一點(diǎn)資訊signature分析

環(huán)境

app：4.9.6.1

Java層

抓包

image-20211206164926419

jadx搜索"signature"

image-20211206165111046

defpackage.bhl -> d

image-20211206165335059

轉(zhuǎn)到com.yidian.news.util.sign.SignUtil.a

image-20211206165452085

可以看到最終是調(diào)用了native函數(shù)signInternal叶圃。

frida hook一下

Java.perform(function(){
    var signUtil = Java.use("com.yidian.news.util.sign.SignUtil");
    signUtil.signInternal.implementation = function(ctx, s1) {
        console.log("s1=", s1);
        var ret = this.signInternal(ctx, s1);
        console.log("ret=", ret);
        return ret;
    }
})

image-20211206170344826

輸入的構(gòu)造可以參考上面defpackage.bhl-j函數(shù)是如何調(diào)用d函數(shù)夸溶，并結(jié)合抓包的結(jié)果

so層

ida打開(kāi)libutil.so糯累，函數(shù)窗口搜索"Java"

image-20211206170510040

說(shuō)明是靜態(tài)注冊(cè)爸吮，進(jìn)入signInternal函數(shù)

image-20211206170557905

sub_EAC

image-20211206170633729

sub_C50

image-20211206171413197

emm制市，里面調(diào)用的函數(shù)有點(diǎn)多，一時(shí)間不知道干什么谢肾，先從輸出開(kāi)始倒推吧迅栅。

從signInternal可以看到v24是返回結(jié)果，而它是在sub_EAC的第4個(gè)參數(shù)參與計(jì)算的张漂；

然后再看sub_EAC的a4晶默，a4由v9賦值，而v9=v8航攒，v8由v12賦值磺陡，v12是sub_C50的第2個(gè)參數(shù)；

繼續(xù)分析sub_C50漠畜，可以看到a2在sub_3560參與了計(jì)算币他，所以應(yīng)該看看這個(gè)函數(shù)

image-20211206173417724

好家伙，一看就是base64了憔狞，那個(gè)字符串就是碼表蝴悉。

繼續(xù)倒推，sub_C50的輸入應(yīng)該是v19和v14瘾敢，它在sub_4AF4參與了計(jì)算辫封，查看一下

image-20211206173917792

通過(guò)里面的字符串硝枉，我們猜測(cè)整體是一個(gè)RSA加密，然后再base64編碼倦微，有一個(gè)tomcrypt需要上網(wǎng)查查

image-20211206174123574

hook驗(yàn)證這兩個(gè)函數(shù)驗(yàn)證一下我們的猜想

function dump(name, addr, legnth) {
    console.log("======================== " + name + " ============");
    console.log(hexdump(addr, {length:legnth||32}));
}

var bptr = Module.findBaseAddress("libutil.so");
console.log("base_addr:", bptr);

function hook_4fa4(){
    Interceptor.attach(bptr.add(0x4fa4+1), {
        onEnter: function(args) {
            this.arg2 = args[2];
            console.log("0x4fa4");
            console.log(args[0], args[1], args[2], args[3], args[4], args[5], args[6]);
            console.log(args[7], args[8], args[9], args[10]);
            // dump("0x4af4-arg0", args[0], parseInt(args[1]));
            // dump("0x4fa4-arg2", args[2]);
            console.log("0x4af4-arg3", args[3].readPointer());
            // dump("0x4af4-arg10", args[10]);
        },
        onLeave: function(retval) {
            dump("0x4fa4-arg2-ret", this.arg2, 8*16);
        }
    })
}

function hook_3560(){
    Interceptor.attach(bptr.add(0x3560+1), {
        onEnter: function(args) {
            this.arg2 = args[2];
            this.arg3 = args[3];
            console.log("0x3560");
            console.log(args[0], args[1], args[2], args[3]);
            dump("0x3560-arg0", args[0], parseInt(args[1]));
            
        },
        onLeave: function(retval) {
            dump("0x3560-arg2-ret", this.arg2, parseInt(this.arg3.readPointer()));
        }
    })
}

