為什么是第五篇能 因為前四篇在別的地方https://www.jianshu.com/u/0e56159ab5a7
前言
此次是逆向某國內知名健身軟件kxxp(你懂的)還不知道軟件名的可以看下面的代碼,里面有
版本為:6.128.0
現在情況是抓包,請求頭內有個sign。
sign = so方法(md5(請求參字符串))
—————————————————————————————————————
更新:
此文是邊做邊寫的,所以前期設想跟我最后用的方案有些出入
簡單靜態分析
進去之后 按F5
右擊入參變量類型
點下圖這個,依次改為JNIEnv *a1, jclass a2, jstring a3,再右擊空白地區,點Hide casts
現在就規整多了
其中getSignhashcode很明顯是簽名驗證用的
方案選型
目前兩種方案
1、使用xposed+sekiro,遠程調用手機生成,(一直用這種,不想用了,想學點新的)
2、使用unidbg(Unicron封裝,java語言編寫),或者AndroidNativeEmu(Unicron封裝,python語言編寫)。直接在服務器上運行so文件。直接用Unicron應該也可以(還沒用過不確定)。
相比較而言,第二種麻煩,所以我們就用第二種吧🌝。
但是這里有個簽名驗證(上一張圖),直接用應該過不掉。所以我們讓那個判斷直接從!= 改成==就行了。
———————————更新———————————————
$\color{red}{注意:}$ 其實這里我之前理解有誤,不需要改so。如果自己開發一個app調用這個so,可以改這個。后面用unidbg用原so就可以了。但是因為修改也是新知識就留着了
———————————更新完畢—————————————
修改so
看的有點懵沒關系。先看后面。
這里需要另一個軟件 --> 010Editor
mac下載鏈接https://www.52pojie.cn/thread-847145-1-1.html
↑ 這是個論壇鏈接,win的自己去論壇搜好了。
mac安裝可能會有問題。
解決方法:
下載回來解壓,然后拉到應用程序目錄下,執行:sudo xattr -r -d com.apple.quarantine /Applications/010\ Editor.app ,就可以運行了,在10.15.6可以運行
打開后把so文件拖進去就行了。
怎么改,改成什么?
學習了這篇文章后
打開這個鏈接https://armconverter.com/?code=BEQ%200xFFFFFF
先BEQ
再BNE
看上上上張圖,最左邊,地址是3680。然后在010Editor找到就好。
保存之后。再用ida打開。
已經改好了。
使用AndroidNativeEmu調用
這個我用了一下,因為so使用了java的方法,我也不太清楚怎么補充這個環境,相關教程也是不多。
所以。。。。
使用unidbg調用
github:https://github.com/zhkl0228/unidbg
代碼如下: 有詳細注釋
package com.keep.test;
import com.github.unidbg.*;
import com.github.unidbg.linux.android.AndroidARMEmulator;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.api.Signature;
import com.github.unidbg.linux.android.dvm.array.ArrayObject;
import com.github.unidbg.memory.Memory;
import net.dongliu.apk.parser.bean.CertificateMeta;
import javax.xml.bind.DatatypeConverter;
import java.io.File;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Date;
import java.util.List;
public class MainActivity extends AbstractJni {
public static void main(String[] args) {
MainActivity mainActivity = new MainActivity();
mainActivity.stringFromJNI();
}
private final AndroidEmulator emulator;
private final VM vm;
private DvmClass cNative;
private MainActivity() {
// 貌似查進程的時候用的 這個不寫也沒事 隨便寫的
emulator = new AndroidARMEmulator("com.gotokeep.keep");
Memory memory = emulator.getMemory();
// 設置 sdk版本 23
LibraryResolver resolver = new AndroidResolver(23);
memory.setLibraryResolver(resolver);
//創建DalvikVM,可以載入apk,也可以為null 如果加載的是apk 會自動讀取apk文件里的簽名加載進去 可以過掉簽名驗證
vm = emulator.createDalvikVM(new File("unidbg-android/src/test/resources/apk/keep.apk"));
// vm = emulator.createDalvikVM(null);
vm.setJni(this);
// 是否打印日志
vm.setVerbose(true);
// 載入要執行的 so 下面這行是上面不是apk的情況 直接指定so文件 當然即使指定了apk 也可以加載自己so
// DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/libcryp.so"), true);
// 如果加載的是apk, 使用apk中的so文件 這里光寫so文件名就可以 不用寫lib
