某音乐App 抓包和signature签名分析

公众号: 奋飞安全
• 阅读 1566

一、目标

李老板:奋飞呀,最近我想下个歌,现在听歌软件都这么顽固了,包都抓不到?

奋飞:抓不到包的原因太多了,咱们得用排除法分析下。

  • 某音乐App 10.8.4

二、步骤

排查协议

李老板也跟我们混了这么多期,所以基本排除抓包环境的问题。

那么另一个可能就是像某手使用的 quic协议 或者某鱼使用的 spdy协议 了。

上jadx搜一下 "quic",如果搜不到还可以直接试试 quic

某音乐App 抓包和signature签名分析

有6个结果,看来我们的猜测是对的,一个一个结果看过来,第三个结果应该有点猫腻。

某音乐App 抓包和signature签名分析

看上去像是传个协议名称进来。

上Objection

有了怀疑对象之后,先不要着急写代码,用Objection批量Hook印证一下,精准定位之后再去写js。

objection -g com.kxxou.android explore -P ~/.objection/plugins
android hooking watch  class 'com.kxxou.common.network.netgate.o'

结果还是不错的,刷新主页面的时候这个类的函数被调用了,虽然没有我们刚才分析的 a(Ljava/lang/String;)I,不过有可能这个函数只在启动的时候调用一次。

(agent) [559860] Called com.kxxou.common.network.netgate.o.a(int, java.lang.String, java.lang.String)
(agent) [559860] Called com.kxxou.common.network.netgate.o.a(java.lang.String, java.lang.String, java.lang.String)
(agent) [559860] Called com.kxxou.common.network.netgate.o.a(int, java.lang.String, java.lang.String)

然后我们可以写js来慢慢分析了。

一个尴尬的故事

正准备分析的时候,发现一个尴尬的事。我能抓到包了……

也许是App启动的时候自动判断了要走http不走quic协议了吧。

根据职场第一守则:老板是不会错的。 我们毫不犹豫的告诉李老板,搞定了,能抓到包了。 手动狗头。

signature分析

在新歌里面随便点一个评论。

某音乐App 抓包和signature签名分析

我们今天的目标是这个 signature

掰指头数了数32位,很有md5的潜质。

jadx搜一下 "signature"

某音乐App 抓包和signature签名分析

这个 hashMap.put 应该是重点考察对象。

一路点进去看到了熟悉的 MD5。

继续用 objection 把整个类跟踪一下

objection -g com.kxxou.android explore -P ~/.objection/plugins
android hooking watch  class 'com.kxxou.common.utils.ba'

结果是 a b c这三个函数都有被执行。

(agent) [641383] Called com.kxxou.common.utils.ba.a(byte)
(agent) [641383] Called com.kxxou.common.utils.ba.a(byte)
(agent) [641383] Called com.kxxou.common.utils.ba.a(byte)
(agent) [641383] Called com.kxxou.common.utils.ba.b(java.lang.String)
(agent) [641383] Called com.kxxou.common.utils.ba.c([B)

那就把这三个函数都批量打印下

某音乐App 抓包和signature签名分析

逮住了,再缩小下范围可以定位到 signature 是 b函数算出来的。

可以写js了

var signatureCls = Java.use('com.kxxou.common.utils.ba');
signatureCls.b.overload('java.lang.String').implementation = function(a){
    var retval = this.b(a);
    console.log(">>> signature inStr  = " + a);
    console.log(" >>>  signature rc= " + retval);
    return retval;
}