Java.perform(function(){
    hook_4fa4();
    hook_3560();
})

image-20211206175509399

和CyberChef的結(jié)果能夠?qū)ι?/p>

image-20211206175949049

既然是RSA加密，而且應(yīng)該是公鑰加密正压，我們需要找出公鑰欣福。

image-20211206174330822

在sub_C50看到有一長(zhǎng)串形似base64的字符串，就先看看sub_33F8這個(gè)函數(shù)

image-20211206171621552

sub_3318

image-20211206172021100

應(yīng)該調(diào)用了base64解碼焦履，猜測(cè)它就是公鑰拓劝，導(dǎo)入看看

image-20211206174621366

好像不太對(duì)，應(yīng)該不是公鑰嘉裤。郑临。

image-20211206174743879

這時(shí)候發(fā)現(xiàn)下面還有一個(gè)base64解碼，這個(gè)的結(jié)果會(huì)不會(huì)是公鑰屑宠，hook看看

function hook_33F8(){
    Interceptor.attach(bptr.add(0x33F8+1), {
        onEnter: function(args) {
            this.arg2 = args[2];
            this.arg3 = args[3];
            console.log("33F8");
            console.log(args[0], args[1], args[2], args[3]);
        },
        onLeave: function(retval) {
            dump("0x33F8-arg2-ret", this.arg2, parseInt(this.arg3.readPointer()));
        }
    })
}

Java.perform(function(){
    hook_33F8();
})

image-20211206180134493

我們把第二個(gè)的結(jié)果作為公鑰導(dǎo)入試試

image-20211206180451348

導(dǎo)入成功厢洞！至此，我們找到了公鑰典奉，也知道了輸入躺翻，只需要代碼實(shí)現(xiàn)來(lái)驗(yàn)證一下。

代碼實(shí)現(xiàn)

import base64

from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5

_PUB_KEY = bytes.fromhex('30819f300d06092a864886f70d010101050003818d0030818902818100cfd9263315c70cc19c42d39531c1e8ba8a315c3a824e1cf1c12b6a115fa6550d264cc5bee0847d4753adda6f1cdc5bff8e0bce393a5c42e57640f4066d7e0107758369106c9a087135ceee0bb168a8bd32e962157561af4ab3feb29d479c9f53fc0f738029a0ae0f70cb95ac0b09199695cd84a67c18b8922b11ffce9c1ec0d90203010001')


def rsa_encrypt(msg):
    if isinstance(msg, str):
        msg = msg.encode()
    cipher = PKCS1_v1_5.new(RSA.import_key(_PUB_KEY))
    content = cipher.encrypt(msg)
    sign = base64.urlsafe_b64encode(content).decode()
    sign = sign.rstrip('=')
    return sign

image-20211206190908755

其他

image-20211206192529198

其實(shí)第一次base64解碼的結(jié)果卫玖，會(huì)經(jīng)過(guò)sub_380C函數(shù)處理公你，作為第二次base64的輸入〖偎玻看看sub_380C

image-20211206192901417

這是一個(gè)解密函數(shù)陕靠，暫不清楚是AES還是DES，或者其他脱茉，mode是CTR剪芥，填充暫不清楚。

但是實(shí)際上芦劣，我們已經(jīng)無(wú)需關(guān)心這些粗俱，因?yàn)閺膄rida hook的結(jié)果來(lái)看，第二次base64的輸出是固定的虚吟，所以說(shuō)代碼實(shí)現(xiàn)的時(shí)候直接從這里開(kāi)始寸认。

總結(jié)

從signature的輸入來(lái)看，只有一個(gè)reqid會(huì)變串慰，那么把它固定下來(lái)是不是就可以不用處理signature的問(wèn)題了偏塞，因?yàn)?code>reqid包含時(shí)間戳信息，它的有效期我沒(méi)有驗(yàn)證過(guò)邦鲫。此外cookie里面還有個(gè)參數(shù)JSESSIONID灸叼，如果請(qǐng)求的時(shí)候沒(méi)有攜帶是沒(méi)有結(jié)果的神汹，它的有效期我也沒(méi)有驗(yàn)證過(guò)，所以說(shuō)古今，signature只是其中一環(huán)而已屁魏。

代碼僅供把玩。