文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

app安卓逆向x-sign,x-sgext,x_mini_wua,x_umt加密参数解析

2023-09-12 08:00

关注

安卓逆向某生鲜平台app

本文仅作为学习交流,禁止用于商业使用

1.背景

阿里系当前采用的加密版本是6.3,6.2版本的大家几乎都解决了,6.3的网上资料很少,这里讲讲6.3的解密过程

阿里系通用这一套加密算法,主要是x-sign,x-sgext,x_mini_wua,x_umt这四个加密参数,解决了其中一个app,其他的比如淘X,咸X等app都相差不大了,改改参数,或者替换不同的方法名称就行;
2. 使用的是frida-rpc主动调用的方法(对加密算法解密的话,难度很高,我没做出来);
3. 本次做的是阿里系的某生鲜平台app, 仅作为学习交流,禁止用于商业使用

首先我们抓个包先,可以看到,加密版本是6.3,加密参数还是我们常见的这四大参数
这里请求头具体分析就不说了,直接去逆向
在这里插入图片描述

2.逆向

1.查壳

第一步不用多说,不管什么app,先查壳,查壳工具PKID,基本上满足需求,我们运气好,HM没做什么加壳措施,所以我们直接略过这个步骤;

查壳

如果有遇到加壳的,可以用一下几种办法

Frida-Unpack
firda-unpack 原理是利用frida hook libart.so中的OpenMemory方法,拿到内存中dex的地址,计算出dex文件的大小,从内存中将dex导出,我们可以查看项目中的 OpenMemory.js 文件中的代码更清晰直观地了解。

GitHub地址:https://github.com/GuoQiang1993/Frida-Apk-Unpack

FRIDA-DEXDump
葫芦娃所写,脱壳后的dex文件保存在PC端main.py同一目录下,以包名为文件名

GitHub地址:https://github.com/hluwa/FRIDA-DEXDump

frida_dump
会搜索 dex 文件并 dump 下来,保存在 data/data/packageName/files 目录下

GitHub地址:https://github.com/lasting-yang/frida_dump

Frida_Fart[推荐]
寒冰写的, Frida 版的 Fart, 目前只能在 andorid8 上使用该frida版fart是使用hook的方式实现的函数粒度的脱壳,仅仅是对类中的所有函数进行了加载,但依然可以解决绝大多数的抽取保护

GitHub地址:https://github.com/hanbinglengyue/FART

2.反编译

既然app没有做加壳措施,那我们直接上手jadx。
jadx反编译

这里反编译工具推荐使用Android Killer,jadx,JEB,当你反编译失败的时候,去尝试另外的工具,会发现结果不同哦。千万别仅使用一个工具;

3.查找加密方法

在jadx里面直接全局搜索x-sign吧
在这里插入图片描述
我们很容易就找到这个getUnifiedSign函数,仔细分析函数发现是一个接口,那这个函数所在的类mtopsdk.security.InnerSignImpl 就是我们要找的实现类。

这里教你们一个小方法,在jadx里面对这个getUnifiedSign函数直接右击,复制frida代码,我们函数找的对不对,直接hook一下就知道了
在这里插入图片描述

写一段调用js的python程序

import frida, sysdef on_message(message, data):    if message['type'] == 'send':        print("[*] {0}".format(message['payload']))    else:        print(message)jscode = '''Java.perform(function(){/**  把该部分替换为刚刚复制的内容即可**、})    '''process = frida.get_remote_device().attach('app的包名')script = process.create_script(jscode)script.on('message', on_message)script.load()sys.stdin.read()

运行程序我们查看一下结果

在这里插入图片描述
非常nice,我们hook之后查看输出,这个方法传入了哪些参数,又输出了哪些值,一目了然,x-sign等加密值都在里面,说明我们方法找对了

4.调用方法

这里我们就直接用rpc主动调用的方法获取加密值
方法我们找到了,传入的参数我们也找到了,那用rpc调用也不在话下了
直接上代码

import fridadef on_message(message, data):    if message['type'] == 'send':        print("[*] {0}".format(message['payload']))    else:        print(message)def start_hook():jscode = '''    rpc.exports = {        para: function(a,b,c,d,e,f) {            var ret = {};            Java.perform(function() {                Java.choose("mtopsdk.security.InnerSignImpl",{                onMatch: function(instance){                var a= "";                var b= "";                var c = ;                var d = ;                var e = ;                var f = ;                //这些都是传入的参数,具体传参内容根据实际修改                var res = instance.getUnifiedSign(a, b, c, d, e, f).toString();    //console.log('getUnifiedSign ret value is ' + res);                ret["result"] = res;            },                onComplete: function(){                    //console.log('******js load over*****')            }                     })        })        return ret;                    }            };        '''process = frida.get_remote_device().attach('')    script = process.create_script(jscode)    script.on('message', on_message)    script.load()    return scriptresult_hook = start_hook().exports.para() # 可传参进去

我们现在验证一下rpc调用是否可行
1.首先执行rpc调用的代码,打印出其中的部分参数比如时间戳,以及解密后的x-sign
在这里插入图片描述
2.于此同时我们查看一下前面部分我们提到的hook这个getUnifiedSign函数,去查看一下结果
在这里插入图片描述
我们对比一下,时间戳,x-sign的值都是一样的,说明传入的参数正常,并能够输出加密参数

5.请求数据

上一步实现frida-rpc的调用,接下来就可去写请求数据的代码了
这个就没有什么好说的,请求头headers放进去,rpc调用一下,替换加密参数,然后直接request请求即可。

6.结果

在这里插入图片描述

让我们看一下请求后的结果吧!
app里面的数据可以正常的拿到了,这个app的逆向我们就大功告成了,有什么问题可以联系我。

九月四号更新 wua加密算法

很多人问我wua怎么获取,还是用咱们这一套rpc主动调用,在传入的参数中,有个z参数,需要参入boolen值,当传入false时,不返回wua加密参数 如图
在这里插入图片描述

当传入true时,返回wua加密参数
在这里插入图片描述
有新的问题可以继续找我,谢谢!

来源地址:https://blog.csdn.net/qq_44130722/article/details/126621134

阅读原文内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-移动开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