赘述。 <?xml version="1.0" encoding="utf-8"?> <LinearLayout xmlns:android="http://schemas.android.com/apk/res/android" xmlns:app="http://schemas.android.com/apk/res-auto" xml
查查请求头参数加密分析(含JS加密算法与Python爬虫源码)
吴秋霖的博客
01-10 3991
查查请求头加密参数JS逆向分析,使用Python爬取更多企业工商信息
工资查查1.0.1修正版
02-09
工资查查就是移动工资条,有以下特点: • 基于H5开发,客户端无需安装 • PC与移动设备自动适应,设备无关 • 可集成于微信公众号 • 可集成于微信小程序 • 可集成于App • 操作简单 • 可批量导入工资 • 可单条...
如何使用yolov8 + siamese轻松通过某查查登录验证(滑块验证、图标验证、字体验证),通过率高达99%
qq_49268524的博客
01-22 757
实战:如何使用yolov8 + siamese轻松通过某查查登录验证(滑块验证、图标验证、字体验证),通过率高达99% 声明:本文章仅供学习使用,上述代码请不要违规使用,所造成的一切不良后果与作者无关;如有侵权,请联系删除!!! 一、接口参数分析 1、接口分析 2、load接口参数分析—>获取背景图、缺口图、验证小图 captcha_type值:icon图标验证、word字体验证、slide滑块验证 3、verify接口参数分析—>重点参数w 4、重点参数w值逆向实现 // 1、快速定
看我骚操作‘破解’某查查app的sign以及某眼查的Authorization!
成小新的博客
11-09 3639
看我如何骚操作“破解”sign和Authorization!!! 这里要用到的工具/开发语言: 1.Python(2或者3) 2.App爬虫神器mitmproxy 3.按键精灵 4.还有之前的强制抓包工具postern 之前经过逆向以及抓包等分析,发现这两个app的sign以及author等最为重要,而且还绑定了时间戳,这就导致我们如果不分析其加密算法就比较抓数据,但是最后通过测试发现如下: 企...
某眼查登录sign算法研究
成小新的博客
06-05 1339
天眼查sign 算法破解 最近真的在sign算法破解上一去不复返 前几天看过了企查查的sign破解 今天再看看天眼查的sign算法破解,说的好(zhuang)点(bi)就是破解,不好的就是这是很简单的东西啊,只需要找key就可以了,话不多说,看破解之路。 这个不是天眼查的appsign,app没用到sign,用的Authorization,所以啊,要去研究Authorization,下次有时间继续...
Android Hook程序,对库函数进行HOOK
D.K专栏
08-16 6444
1、Hook原理 Hook技术,其本质就是劫持函数的调用,但是由于处于Linux用户态,每个进程都有自己独立的进程空间,所以必须先注入到所要Hook的进程空间,修改其内存中的进程代码,替换其过程表的符号地址。在Android中,一般是通过ptrace函数附加进程,然后向进程注入so库,从而达到监控以及远程进程关键函数挂钩。 Hook技术的难点,并不在Hook技术,如何找到函数的入
金三银四 某招聘软件登录及搜索接口
04-07 1226
解决了登录和搜索的问题就可以越快的编写爬虫程序了,账号风控的话可能还需要多账号.本章主要就是介绍一下webview的滑块,以及so的逆向,虽然你看我上面说的似乎挺简单的,但是到你自己独立去弄一个app的so的时候没有别人写的分析文章可能就有些吃力了,所以还是需要自己多练,毕竟这个也只能算是个比较简单的自写算法,也没有混淆什么的.说到混淆就必须看看这个图了,上图,自行欣赏!知识星球微信公众号技术交流群。
Delphi逆向工程 qq群号...
禾苗雨的专栏
07-03 1858
Delphi逆向工程 qq 群:42568249入群条件:请写出 Length()的BASM 。非诚勿扰! 学习 Delphi 各种知识,组件包,Open Tool API,IDE 工具包,控件请到 http://www.cnpack.org.CnPack开发组启用新QQ群:16797125 以上群非好学习者勿入。发广告者踢,发无聊话题者踢,强迫别人回答问题者踢。在交流中不断进
APP逆向 day18某站逆向 part3
往日情怀酿作酒
07-24 1462
因为之前被封,所以很久才更新,今天这个主要是后面的两个hook脚本很重要,app逆向是真的难,真的难找,很大一部分比的就是大家的hook代码。
python3.9实现对称加密算法代码
最新发布
09-19
在Python 3.9中,我们可以使用内置的`cryptography`库来实现对称加密,如AES(高级加密标准)。这是一个例子,展示了如何使用Fernet模块创建一个简单的AES加密解密过程: ```python from cryptography.fernet import Fernet import base64 # 生成随机秘钥 key = Fernet.generate_key() cipher_suite = Fernet(key) # 加密数据 data_to_encrypt = "这是需要加密的数据" encrypted_data = cipher_suite.encrypt(data_to_encrypt.encode('utf-8')) print("Encrypted data:", encrypted_data.decode('utf-8')) # 解密数据 decrypted_data = cipher_suite.decrypt(encrypted_data) print("Decrypted data:", decrypted_data.decode('utf-8')) # 使用base64编码便于存储和传输 encoded_key = base64.urlsafe_b64encode(key).decode('utf-8') encoded_encrypted_data = base64.urlsafe_b64encode(encrypted_data).decode('utf-8') #
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

杨如画.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值