前言
此次是逆向某國(guó)內(nèi)知名健身軟件kxxp(你懂的)還不知道軟件名的可以看下面的代碼,里面有
版本為:6.128.0
現(xiàn)在情況是抓包加酵,請(qǐng)求頭內(nèi)有個(gè)sign拳喻。
sign = so方法(md5(請(qǐng)求參字符串))
—————————————————————————————————————
更新:
此文是邊做邊寫的,所以前期設(shè)想跟我最后用的方案有些出入
簡(jiǎn)單靜態(tài)分析
進(jìn)去之后 按F5
右擊入?yún)⒆兞款愋?br>
點(diǎn)下圖這個(gè)猪腕,依次改為JNIEnv *a1, jclass a2, jstring a3冗澈,再右擊空白地區(qū),點(diǎn)Hide casts
現(xiàn)在就規(guī)整多了
其中g(shù)etSignhashcode很明顯是簽名驗(yàn)證用的
方案選型
目前兩種方案
1陋葡、使用xposed+sekiro亚亲,遠(yuǎn)程調(diào)用手機(jī)生成,(一直用這種腐缤,不想用了捌归,想學(xué)點(diǎn)新的)
2、使用unidbg(Unicron封裝岭粤,java語(yǔ)言編寫)陨溅,或者AndroidNativeEmu(Unicron封裝,python語(yǔ)言編寫)绍在。直接在服務(wù)器上運(yùn)行so文件门扇。直接用Unicron應(yīng)該也可以(還沒(méi)用過(guò)不確定)。
相比較而言偿渡,第二種麻煩臼寄,所以我們就用第二種吧??。
但是這里有個(gè)簽名驗(yàn)證(上一張圖)溜宽,直接用應(yīng)該過(guò)不掉吉拳。所以我們讓那個(gè)判斷直接從!= 改成==就行了适揉。
———————————更新———————————————
其實(shí)這里我之前理解有誤留攒,不需要改so煤惩。如果自己開(kāi)發(fā)一個(gè)app調(diào)用這個(gè)so,可以改這個(gè)炼邀。后面用unidbg用原so就可以了魄揉。但是因?yàn)樾薷囊彩切轮R(shí)就留著了
———————————更新完畢—————————————
修改so
看的有點(diǎn)懵沒(méi)關(guān)系。先看后面拭宁。
這里需要另一個(gè)軟件 --> 010Editor
mac下載鏈接https://www.52pojie.cn/thread-847145-1-1.html
↑ 這是個(gè)論壇鏈接洛退,win的自己去論壇搜好了。
mac安裝可能會(huì)有問(wèn)題杰标。
解決方法:
下載回來(lái)解壓兵怯,然后拉到應(yīng)用程序目錄下,執(zhí)行:sudo xattr -r -d com.apple.quarantine /Applications/010\ Editor.app 腔剂,就可以運(yùn)行了媒区,在10.15.6可以運(yùn)行
打開(kāi)后把so文件拖進(jìn)去就行了。
怎么改掸犬,改成什么袜漩?
學(xué)習(xí)了這篇文章后
打開(kāi)這個(gè)鏈接https://armconverter.com/?code=BEQ%200xFFFFFF
先BEQ
再BNE
看上上上張圖,最左邊登渣,地址是3680噪服。然后在010Editor找到就好毡泻。
保存之后胜茧。再用ida打開(kāi)。
已經(jīng)改好了仇味。
使用AndroidNativeEmu調(diào)用
這個(gè)我用了一下呻顽,因?yàn)閟o使用了java的方法,我也不太清楚怎么補(bǔ)充這個(gè)環(huán)境丹墨,相關(guān)教程也是不多廊遍。
所以。贩挣。喉前。。
使用unidbg調(diào)用
github:https://github.com/zhkl0228/unidbg
代碼如下: 有詳細(xì)注釋
package com.keep.test;
import com.github.unidbg.*;
import com.github.unidbg.linux.android.AndroidARMEmulator;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.api.Signature;
import com.github.unidbg.linux.android.dvm.array.ArrayObject;
import com.github.unidbg.memory.Memory;
import net.dongliu.apk.parser.bean.CertificateMeta;
import javax.xml.bind.DatatypeConverter;
import java.io.File;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Date;
import java.util.List;
public class MainActivity extends AbstractJni {
public static void main(String[] args) {
MainActivity mainActivity = new MainActivity();
mainActivity.stringFromJNI();
}
private final AndroidEmulator emulator;
private final VM vm;
private DvmClass cNative;
private MainActivity() {
// 貌似查進(jìn)程的時(shí)候用的 這個(gè)不寫也沒(méi)事 隨便寫的
emulator = new AndroidARMEmulator("com.gotokeep.keep");
Memory memory = emulator.getMemory();
// 設(shè)置 sdk版本 23
LibraryResolver resolver = new AndroidResolver(23);
memory.setLibraryResolver(resolver);
//創(chuàng)建DalvikVM王财,可以載入apk卵迂,也可以為null 如果加載的是apk 會(huì)自動(dòng)讀取apk文件里的簽名加載進(jìn)去 可以過(guò)掉簽名驗(yàn)證
vm = emulator.createDalvikVM(new File("unidbg-android/src/test/resources/apk/keep.apk"));
// vm = emulator.createDalvikVM(null);
vm.setJni(this);
// 是否打印日志
vm.setVerbose(true);
// 載入要執(zhí)行的 so 下面這行是上面不是apk的情況 直接指定so文件 當(dāng)然即使指定了apk 也可以加載自己so
// DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/libcryp.so"), true);
// 如果加載的是apk, 使用apk中的so文件 這里光寫so文件名就可以 不用寫lib
DalvikModule dm = vm.loadLibrary("cryp", true);
// 我這個(gè)沒(méi)有JNI_OnLoad方法 所以我這里就不調(diào)用這個(gè)了
// dm.callJNI_OnLoad(emulator);
// module = dm.getModule();
}
private void stringFromJNI() {
// Jni調(diào)用的類
cNative = vm.resolveClass("com/gotokeep/keep/common/utils/CrypLib");
long t = System.currentTimeMillis();
DvmObject<?> strRc = cNative.callStaticJniMethodObject(emulator,"getEncryptDeviceId(Ljava/lang/String;)Ljava/lang/String;",vm.addLocalObject(new StringObject(vm, "0eeff6dd425d56c286d00348c578c63d")));
System.out.println("call stringFromJNI rc = " + strRc.getValue());
// 打印計(jì)算的毫秒數(shù)
System.out.println(System.currentTimeMillis()-t);
}
@Override
public DvmObject<?> callStaticObjectMethod(BaseVM vm, DvmClass dvmClass, String signature, VarArg varArg) {
System.out.println("call: " + signature);
switch (signature) {
case "com/gotokeep/keep/KApplication->getContext()Landroid/content/Context;":
return vm.resolveClass("android/content/Context").newObject(signature);
}
return super.callStaticObjectMethod(vm, dvmClass, signature, varArg);
}
@Override
public int callIntMethod(BaseVM vm, DvmObject<?> dvmObject, String signature, VarArg varArg) {
System.out.println("call: " + signature);
switch (signature) {
case "android/content/pm/Signature->hashCode()I":
return 1580769512;
}
return super.callIntMethod(vm, dvmObject, signature, varArg);
}
}
其中還有兩個(gè)方法callStaticObjectMethod和callIntMethod沒(méi)寫注釋绒净。
除了這個(gè)還有很多见咒,只是我沒(méi)用到。
寫這個(gè)也很簡(jiǎn)單
如果不寫的話挂疆,會(huì)報(bào)錯(cuò):
python實(shí)現(xiàn)so算法
因?yàn)槭褂胾nidbg改览,隨意想算就算了下翎。
所以入?yún)⑽覍懗?2個(gè)00000000000000000000000000000000出來(lái)一個(gè)結(jié)果。
再用0000000000000000000000000000001出一個(gè)結(jié)果宝当。
通過(guò)總結(jié)規(guī)律的寫法
得出了
def get_int(a1):
if ord(a1) > 47 and ord(a1) <= 57 :
return ord(a1) - 48
if ord(a1) > 96 and ord(a1) <= 102 :
return ord(a1) - 87
if ord(a1) <= 64 or ord(a1) > 70 :
return 0
return ord(a1) - 55
def keep_so(s):
shard_list = [[], [], [], []]
index = 0
index_w = 0
for i in s:
shard_list[index_w].append((get_int(i)))
index += 1
if index % 8 == 0 and index != 0:
index_w += 1
sum_list = [0, 0, 0, 0, 0, 0, 0, 0]
for i in range(8):
for j in shard_list:
sum_list[i] += j[i]
tail_list = sum_list[5:]
carry = int((tail_list[2]+1)/16)
tail_list[2] = (tail_list[2]+1)%16
tail_list[1] = tail_list[1]+carry
middle_num = tail_list[0]*16+tail_list[1]
middle_num += 235
middle_num = hex(middle_num).replace("0x","")
middle_num = middle_num[-2:] if len(middle_num)>2 else middle_num
sum_list = sum_list[:5]
sum_list = [k+14 for k in sum_list]
for i in range(5):
sum_list[-i - 1] += int(sum_list[-i] / 16)
sum_list = [(k)%16 for k in sum_list]
return s+"".join([hex(k).replace("0x","") for k in sum_list])+middle_num+str(tail_list[2])
if __name__ == "__main__":
n="0eeff6dd425d56c286d00348c578c63d"
print(ord("a"))
print(keep_so(n))
print("----")
print(keep_so(n)=="0eeff6dd425d56c286d00348c578c63d8c8505d5")
