技术标签: app android 定位 android studio ssl
前言
Android逆向是一个很大很深的话题,我们这个系列探讨的是爬虫工程师日常的逆向需求,比如签名算法啊,post请求中的加密啊,乱七八糟的随机字段等,下面看看我们每次要分析的app。
抓包
抓包前将手机和电脑连接到同一WIFI,在手机设置好代理,装好证书,就可以开始抓包了,抓包工具随意
抓包环境配置好后,在注册页面随便输入一个账号,然后点击注册
查看抓到的数据包,找需要分析的参数进行分析
deviceCode 是IMEI 码,这次逆向的重点也就是分析sign,appcode生成逻辑。
分析
看到这个sign 我首先想到用objection trace 一下,没了解过 objection的可以自行百度,也可以参考roysue的文章:
https://www.anquanke.com/post/id/197657?from=timeline&isappinstalled=0
使用命令:
android hooking search classes sign
找到含有sign的类
其中有条成功引起了我的注意,找的时候先查找携带包名的类,然后触发一下:
android hooking watch class com.******hotel.app.whnetcomponent.utils.SignUtil
触发后得到以下结果,又发现两个比较可疑的方法,继续跟踪:
android hooking watch class_method com.******wehotel.app.whnetcomponent.utils.SignUtil.getAppCode --dump-args --dump-return
android hooking watch class_method com.******wehotel.app.whnetcomponent.utils.SignUtil.getSignString --dump-args --dump-return
再次触发后看到拿到的正好是我们需要的结果,这样就定位到了参数位置:
现在我们去看看app 代码。
脱壳加验证
这个app 使用某数字壳,直接使用葫芦娃的脱壳工具:
https://github.com/hluwa/FRIDA-DEXDump
对于体积比较大的app来说,使用dex-finder能让我们更快速的查看需要的类和参数,Gitub地址:
https://github.com/LeadroyaL/dex-finder
找到我们需要查看的类所在的dex,使用命令:
使用下面命令
java -jar dex-finder.jar -f 目录 -c com.******wehotel.app.whnetcomponent.utils.SignUtil
找到我们需要的dex后 ,用jadx 打开查看:
一眼就能看见sign 是md5,appcode 是AES加密,然后跟进去就找到了key,加密模式和填充方式
AesUtil.encrypt(timestamp + "+" + ascii + "+" + devicesNo + "+" + latlng);
1585278419269, 51405, 00000000-30ae-6a3e-a3c1-fe290033c587, 0,0
1585274763545+1974+00000000-30ae-6a3e-a3c1-fe290033c587+0,0
这里可以看到ascii ,但是不知道怎么来的,打印下堆栈,然后去上一级找,很快找到了生成位置decodeASCII,
Python改写如下:
query = {"systemVersion":"5.1.1", "sid":"306259","userId":"0", "mobile":mobile, "clientVersion":"4.2.9", "deviceType":"google Pixel 2","nationCode":"86","deviceCode":"865166010285875"}
k = list(query.values())
asc = str(sum([sum([ord(i) for i in j]) for j in k ]))
然后接下来看sign ,加密方式就是这样,hook 下参数:
md5.getMD5ofStr(md5.getMD5ofStr(userId + appChannel + devicesNo + timestamp + latlng + ascii) + timestamp + ascii + devicesNo + latlng);
0, vadjlr4k3o;qj4io23ug9034uji5rjn34io5u83490u5903huq, 00000000-30ae-6a3e-a3c1-fe290033c587, 1585278419367, 0,0, 1974
"0vadjlr4k3o;qj4io23ug9034uji5rjn34io5u83490u5903huq00000000-30ae-6a3e-a3c1-fe290033c58715852784193670,01974"
B4BB10ECF03A740174AFABA1EC93E00E1585278419367197400000000-30ae-6a3e-a3c1-fe290033c5870,0
A298CD04C866C7F0BF9E0D4456AFD7B1
A298CD04C866C7F0BF9E0D4456AFD7B1
两次md5 对比后发现appChannel是固定,其他就可以自己伪造了
最后再说下 deviceId 的生成方式,其实不重要,uuid伪造就行了,
