APP 逆向 --- du APP 逆向

最新推荐文章于 2024-05-24 15:20:30 发布
最新推荐文章于 2024-05-24 15:20:30 发布
阅读量3.5k 收藏 14
点赞数
分类专栏: app逆向 文章标签: 逆向 android jadx unidbg
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhao_5352269/article/details/106154782
版权

APP 逆向 — du APP 逆向

第一步就是抓包

根据抓到的包,可以看出需要破解的参数 newSign 、password、uuid 还有 headers 中的参数 shumeiid/x-auth-token/duuid/duimei/shumengid 。也就是有这么多的参数是不知道的,需要去 app 中找的。

第二步 使用 jadx 打开 app

直接搜索 api,

点进去后直接查找用例,就会跳转到下图。

走到这再去点的时候,发现一些参数而且调用了 newParams, 参数 userName、type、sourcePage、countryCode 都是没有加密的,所以重点就是看看这个 password。hook 这个方法发现里面密码是已经加密过的,直接查找用例

点进去就找到 password 的加密位置。

从这个方法中可以看到密码是 MD5Util 的加密。为了验证我的判断,直接 Hook MD5Util.a方法

md5_js_code = """

    Java.perform(function () {
    var MainActivity = 	       	       Java.use('com.shizhuang.duapp.framework.util.encrypt.MD5Util');
    MainActivity.a.overload('java.lang.String').implementation = function () {
    console.log("password: #################" + arguments[0]);
    var str2 = "12345678du";
    Java.openClassFile("/data/local/tmp/r0gson.dex").load();
    const gson = Java.use("com.r0ysue.gson.Gson");
    console.log("11111111111111111111111111111111111111111+++++++++++++++++++++")
    console.log(gson.$new().toJson(this.a(str2)));
    console("------------------------------");
    };
});
"""

打印的结果

然后点击 LoginFacade.c ,发现到了最开始的发起请求,拼接参数的地方。到这里 password 的就完事了。

然后又重新搜索参数 newSign

这里看看 OkHttp https://blog.csdn.net/qq_38851536/article/details/100146115

点进去后,发现基本参数,以及请求头这些东西都可以找到。剩下的就是这些具体的实现以及加密。

继续找到 RequestUtils.b 方法,这个方法最后就是该参数的加密位置以及加密方法。从名字看就是个 AES 加密。加密的内容就是请求参数转为字符串,然后拼接后加密。

继续进入这个 b 方法, 可以看到返回的是一个执行encodeByte 方法后的返回值。而这个方法是 native, 加载的 so 文件为 JNIEncrypt

剩下的就是关于这个加密参数的 Hook.

第三步直接 HOOK 这个方法,查看具体都加密了哪些东西

可以看到 java 层加密的就是这么多的东西,剩下的就是 native 层

参考文章

爬虫工程师的unidbg入门教程

通过 unidbg 直接调用 so 文件

直接去 github上下载 https://github.com/zhkl0228/unidbg ,

参考上面大佬文章中的代码,进行简单的修改。我逆向的版本中 encodeByte 方法有更新,简单修改一下,就可以了

public class du extends AbstractJni {
    //ARM模拟器
    private final AndroidEmulator emulator;
    //vm
    private final VM vm;
    //载入的模块
    private final Module module;

    private final DvmClass TTEncryptUtils;

    //初始化
    public du() throws IOException {
        //创建毒进程,这里其实可以不用写的,我这里是随便写的,使用app本身的进程就可以绕过进程检测
        emulator = new AndroidARMEmulator("com.shizhuang.duapp");
        final Memory memory = emulator.getMemory();
        //作者支持19和23两个sdk
        memory.setLibraryResolver(new AndroidResolver(23));
//        memory.setCallInitFunction();
        //创建DalvikVM,利用apk本身,可以为null
        //如果用apk文件加载so的话,会自动处理签名方面的jni,具体可看AbstractJni,这就是利用apk加载的好处
        vm = emulator.createDalvikVM(null);
        vm.setVerbose(true);
        vm.setJni(this);
//        vm = emulator.createDalvikVM(null);
        //加载so,使用armv8-64速度会快很多
        DalvikModule dm = vm.loadLibrary(new File("src/test/resources/xiaohongshu/libJNIEncrypt.so"), false);
        //调用jni
        dm.callJNI_OnLoad(emulator);
        module = dm.getModule();
        //Jni调用的类,加载so
        TTEncryptUtils = vm.resolveClass("com/duapp/aesjni/AESEncrypt");
    }


    //关闭模拟器
    private void destroy() throws IOException {
        emulator.close();
        System.out.println("destroy");
    }

    public static void main(String[] args) throws IOException {
        du t = new du();
        t.encodeByte("123456");
        t.destroy();

    }

    private String encodeByte(String strs) {
        //调试
        // 这里还支持gdb调试,
        //emulator.attach(DebuggerType.GDB_SERVER);
        //附加调试器
//        emulator.attach(DebuggerType.SIMPLE);
//        emulator.traceCode();
        //这里是打断点,原地址0x00005028->新地址0x40005028 新地址需要改成0x4
//        emulator.attach().addBreakPoint(null, 0x40001188);//encode地址
//        emulator.attach().addBreakPoint(null, 0x40000D10);
        Number ret = TTEncryptUtils.callStaticJniMethod(emulator, "getByteValues()Ljava/lang/String;");
        System.out.println(ret);
        System.out.println("-----------------------");
        long hash = ret.intValue() & 0xffffffffL;
        StringObject st1 = vm.getObject(hash);
        //*这里要处理下字符串
        String byteString = st1.getValue();
        StringBuilder builder = new StringBuilder(byteString.length());
        for (int i = 0; i < byteString.length(); i++) {
            if (byteString.charAt(i) == '0') {
                builder.append('1');
            } else {
                builder.append('0');
            }
        }
        byte[] strs_byte = strs.getBytes();
        //获取encodeByte地址
        ret = TTEncryptUtils.callStaticJniMethod(emulator, "encodeByte([BLjava/lang/String;)Ljava/lang/String;", vm.addLocalObject(new ByteArray(strs_byte)),

                //传参,这里需要两个字符串,所以就传入两个参数
//                vm.addLocalObject(new StringObject(vm, strs)),
                vm.addLocalObject(new StringObject(vm, builder.toString()))

        );
        //ret 返回的是地址,
        hash = ret.intValue() & 0xffffffffL;
        //获得其值
        StringObject str = vm.getObject(hash);
        System.out.println(str);
        System.out.println("----------------------");
        System.out.println(str.getValue());
        return str.getValue();
    }
}

