使用unidbg模擬某app協議

攤手，缺cb，從博客搬點舊文，大伙看看圖一樂就行，都是水文，只發布過於個人博客，算是原創吧（app版本已經更新，文中方法不適用，只是作為上手unidbg的入門case）
看了四哥的帖子，有點手癢，就來自己試一試分析下最右的協議

抓包與初步分析

可以看到在登錄頁面發送的請求中，有一個sign值，在post的字段中，有手機號，密碼的md5值，以及設備的部分信息，具體情況馬上繼續分析，拖入jadx中，無殼無混淆（只能挑這種軟柿子捏了），搜索sign，找到生成簽名的java層函數

sign主要來自於native層的generateSign函數，先不分析so，繼續摸索摸索

只是對密碼進行了md5操作

各個字段的具體含義也知道了，在分析過程中，只需要關心每次登陸過程中變化的值，先寫段hook代碼，將NetCrypto類的a函數的參數與運算結果hook出來，確認下結果

可以看到，在兩次發送登陸請求包的過程中，主要的不同是h_ts字段，這個字段的值來源於currentTimeMillis，別的字段在登錄過程中目前是不變的，經過驗證，我們確定了這個函數就是簽名生成的函數

public class RightHook implements IXposedHookLoadPackage{
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {

        XposedHelpers.findAndHookMethod(Application.class, "attach", Context.class, new XC_MethodHook()
        { @Override
        protected void afterHookedMethod(XC_MethodHook.MethodHookParam param) throws Throwable {
            ClassLoader cl = ((Context)param.args[0]).getClassLoader();
            Class<?> hookclass = null;
            try {
                hookclass = cl.loadClass("cn.xiaochuankeji.netcrypto.NetCrypto");
            }
                catch (Exception e)
                {
                    Log.e("123", "尋找報錯", e);
                return;
            }
            Log.i("123", "尋找成功");
            XposedHelpers.findAndHookMethod(hookclass, "a",
                    String.class,
                    String.class,
                    new XC_MethodHook()
            { //進行hook操作
                protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                super.beforeHookedMethod(param);
                 XposedBridge.log("xposed  str :" + param.args[0]);
                 XposedBridge.log("xposed  str2 :" + param.args[1]);
            }

            });
            XposedHelpers.findAndHookMethod(hookclass, "a",
                    String.class,
                    String.class,
                    new XC_MethodHook() {
                @Override
                protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                    super.afterHookedMethod(param);
                    XposedBridge.log("xposed getSign :"+param.getResult());
                }
            });
        }
        });
    }
}

　　

Hook代碼也沒什么好說的，主要就是這個app屬於multiDex，需要先hook attach拿到上下文才能hook到目標函數，接下來就可以去so層分析函數了

分析so

將app解壓並且取出里面的libnet-crypto.so並拖入IDA分析，直接去看jniOnload函數

registNative的參數，可以直接去匯編里觀察下

注冊的generateSign函數地址為4976

初步把加密算法的核心部分定位在sub50，算法的具體分析可以看四哥的帖子，這里主要還是練手下unicorn

x右的庫不僅僅注冊了一個生成簽名的算法，而且注冊了一個native_init函數進行了初始化，在調用getsign算法前還是得先調用下初始化函數

package com.com.zuiyou;
import cn.banny.unidbg.LibraryResolver;
import cn.banny.unidbg.Module;
import cn.banny.unidbg.arm.ARMEmulator;
import cn.banny.unidbg.file.FileIO;
import cn.banny.unidbg.file.IOResolver
import cn.banny.unidbg.linux.android.AndroidARMEmulator;
import cn.banny.unidbg.linux.android.AndroidResolver;
import cn.banny.unidbg.linux.android.dvm.*;
import cn.banny.unidbg.memory.Memory;
import org.apache.log4j.Level;
import java.io.File;
public class Nmsl extends AbstractJni implements IOResolver {
private static LibraryResolver createLibraryResolver() {
return new AndroidResolver(23);
}
@Override
public FileIO resolve(File workDir, String pathname, int oflags) {
return null;
}

private static ARMEmulator createARMEmulator() {
return new AndroidARMEmulator("com.zuiyou");
}

private static final String APK_PATH = "src/test/resources/app/zuiyou.apk";
private final ARMEmulator emulator;
private final VM vm;
private final Module module;
private final DvmClass Nmsl;
private Nmsl() throws IOException {
emulator = createARMEmulator();
emulator.getSyscallHandler().addIOResolver(this);
System.out.println("== init ===");

final Memory memory = emulator.getMemory();
memory.setLibraryResolver(createLibraryResolver());
memory.setCallInitFunction();

vm = emulator.createDalvikVM(new File(APK_PATH));
vm.setJni(this);
DalvikModule dm = vm.loadLibrary("net_crypto", false);
dm.callJNI_OnLoad(emulator);
module = dm.getModule();
Nmsl = vm.resolveClass("cn/xiaochuankeji/netcrypto/NetCrypto");
}

//析構函數
private void destroy() throws IOException {
emulator.close();
System.out.println("destroy");
}

//主函數
public static void main(String[] args) throws Exception {
Nmsl test = new Nmsl();
test.GetSign();
test.destroy();
}

private void GetSign() throws IOException {

//申請參數空間
String str="{\"size\":\"big\",\"version\":0,\"h_av\":\"4.1.6\",\"h_dt\":0,\"h_os\":22,\"h_app\":\"zuiyou\",\"h_model\":\"vivo v3\",\"h_did\":\"865166029899062_00:81:81\",\"h_nt\":1,\"h_m\":172480973,\"h_ch\":\"zuiyou\",\"h_ts\":1577500409477,\"token\":\"T2K2NvcwR06ehMlhs2CXF-xHH5Eks5Haq0WiU-KKv22mArxaNmXoWiycBZdigmZJE7h3k\"}";
//調用函數generateSign(Ljava/lang/String;)Ljava/lang/String;

Nmsl.callStaticJniMethod(emulator,"native_init()V");
Number ret =Nmsl.callStaticJniMethod(emulator,"generateSign([B)Ljava/lang/String;",
vm.addLocalObject(new ByteArray(str.getBytes())),23);
long hash = ret.intValue() & 0xffffffffL;
StringObject obj = vm.getObject(hash);
//vm.deleteLocalRefs();
System.out.println(obj.getValue());
}
}