DalvikModule dm = vm.loadLibrary("cryp", true);
// 我這個沒有JNI_OnLoad方法 所以我這里就不調用這個了
// dm.callJNI_OnLoad(emulator);
// module = dm.getModule();
}
private void stringFromJNI() {
// Jni調用的類
cNative = vm.resolveClass("com/gotokeep/keep/common/utils/CrypLib");
long t = System.currentTimeMillis();
DvmObject<?> strRc = cNative.callStaticJniMethodObject(emulator,"getEncryptDeviceId(Ljava/lang/String;)Ljava/lang/String;",vm.addLocalObject(new StringObject(vm, "0eeff6dd425d56c286d00348c578c63d")));
System.out.println("call stringFromJNI rc = " + strRc.getValue());
// 打印計算的毫秒數
System.out.println(System.currentTimeMillis()-t);
}
@Override
public DvmObject<?> callStaticObjectMethod(BaseVM vm, DvmClass dvmClass, String signature, VarArg varArg) {
System.out.println("call: " + signature);
switch (signature) {
case "com/gotokeep/keep/KApplication->getContext()Landroid/content/Context;":
return vm.resolveClass("android/content/Context").newObject(signature);
}
return super.callStaticObjectMethod(vm, dvmClass, signature, varArg);
}
@Override
public int callIntMethod(BaseVM vm, DvmObject<?> dvmObject, String signature, VarArg varArg) {
System.out.println("call: " + signature);
switch (signature) {
case "android/content/pm/Signature->hashCode()I":
return 1580769512;
}
return super.callIntMethod(vm, dvmObject, signature, varArg);
}
}
其中還有兩個方法callStaticObjectMethod和callIntMethod沒寫注釋。
除了這個還有很多,只是我沒用到。
寫這個也很簡單
如果不寫的話,會報錯:
python實現so算法
因為使用unidbg,隨意想算就算了。
所以入參我寫成32個00000000000000000000000000000000出來一個結果。
再用0000000000000000000000000000001出一個結果。
通過總結規律的寫法
得出了
def get_int(a1):
if ord(a1) > 47 and ord(a1) <= 57 :
return ord(a1) - 48
if ord(a1) > 96 and ord(a1) <= 102 :
return ord(a1) - 87
if ord(a1) <= 64 or ord(a1) > 70 :
return 0
return ord(a1) - 55
def keep_so(s):
shard_list = [[], [], [], []]
index = 0
index_w = 0
for i in s:
shard_list[index_w].append((get_int(i)))
index += 1
if index % 8 == 0 and index != 0:
index_w += 1
sum_list = [0, 0, 0, 0, 0, 0, 0, 0]
for i in range(8):
for j in shard_list:
sum_list[i] += j[i]
tail_list = sum_list[5:]
carry = int((tail_list[2]+1)/16)
tail_list[2] = (tail_list[2]+1)%16
tail_list[1] = tail_list[1]+carry
middle_num = tail_list[0]*16+tail_list[1]
middle_num += 235
middle_num = hex(middle_num).replace("0x","")
middle_num = middle_num[-2:] if len(middle_num)>2 else middle_num
sum_list = sum_list[:5]
sum_list = [k+14 for k in sum_list]
for i in range(5):
sum_list[-i - 1] += int(sum_list[-i] / 16)
sum_list = [(k)%16 for k in sum_list]
return s+"".join([hex(k).replace("0x","") for k in sum_list])+middle_num+str(tail_list[2])
if __name__ == "__main__":
n="0eeff6dd425d56c286d00348c578c63d"
print(ord("a"))
print(keep_so(n))
print("----")
print(keep_so(n)=="0eeff6dd425d56c286d00348c578c63d8c8505d5")