t貓xsign unidbg逆向
加密流程來源于看雪一位大佬的分享
findcrypt & findhash
既然已經(jīng)知道用到了HMAC-SHA1算法了缀程,那就先用findcrypt和findhash找找
findcrypt
可以看到base64的常量
查看引用
sub_99BE0應(yīng)該就是進(jìn)行base64編碼的地方了
findhash
不知道出了什么問題搜吧,沒有找到hash常量。于是看了下findhash的代碼
發(fā)現(xiàn)是在.text或text這兩個(gè)segment里進(jìn)行搜索杨凑,但是so里沒有這兩個(gè)segment滤奈。
嘗試用frida_dump來dump內(nèi)存中的so,再看看它的segment
多了幾個(gè)segment撩满,其中有個(gè)是.text&ARM.extab蜒程,對比一下base64函數(shù)
可以看到segment信息被修復(fù)了。既然如此伺帘,修改一下findhash的代碼
if 'text' in (idc.get_segm_name(seg)).lower()
然后重新打開ida調(diào)用下findhash
發(fā)現(xiàn)sub_9AECE和sub_9B1E0都包含了SHA1的常量昭躺,分別下斷點(diǎn)測試后發(fā)現(xiàn)調(diào)用的是sub_9B1E0
sub_9B1E0查看引用
sub_9A0E0
可以看到HMAC的常量。
base64 & hmac-sha1
hook一下base64和hmac函數(shù)的參數(shù)
public void hook_b64() {
IHookZz hookZz = HookZz.getInstance(emulator);
hookZz.enable_arm_arm64_b_branch();
hookZz.wrap(module.base + 0x99BE0 + 1, new WrapCallback<HookZzArm32RegisterContext>() {
@Override
public void preCall(Emulator<?> emulator, HookZzArm32RegisterContext ctx, HookEntryInfo info) {
Pointer input = ctx.getPointerArg(0);
byte[] inputHex = input.getByteArray(0, ctx.getR1Int());
System.out.println("b64 input: " + Hex.encodeHexString(inputHex));
// System.out.println(Hex.encodeHexString(inputHex));
Pointer output = ctx.getR2Pointer();
ctx.push(output);
}
@Override
public void postCall(Emulator<?> emulator, HookZzArm32RegisterContext ctx, HookEntryInfo info) {
Pointer output = ctx.pop();
byte[] outputHex = output.getByteArray(0, ctx.getR0Int());
System.out.println("b64 output: " + Hex.encodeHexString(outputHex));
}
});
hookZz.disable_arm_arm64_b_branch();
}
public void hook_hmac() {
IHookZz hookZz = HookZz.getInstance(emulator);
hookZz.enable_arm_arm64_b_branch();
hookZz.wrap(module.base + 0x9a0e0 + 1, new WrapCallback<HookZzArm32RegisterContext>() {
@Override
public void preCall(Emulator<?> emulator, HookZzArm32RegisterContext ctx, HookEntryInfo info) {
Pointer input = ctx.getPointerArg(3);
byte[] inputHex = input.getByteArray(0, ctx.getR1Int());
Inspector.inspect(inputHex, "hmac input");
Pointer r2 = ctx.getR2Pointer();
String key = r2.getString(0);
System.out.println("hmac key: " + key);
Pointer output = ctx.getR0Pointer();
ctx.push(output);
}
@Override
public void postCall(Emulator<?> emulator, HookZzArm32RegisterContext ctx, HookEntryInfo info) {
Pointer output = ctx.pop();
Pointer pointer = output.getPointer(16);
byte[] outputHex = pointer.getByteArray(0, ctx.getR0Int());
Inspector.inspect(outputHex, "hmac output");
}
});
hookZz.disable_arm_arm64_b_branch();
}
第一次hmac
base64
第二次hmac
cyberchef測試一下
說明沒有經(jīng)過魔改伪嫁。
白盒AES
根據(jù)base64輸入的長度领炫,猜測它就是AES的輸出,由于其長度為80张咳,再加上填充算法的原因帝洪,AES輸入的長度應(yīng)該在70-79之間。接下來的目標(biāo)就是從第一次hmac的輸出找到AES的輸入脚猾,另外還需要找到AES的key和iv(如果有)葱峡。
分析AES輸入
對第一次hmac的輸出進(jìn)行traceRead,看看誰對它進(jìn)行了讀取
emulator.traceRead(0xbffff168L, 0xbffff168L+20);
可以看到是在libc.so進(jìn)行了讀操作婚陪,打開unidbg-android/src/main/resources/android/sdk23/lib/libc.so看看
調(diào)用了memcpy函數(shù)族沃,那就hook一下
public void hook_memcpy() {
IHookZz hookZz = HookZz.getInstance(emulator);
hookZz.enable_arm_arm64_b_branch();
hookZz.wrap(module.findSymbolByName("memcpy"), new WrapCallback<HookZzArm32RegisterContext>() {
@Override
public void preCall(Emulator<?> emulator, HookZzArm32RegisterContext ctx, HookEntryInfo info) {
