一、抓包
手机安装证书,开启VPN抓包,电脑上打开花瓶,在同一个局域网内抓包,这些老一套没什么可说的。
看看我们的抓包结果是不是很美丽,请求内容加密,返回内容也加密,猜测加密方式aes,加密参数sign是37位的,猜测MD5加密。
二、脱壳
上jadx打开,很快加载完了,猜测是加壳。
看见了关键信息。下面我们就开始脱壳吧。
这是我们脱的每个DEX,我不喜欢合并,就一个个看吧。
三、java层分析
直接在DEX搜索
很遗憾,通过搜索(加密参数和请求关键字)没有找到有用信息,说明加固的很严重。
通过搜索加载SO找到关键函数。
自吐算法看调用栈
自吐算法没有再日志中找到有用的信息。
看看安装路径下的可疑SO
app安装路径下有2个SO文件比较可疑。通过验证,确实找到了加密SO。
jnitrace找可疑可以SO文件。
或者frida-trace找到可以SO文件,可以观察一下频繁调用的方法和SO文件就能发现惊喜。
四、native层分析
直接搜索没有找到“Java_”,肯定是动态注册了,我们可以hook register native也可以直接分析“JNI_OnLoad”,后者在字符串窗口搜索"md5",我们就能定位到关键代码。
uint32_t __fastcall doMD5sign(const uint8_t *initial_msg, size_t initial_len, int8_t **digest)
{signed int v4; // r0int v5; // r2signed int v6; // r0int v7; // r2signed int v8; // r2signed int v9; // r0int v10; // r2size_t v11; // r4int8_t *v12; // r0uint8_t v14[16]; // [sp+0h] [bp-A8h] BYREFchar s[64]; // [sp+10h] [bp-98h] BYREFchar v16[20]; // [sp+50h] [bp-58h] BYREFchar v17[20]; // [sp+64h] [bp-44h] BYREFchar v18[20]; // [sp+78h] [bp-30h] BYREFmd5(initial_msg, initial_len, v14);v4 = bytesToInt(v14, 0);v5 = v4;if ( v4 < 0 )v5 = -v4;sprintf(s, &byte_E0021, v5);v6 = bytesToInt(v14, 4u);v7 = v6;if ( v6 < 0 )v7 = -v6;sprintf(v18, &byte_E0021, v7);v8 = bytesToInt(v14, 8u);if ( v8 <= -1 )v8 = -v8;sprintf(v17, &byte_E0021, v8);v9 = bytesToInt(v14, 0xCu);v10 = v9;if ( v9 < 0 )v10 = -v9;sprintf(v16, &byte_E0021, v10);strcat(s, v18);strcat(s, v17);strcat(s, v16);v11 = strlen(s);v12 = (int8_t *)malloc(v11);*digest = v12;qmemcpy(v12, s, v11);return v11;
}
hook入参和结果,很友好,没有魔改,我们就把sign的算法找到了。
另外数据的加密和解密,aes算法也是在这个SO里面实现的。
通过分析我们找到了算法是AES,加密模式是ECB,我们直接HOOK验证找到KEY就好了。
五、算法还原
sign还原:
q参数: