今天給大家分享一下如何逆向分析 Native 層的加密,整個(gè)過程的思路值得借鑒,接下來由小帥b的朋友 Houser 給大家進(jìn)行演示,搞起:
所需設(shè)備和環(huán)境
設(shè)備:
Android/ target=_blank class=infotextkey>安卓手機(jī)(獲取root權(quán)限)
抓包:
fiddler + xposed + JustTrustMe
反編譯:
jadx-gui,ida
抓包
按照慣例,這里隱去 App 的名稱,開啟 fiddler 抓包后 app 提示連接不到網(wǎng)絡(luò),判斷是證書驗(yàn)證,開啟 xposed 框架,再次請(qǐng)求,成功抓到包,連續(xù)請(qǐng)求兩次來對(duì)比參數(shù)變化:
可以看到 x-app-token 這個(gè)參數(shù)不一樣,其他參數(shù)都是固定的,先簡(jiǎn)單看一下 x-app-token 的構(gòu)成:
這樣做了一下?lián)Q行,有沒有發(fā)現(xiàn)什么規(guī)律?
我一眼就看出來第二行是手機(jī)的 deviceID,因?yàn)榕老x寫多了,這個(gè)字符串經(jīng)常出現(xiàn),第一行是 32 位,應(yīng)該就是個(gè) md5, 第三行是個(gè) 16 進(jìn)制數(shù),知道了這些,接下來就來反編譯,搜索這個(gè)關(guān)鍵字。
反編譯
反編譯之前先使用 ApkScan-PKID 查一下是否有殼,養(yǎng)成好習(xí)慣,這個(gè) app 沒有加殼,直接用 jadx 打開,全局搜索 “x-app-token”,只有一處,應(yīng)該就在這里了:
從框中代碼發(fā)現(xiàn) x-app-token 的值就是 as,而 as 是函數(shù) getAS 生成的,按住鼠標(biāo)左鍵,點(diǎn)擊 getAS 進(jìn)去看看詳情:
它把函數(shù)過程寫到 native 層中去了,那只好去分析這個(gè)名為native-lib 的 so 文件了,解壓目標(biāo) apk 獲取到了如下圖這些文件:
so文件就在這個(gè)lib文件夾里:
ida中打開這個(gè)文件,切換到 Export 導(dǎo)出函數(shù)選項(xiàng)卡,先來直接搜索getAS:
沒有搜到getAS,倒是搜到了 getAuthString,名字很像,打開看看吧,按 F5 可以把匯編代碼轉(zhuǎn)換為偽 c 代碼,下拉分析一波,看到了 md5 關(guān)鍵字:
代碼有點(diǎn)難懂,連懵帶猜 v61 應(yīng)該是 MD5 加密后的結(jié)果,然后 append 似乎是在拼接字符串,看到了“0x”,根據(jù)抓包的結(jié)果已經(jīng)知道 x_app_token 的第三行是個(gè) 16 進(jìn)制數(shù),那應(yīng)該是這里的v86了,向上看看它具體是什么:
v86存的是 v40 的值,而 v40 就是當(dāng)前的時(shí)間戳,那 x-app-token 第三行應(yīng)該就是時(shí)間戳的 16 進(jìn)制數(shù)。接下來看看 md5 的入?yún)関58,v52,v53,重點(diǎn)來看v52,往上追朔看到其和 v51 是相等的,而 v51 是一個(gè)未知字符串經(jīng)過 base64 編碼得到的,先來hook這兩個(gè)函數(shù),寫段腳本:
第1處和2處分別是目標(biāo)函數(shù)的地址,鼠標(biāo)點(diǎn)到目標(biāo)函數(shù)處,ida左下角會(huì)顯示,加1是為何,只記得大學(xué)時(shí)候?qū)W過匯編語言講到段地址,偏移地址,物理地址這些,猜測(cè)和這些知識(shí)有關(guān),還需研究,這里先這樣用,第3處的寫法是當(dāng)這個(gè)參數(shù)為字符串時(shí)的寫法,運(yùn)行一波,看看打印輸出:
同時(shí)也來抓包:
把v52的值放到在線MD5網(wǎng)站中加密看看:
和抓包得到的結(jié)果是一樣的,那就證明hook點(diǎn)找對(duì)了,那么v49就是base64編碼之前的值,v49是什么呢,仔細(xì)一看,里面也有deviceID,再來分割一下:
第一行通過兩次hook,發(fā)現(xiàn)他是固定不變的,第二行是改變的,32位,看起來又是個(gè)md5,第六行是包名,返回偽c代碼,再來分析看看,在前面又看到了MD5加密的地方:
那來hook這個(gè)函數(shù),看看入?yún)ⅲ?/p>
打印的入?yún)?shù)據(jù)為:
S是一個(gè)時(shí)間戳,拿到MD5加密網(wǎng)站上驗(yàn)證一下,正好和v49中包含的字符串相同:
至此,逆向就完成了,來總結(jié)一下x-app-token的獲取過程,先是帶有把時(shí)間戳進(jìn)行md5,按下圖順序拼接:
然后把拼好的字符串進(jìn)行base64編碼,最后把編碼結(jié)果進(jìn)行MD5,得到x-app-token的開頭部分,組成如下:
接下來寫個(gè)腳本來請(qǐng)求數(shù)據(jù)
請(qǐng)求
代碼如下:
運(yùn)行,成功拿到數(shù)據(jù):
總結(jié)
今天主要介紹了 native 層 hook 的方法,雖然 so 文件中的偽c代碼要有一定的基礎(chǔ)才能看懂,但是先不要怕,分析的過程中可以先大膽假設(shè),有 frida 非常強(qiáng)大的 hook 功能,就能一步步驗(yàn)證之前的假設(shè)。這兩次都是靜態(tài)分析方法,下次我們?cè)賮斫榻B一下動(dòng)態(tài)調(diào)試的方法。
最后,以上內(nèi)容僅供學(xué)習(xí)交流,希望對(duì)你有幫助,那么我們下回見,peace!