UnidbgPointer output = ctx.getPointerArg(0);
UnidbgPointer input = ctx.getR1Pointer();
int length = ctx.getR2Int();
String hex = Hex.encodeHexString(input.getByteArray(0, length));
System.out.println("src: " + input + ", dst: " + output + ", data: " + hex);
}
});
hookZz.disable_arm_arm64_b_branch();
}
繼續(xù)對0x402cd4f8進(jìn)行讀跟蹤
跳轉(zhuǎn)過去看看
下斷點(diǎn)看看函數(shù)的輸入輸出
r2應(yīng)該是buffer,存儲返回值的泌参,blr下斷點(diǎn)脆淹,c執(zhí)行到返回處,看看原r2的數(shù)據(jù)
就做了個(gè)byte轉(zhuǎn)hex的操作沽一。
對0x402db090進(jìn)行讀跟蹤
還是在libc.so的memcpy進(jìn)行讀取盖溺,看看之前hook的記錄
此次memcpy之后還有幾次memcpy,并且后面連接了一些字符
可以發(fā)現(xiàn)是hmac的key铣缠,此時(shí)字符串的長度是73烘嘱,符合之前提到的AES輸入的長度要求,我們可以合理推斷它就是AES的輸入蝗蛙。
對最后一次寫入的地址0x4043a000進(jìn)行讀跟蹤
跳轉(zhuǎn)過去
下個(gè)斷點(diǎn)看看
可以看到后面進(jìn)行了填充蝇庭。
設(shè)置AES輸入和iv
已經(jīng)知道是白盒AES,那我們接下來要做些準(zhǔn)備工作捡硅,把輸入設(shè)置到一個(gè)分組哮内,把iv設(shè)置為0。
在此處bt看看調(diào)用棧
hook看看函數(shù)入?yún)?/p>
而0x49=73正是字符串的長度壮韭。
那就hook函數(shù)改一下入?yún)?/p>
public void set_input() {
IHookZz hookZz = HookZz.getInstance(emulator);
hookZz.enable_arm_arm64_b_branch();
hookZz.wrap(module.base + 0x6A864 + 1, new WrapCallback<HookZzArm32RegisterContext>() {
@Override
public void preCall(Emulator<?> emulator, HookZzArm32RegisterContext ctx, HookEntryInfo info) {
UnidbgPointer r2 = ctx.getR2Pointer();
UnidbgPointer input = r2.getPointer(0);
String str = "everhu";
input.write(str.getBytes());
r2.setInt(4, str.length());
System.out.println("set aes input: " + str);
}
});
hookZz.disable_arm_arm64_b_branch();
}
地址已經(jīng)改變了
可以看到AES的輸入已經(jīng)變成一個(gè)分組
接下來找找iv北发,分析一下匯編指令
0x6AE72處r1加載了輸入的地址,0x6AE82處加載輸入的數(shù)據(jù)喷屋,0x6AE84處r1和r2進(jìn)行了異或琳拨,由此猜測r2是iv,r2是在0xAE7A從lr加載的。
下斷點(diǎn)看看
方便后續(xù)的dfa,把iv設(shè)為0坝初,選擇了偷懶的方式象浑,直接patch 0x6AE84的語句,改為nop血柳,相當(dāng)于沒有進(jìn)行異或。
public void set_iv() {
emulator.getMemory().pointer(module.base + 0x6AE84).write(new byte[] {0x00, (byte) 0xbf});
}
重新hook看看base64的輸入,也就是AES的結(jié)果看看
查找state
繼續(xù)分析異或之后的操作批什,0x6AE8A將異或后的結(jié)果存到了r2處的地址,下斷點(diǎn)看看
數(shù)據(jù)存入了0x402dabc0社搅,對其進(jìn)行讀跟蹤
0x6AFD0讀取數(shù)據(jù)到r5之后驻债,0x6AFE2又將其存到了r3。
下斷點(diǎn)看看地址
對0xbffff028進(jìn)行讀跟蹤
發(fā)現(xiàn)了9輪讀取形葬,看來這就是AES的state合呐,看看匯編
下斷點(diǎn)看看
發(fā)現(xiàn)地址對不上
同時(shí)進(jìn)行讀跟蹤和下斷點(diǎn)
重新在0x6bb12下斷點(diǎn)
確實(shí)是在這進(jìn)行讀取。
DFA
接下來進(jìn)行DFA攻擊笙以,函數(shù)在0x6bb12進(jìn)行了16*9次數(shù)據(jù)讀取淌实,由于DFA需要在第8輪列混淆和第9輪列混淆之間進(jìn)行操作,因此在第16*8次讀取時(shí)隨機(jī)修改一個(gè)字節(jié)。
public void dfa() {
emulator.attach().addBreakPoint(module.base + 0x6bb12, new BreakPointCallback() {
@Override
public boolean onHit(Emulator<?> emulator, long address) {
Arm32RegisterContext ctx = emulator.getContext();
if (count == 16 * 8) {
UnidbgPointer r3 = ctx.getR3Pointer();
r3.setByte(randInt(0, 16), (byte) randInt(0, 0xff));
System.out.println("dfa");
}
count += 1;
return true;
}
});
}
和正確結(jié)果對比拆祈,發(fā)現(xiàn)有4個(gè)字節(jié)不同恨闪,說明操作是對的。
接下來就是去掉多余的輸出放坏,調(diào)整打印的格式咙咽,多次調(diào)用。
public static void main(String[] args) {
Logger.getLogger("com.github.unidbg.linux.ARM32SyscallHandler").setLevel(Level.ERROR);
TMall test = new TMall();
test.call_init();
// test.hook_memcpy();
test.hook_b64();
// test.hook_hmac();
test.set_input();
test.set_iv();
test.callXSign();
test.dfa();
for (int i=0; i<16; i++) {
test.count = 0;
test.callXSign();
}
}
之后就比較簡單了淤年,調(diào)用JeanGrey/phoenixAES和SideChannelMarvels/Stark即可還原出key钧敞。