这个执行完之后在进行 md5 . 就 OK 了

第四步:使用 python 调用 jar

扫码关注

裸睡的雨
关注
  • 0
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
爬虫工程师的unidbg入门教程
成小新的博客
12-27 2466
现在很多的app使用了so加密,以后会越来越多。爬虫工程师可能会直接逆向app,看java代码,完成java层的算法破解,但是如果遇到so该怎么办呢?可能你会直接破解so,但是真的会有很多爬虫工程师会去并且会破解so吗?有时候我们可以不用破解so,利用很多大佬写好的轮子即可完成so的调用。 说到调用,就有很多方法了,比如用frida的rpc、xposed+andserver、再者就是un...
国外android逆向的论坛,初探android逆向
weixin_42510645的博客
05-28 2039
好久没有更新博客了。一直在想要更新点什么样子的干货。最近看了一点有关于逆向的文章,感觉还不错。对于“安卓开发没人要了”这种话,我也很无奈,最近的RN,包括kotlin的出现,还有Flutter框架的出现。 这些东西的出现感觉都像是意味着,往后的移动端开发不需要双倍的人员了。最近突然对逆向萌生了一点点兴趣,关于逆向的东西依旧有很多,很多apk对进行加固,加壳等等,这里的入门仅仅是对于没有加密等操作的...
unidbg入门笔记
q2919761440的博客
05-24 1107
unidbg 是凯神 在 2019 年初开源的一个轻量级模拟器,一个基于Java的跨平台解密引擎,专门用于动态分析和逆向工程应用程序。它可以模拟不同CPU架构、操作系统和指令集,从而使用户能够在一个统一的环境中分析各种不同类型的二进制文件。unidbg的主要功能包括模拟执行、内存访问、指令跟踪、函数调用跟踪等。unidbg 是建立在Unicorn引擎之上的,Unicorn引擎是一个强大的开源CPU模拟器框架,支持多种架构,包括x86、ARM、MIPS等,因此unidbg也能够模拟这些不同的CPU架构。
App逆向开始第一步环境
m0_52936310的博客
01-14 156
App逆向开始第一步环境 public class AppSpider { public static void main(String[] args) { /* *1. java1.8+ 2. python3.6+ 3.mitmproxy5.0+ 4.charles4.0+ 5.ubuntu18+虚拟机至少16g内存4核 ...
安卓逆向实战
YenKoc的博客
01-18 592
今天心血来潮,看到论坛上老哥在破解游戏,自己也想操练一下,游戏叫某牢年代记。 一.工具需要 二.百度搜索一下游戏的apk,或者关注我,我给你私发 三.拖入AndroidKiller中,反编译 因为是UNITY搞出来的,所以找Assembnly-CSharp,拖入dnspy中。 四.从游戏中分析,由于我这里已经是破解过后的, 在这里插入图片描述 ...
iOS逆向之某多多App抓包
小陈的技术博客
08-02 4297
由于某多多App现使用longlink进行数据传输,使用charles工具抓包只能抓到https://th.pinduoduo.com/t.gif链接。本文的目的则是使用charles等抓包工具能正常抓包。
某多多逆向(webpack)
qyk594760的博客
11-12 1408
观察两个加载出来的js文件,发现加密字段为。
APP-C
04-02
介绍了关于APP-C的详细说明,提供其它知识的技术资料的下载。
拿货uni-app资料
最新发布
07-22
拿货uni-app资料
uni-app 的30分钟倒计时
06-20
uni-app 的30分钟倒计时
luci-app-usb-printer.ipk
06-08
usb打印很不方便,琢磨着用淘汰的703N刷上OPENWRT做个打印服务器,搞了一晚上,终于搞定了,其中这个文件很重要也是是很难找的,不敢私藏。
拼多多anti_content参数加密逆向JS 最新可用
05-11
最新可用 拼多多api解密 拼多多anti_content参数逆向分析 拼多多JS anti_content参数加密解析 node 解密下载即有用
教我兄弟学安卓逆向1~12+番外全部教程, 安卓逆向的经典教程之一
07-08
教我兄弟学安卓逆向1~12+番外全部教程, 安卓逆向的经典教程之一, 本人认为讲的非常好, 大家可以学习一下
最新X货APP逆向教程
06-01
【X货APP逆向教程详解】 在移动应用开发和安全分析领域,逆向工程是一种重要的技术,用于理解软件的工作原理,查找潜在的安全漏洞或优化性能。这篇教程关注的是对"X货APP"的逆向分析,该应用的版本为v7.20.1。逆向...
逆向某m-安卓APP记录
心野
10-19 838
一。获取APK 1.由于手机中已经装了该应用,adb pull 到PC上 2.apktool d 发现报错,去网上下载更高版本的apktool_2.2.0.jar java -jar apktool_2.2.0.jar d 成功生成smali文件夹 3.试下直接编译 java -jar apktool_2.2.0.jar b 报
python学习:一人一python http://xpython07.duapp.com/
liushulinle的专栏
08-27 1195
一人一python http://xpython07.duapp.com/ , 这是个学习python的好地方,网站上提供了丰富的python学习资料.同时还有一个python问答,学习过程中有什么不懂的可以随时提问,网友解答.
APP newSign算法分析 得物逆向分析
pythoner的专栏
08-18 3104
APP主要使用sign和newSign两个参数来对url进行验签,下面是首页推荐接口的请求: GET https://app.poizon.com/api/v1/app/index/ice/shopping?lastId=&limit=20&newSign=3b799d62162b6ce9101f2b4eecee2e46](https://app.poizon.com/api/v1/app/index/ice/shopping?lastId=&limit=20&newS
2021-03-04
weixin_43730915的博客
03-04 743
数美id 哪位大佬可以做数美id (deviceid )或者知道那个平台可以对接的 私信分享一下 万分感谢
App逆向入门
Alex
08-16 5298
APP逆向入门
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

裸睡的雨

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值