clientInfo.setDeviceId(new UUID((long) androidId.hashCode(), (((long) tmDevice.hashCode()) << 32) | ((long) tmSerial.hashCode())).toString());
到此 分析完毕,Python改写请求即可:
// 下面是验证参数用到的fria脚本
function showStacks() {
Java.perform(function() {
console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
});
}
function hook(){
Java.perform(function(){
var util = Java.use('com.******wehotel.app.whnetcomponent.net.JJSignInterceptor');
var Buffer = Java.use("okio.Buffer");
var aci = Java.use("com.******wehotel.app.whnetcomponent.utils.SignUtil")
var device = Java.use("com.******wehotel.app.whnetcomponent.utils.DeviceUtil");
var ut = Java.use("com.******wehotel.app.whnetcomponent.utils.Utils");
var client = Java.use("com.******hotel.app.whnetcomponent.net.ClientInfo");
var WHGetDeviceIdUtil = Java.use("com.******hotel.app.componentservice.WHGetDeviceIdUtil");
var Settings = Java.use("android.provider.Settings$Secure");
var TelephonyManager = Java.use("android.telephony.TelephonyManager");
var UUID = Java.use("java.util.UUID");
util.handlerRequest.implementation = function (request) {
showStacks();
var ret = this.handlerRequest(request);
console.log(request);
try {
console.log("MyInterceptor.intercept onEnter:", request, "\nrequest headers:\n", request.headers());
var requestBody = request.body();
var contentLength = requestBody ? requestBody.contentLength() : 0;
if (contentLength > 0) {
var BufferObj = Buffer.$new();
requestBody.writeTo(BufferObj);
console.log("\nrequest body String:\n", BufferObj.readUtf8(), "\n");
};
} catch (error) {
console.log("error 1:", error);
};
console.log(ret);
var context = ut.getApp();
var a = device.readClientInfo(context);
var tmDevice = "" + WHGetDeviceIdUtil.getDeviceId(context);
var pm = context.getSystemService("phone")
var b = Java.cast(pm,TelephonyManager);
var tmSerial = b.getSimSerialNumber();
var androidId = "" + Settings.getString(context.getContentResolver(), "android_id");
console.log(tmDevice,tmSerial,androidId);
console.log(a.getDeviceId());
return ret;
}
aci.decodeASCII.implementation = function (a) {
// showStacks();
console.log(a);
var ret = this.decodeASCII(a);
console.log(ret);
return ret;
};
aci.stringToAscII.implementation = function (a) {
// showStacks();
console.log(a);
var ret = this.stringToAscII(a);
console.log(ret);
return ret;
};
UUID.$init.implementation = function (a,b) {
// showStacks();
console.log("a",a);
console.log("b",b);
var ret = this.$init(a,b);
};
});
};
setImmediate(function(){
setTimeout(hook, 2000);