搞定收工。

三、总结

App里还有个sign的算法,大家可以练练手

多积攒点业内动态,协议这块,大家还是互相学习的居多,纯独创的还是比较少的。

有时候要相信运气,说不定睡一觉起来,就突然可以抓包了。

某音乐App 抓包和signature签名分析 别动不动说把一切交给时间,时间才懒得收拾你的烂摊子。

TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全,最新技术干货实时推送

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
某电商App sign签名算法解析(五)
一、目标李老板:奋飞呀,据说某电商App升级了,搞出了一个64位的sign。更牛的是入参都加密了!奋飞:这么拉风,拉出来咱们盘盘。v10.3.2二、步骤32位和64位我们掌握了那么多方法,先搜字符串呢?还是先Hook呢?子曾经曰过:看到32位签名就要想起MD5和HmacSHA1,看到64位签名就要想起HmacSHA256。那就先搞搞java的密码学相关
某神奇App data加密算法解析(一)
一、目标李老板:奋飞呀,我遇到一个超级牛掰的App,它请求的时候有个data参数加密,用尽了你介绍的所有的方法,都找不到它是如何加密的。奋飞:子曾经曰过,老板的嘴,骗人的鬼。有这么牛掰的App,那么我们这帮兄弟早就失业了。某神奇Appv10.1.0点社区随便打开一篇有评论的文章今天的目标就是这个data二、步骤搜索特征字符串目标是data,所以我
某车联网App 通讯协议加密分析
一、目标李老板:最近刚买了辆新车,他带的App挺有意思,要不要盘一盘?奋飞:我去,加壳了,还挺有意思,搞一搞。v6.1.0二、步骤抓包我的抓包环境是Mac10.14.6httpToolKit,这一步很顺利的抓到包了。1:main可以看到,http请求和返回值都是加密的,我们的目标就是这个 request 和 response的来历的。脱壳
待兔 待兔
4个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
某婚恋App _t 签名分析
一、目标最近也不让加班了,李老板每天早早的就回家,小视频也刷的没意思了。还是好好找个mm正经聊聊吧。今天我们的目标是某婚恋App的v11.3.2。二、步骤抓个包\t参数,看上去像是时间戳加上一个md5(掰指头数了数,一共32位)。jadx搜一搜\t,我去,10几万条结果。一时激动,都忘了我的独门秘籍了。这种签名一般会以字符串的方式存入一个m
手把手教你从Apk中取出算法
一、目标李老板:奋飞呀,我最近从Apk里面跟踪到一个算法,代码清晰,但是我不会java,把他翻译成python貌似挺费劲的,有没有轻松省力的方法呀?奋飞:有的呀,给我加工资,我来翻译。某电商Appv10.4.5,升级之后老有小伙伴说他的sign算法变了,其实他就是做了点小动作。sign参数没有动,uuid是明文去做签名,但是抓包请求里面找不到明文uu
另一个生鲜App 抓包和mfsig签名分析(一)
一、目标市面上生鲜App一大堆,买菜也确实是高频次的刚需,这些生鲜App还都有一些有意思的共性:大都加壳了大都不好抓包今天我们分析的是某生鲜Appv9.9.59的mfsig签名。二、步骤上jadx看看这么少的包名和类名,基本可以断定是加壳了。那就先复习下BlackDex脱壳脱完壳的结果拖到PC上,赶紧jadx一下,搜一搜"mfsig"
Karen110 Karen110
3年前
​一篇文章总结一下Python库中关于时间的常见操作
前言本次来总结一下关于Python时间的相关操作,有一个有趣的问题。如果你的业务用不到时间相关的操作,你的业务基本上会一直用不到。但是如果你的业务一旦用到了时间操作,你就会发现,淦,到处都是时间操作。。。所以思来想去,还是总结一下吧,本次会采用类型注解方式。time包importtime时间戳从1970年1月1日00:00:00标准时区诞生到现在
另一个生鲜App 抓包和mfsig签名分析(二) 针对flutter抓包
一、目标拿到App之后,抓不到包是件很令人抓狂的事情。今天我们通过排除法来分析抓包失败的原因,并提供一个通用的针对flutter抓包的方案。抓包工具和环境介绍抓包失败的几种原因和对应的解决方案针对flutter抓包今天我们分析的还是某生鲜Appv9.9.59二、步骤抓包工具和环境介绍飞哥手头有两个不同的抓包环境,一台手机是通过手工设置代理到
公众号:  奋飞安全
公众号: 奋飞安全
Lv1
奋飞,国家高级信息系统项目管理师,独立安全研究员。 http://91fans.com.cn/
文章
60
粉丝
4
获赞
44