之前写过一篇某款app协议的简单分析的文章,前一段时间有人说他们的协议更新了,所以抽出时间来学习一下。
一、准备工作
1、抓包
第一步还是抓包,通过对比我们发现,在请求字段中新出现了一个newSign的字段,并且原来的sign也不是每次都会变化了。所以说明确实做了协议的更新。
2、定位代码
通过sign和newSign关键字,可以轻松定位到代码。先来看newSign值,就是一堆key-value的值,日志中很明显的用了StringToSign来标明要加密的字符串,最后就是md5和AES加密了。
但是这里的AES加密放在native层去做了,需要后面进一步的分析。
至于sign值的计算很简单,跟之前一样,就不赘述了。
二、协议分析
1、代码插桩
为了更清晰的看到加密前后的输出,在这里手动插入了log。方法是构造一个log类,然后在需要的地方直接调用该方法。smali代码如下:
通过插桩,记录了几条值,一会儿要用这几条数据做验证。
2、Frida Hook
其实通过Frida也可以实现打印这几条记录的值,而且比代码插桩更方便一些。encode是导出函数,可以直接调用。我们hook函数并打印输入和输出值,就是加密前后的值了。
3、so分析
打开so文件,发现so没有加密混淆,方法名也很容易判别。直接定位到encode函数。
知道采用了AES_128_ECB_PKCS5Padding加密方式,还需要一个秘钥,在j_getKey方法中做了一些加密操作来隐藏key值。因为啃不动汇编代码,也不打算仔细看其中的细节,所以决定采用动态调试的方法来得到key。
这里可以简化一下,我们新建一个demo工程,把so文件拷贝到工程目录下。
这里需要注意的下就是,采取了动态注册的方式,我们把java类拷贝过来时需要创建同样的路径名称。
然后我们就可以调式自己的app了。
4、Android 动态调试
4.1 开启android_server,监听23946端口
先给android_server授权
$ adb shell /data/local/tmp/android_server
4.2 本地端口转发
$ adb forward tcp:23946 tcp:23946
4.3 调试模式启动程序
$ adb shell am start -D -n packageName/launchActivity
4.4 Debugger->attach->Remote ARMLinux/Android debugger
4.5 选择调试进程
4.6 Debugger option选项勾选,F9运行调试程序
4.7 等待调试jdb连接
如果提示无法附加到目标 VM,可以尝试关闭掉Android studio,然后手动设置一下对应的端口进程。
$ adb shell ps | grep "包名"
$ adb -d forward tcp:8700 jdwp:进程号
4.8 下断点
4.9 IDA动态调试
我们在j_AES_128_ECB_PKCS5Padding_Encrypt下个断点,已知参数分别是要加密的字符串和秘钥。运行程序至断点位置,从R0寄存器可以看到就是我们要加密的字符串
而R1的值则是我们需要的秘钥。
其他值也可以通过调试拿到。
三、验证
拿到了我们需要的数据后,就可以开始简单的验证了。找一个在线加密的地址,用原始的字符串和key进行加密。
并将加密结果md5,得到“fde85ed3d5bce52db74cf300f9700504”。
对比一下抓包结果,加密值完全一致,说明没有进行其他额外的加密了。
所以至此我们已经知道了一切。
四、学习实践总结
1、Charles抓包
HTTP/HTTPS抓包,高版本Android利用vpn转发到代理,以解决不能抓HTTPS的问题
2、反编译
关键代码可以通过smali查看
3、插桩
通过修改smali文件,可以输出指定的日志信息,增加弹窗Toast等等
4、Native Hook
Frida的使用,本次分析中,就用到了Frida来hook native函数,观察加密前后的结果。遇到难点是frida hook jstring类型的参数时,打印字符串的问题(已解决,类型转换)。
5、so文件的分析
依然看不懂汇编代码
6、移花接木
将目标的so文件,移植到自己的demo中,方便调试调用。
7、利用IDA动态调试so
成功拿到key,修改了校验函数的返回值。
网友评论