});
大功告成!就这样,下次再见。
文章浏览阅读3.2k次。本文研究全球与中国市场分布式光纤传感器的发展现状及未来发展趋势,分别从生产和消费的角度分析分布式光纤传感器的主要生产地区、主要消费地区以及主要的生产商。重点分析全球与中国市场的主要厂商产品特点、产品规格、不同规格产品的价格、产量、产值及全球和中国市场主要生产商的市场份额。主要生产商包括:FISO TechnologiesBrugg KabelSensor HighwayOmnisensAFL GlobalQinetiQ GroupLockheed MartinOSENSA Innovati_预计2026年中国分布式传感器市场规模有多大
文章浏览阅读1.1k次,点赞2次,收藏12次。常用组合逻辑电路结构——为IC设计的延时估计铺垫学习目的:估计模块间的delay,确保写的代码的timing 综合能给到多少HZ,以满足需求!_基4布斯算法代码
文章浏览阅读3.3k次,点赞3次,收藏5次。OpenAI Manager助手(基于SpringBoot和Vue)_chatgpt网页版
文章浏览阅读2.2k次。USACO自1992年举办,到目前为止已经举办了27届,目的是为了帮助美国信息学国家队选拔IOI的队员,目前逐渐发展为全球热门的线上赛事,成为美国大学申请条件下,含金量相当高的官方竞赛。USACO的比赛成绩可以助力计算机专业留学,越来越多的学生进入了康奈尔,麻省理工,普林斯顿,哈佛和耶鲁等大学,这些同学的共同点是他们都参加了美国计算机科学竞赛(USACO),并且取得过非常好的成绩。适合参赛人群USACO适合国内在读学生有意向申请美国大学的或者想锻炼自己编程能力的同学,高三学生也可以参加12月的第_usaco可以多次提交吗
文章浏览阅读394次。1.1 存储程序1.2 创建存储过程1.3 创建自定义函数1.3.1 示例1.4 自定义函数和存储过程的区别1.5 变量的使用1.6 定义条件和处理程序1.6.1 定义条件1.6.1.1 示例1.6.2 定义处理程序1.6.2.1 示例1.7 光标的使用1.7.1 声明光标1.7.2 打开光标1.7.3 使用光标1.7.4 关闭光标1.8 流程控制的使用1.8.1 IF语句1.8.2 CASE语句1.8.3 LOOP语句1.8.4 LEAVE语句1.8.5 ITERATE语句1.8.6 REPEAT语句。_mysql自定义函数和存储过程
文章浏览阅读188次。半导体二极管——集成电路最小组成单元。_本征半导体电流为0
文章浏览阅读2.8k次,点赞3次,收藏18次。游戏水面特效实现方式太多。咱们这边介绍的是一最简单的UV动画(无顶点位移),整个mesh由4个顶点构成。实现了水面效果(左图),不动代码稍微修改下参数和贴图可以实现岩浆效果(右图)。有要思路是1,uv按时间去做正弦波移动2,在1的基础上加个凹凸图混合uv3,在1、2的基础上加个水流方向4,加上对雾效的支持,如没必要请自行删除雾效代码(把包含fog的几行代码删除)S..._unity 岩浆shader
文章浏览阅读5k次。广义线性模型是线性模型的扩展,它通过连接函数建立响应变量的数学期望值与线性组合的预测变量之间的关系。广义线性模型拟合的形式为:其中g(μY)是条件均值的函数(称为连接函数)。另外,你可放松Y为正态分布的假设,改为Y 服从指数分布族中的一种分布即可。设定好连接函数和概率分布后,便可以通过最大似然估计的多次迭代推导出各参数值。在大部分情况下,线性模型就可以通过一系列连续型或类别型预测变量来预测正态分布的响应变量的工作。但是,有时候我们要进行非正态因变量的分析,例如:(1)类别型.._广义线性回归模型
文章浏览阅读69次。环境保护、 保护地球、 校园环保、垃圾分类、绿色家园、等网站的设计与制作。 总结了一些学生网页制作的经验:一般的网页需要融入以下知识点:div+css布局、浮动、定位、高级css、表格、表单及验证、js轮播图、音频 视频 Flash的应用、ul li、下拉导航栏、鼠标划过效果等知识点,网页的风格主题也很全面:如爱好、风景、校园、美食、动漫、游戏、咖啡、音乐、家乡、电影、名人、商城以及个人主页等主题,学生、新手可参考下方页面的布局和设计和HTML源码(有用点赞△) 一套A+的网_垃圾分类网页设计目标怎么写
文章浏览阅读614次,点赞7次,收藏11次。之前找到一个修改 exe 中 DLL地址 的方法, 不太好使,虽然能正确启动, 但无法改变 exe 的工作目录,这就影响了.Net 中很多获取 exe 执行目录来拼接的地址 ( 相对路径 ),比如 wwwroot 和 代码中相对目录还有一些复制到目录的普通文件 等等,它们的地址都会指向原来 exe 的目录, 而不是自定义的 “lib” 目录,根本原因就是没有修改 exe 的工作目录这次来搞一个启动程序,把 .net 的所有东西都放在一个文件夹,在文件夹同级的目录制作一个 exe._.net dll 全局目录
文章浏览阅读1.5k次。本文为转载,原博客地址:http://blog.csdn.net/hujingshuang/article/details/46910259简介 BRIEF是2010年的一篇名为《BRIEF:Binary Robust Independent Elementary Features》的文章中提出,BRIEF是对已检测到的特征点进行描述,它是一种二进制编码的描述子,摈弃了利用区域灰度..._breif description calculation 特征点
文章浏览阅读4.1k次,点赞21次,收藏79次。本文是《基于SpringBoot的房屋租赁管理系统》的配套原创说明文档,可以给应届毕业生提供格式撰写参考,也可以给开发类似系统的朋友们提供功能业务设计思路。_基于spring boot的房屋租赁系统论文