手把手教你从Apk中取出算法

公众号: 奋飞安全
• 阅读 629

一、目标

李老板: 奋飞呀,我最近从Apk里面跟踪到一个算法,代码清晰,但是我不会java,把他翻译成python貌似挺费劲的,有没有轻松省力的方法呀?

奋飞: 有的呀,给我加工资,我来翻译。

手把手教你从Apk中取出算法

某电商App v10.4.5, 升级之后老有小伙伴说他的sign算法变了,其实他就是做了点小动作。sign参数没有动,uuid是明文去做签名,但是抓包请求里面找不到明文uuid,而是藏在ep参数里面,做了一次加密。

今天我们就来手把手教大家扣出这个加密算法。

java老艺术家就不用往下看了,你们都会。

二、步骤

编辑加编译

大家也跟了这么多期了,如何找到ep,如何定位uuid的加密算法这个步骤,可以自行完成,需要提醒一下的就是,这个uuid加密还有缓存,同样的数据被加密一次之后就会记入一个map里面。下次优先找这个map,所以很多时候都不会触发你hook的加密函数。

但是不要怀疑,你找的就是对的。

手把手教你从Apk中取出算法

今天的大boss就是它,从名称上看貌似是个魔改的Base64算法。

有理想的同学可以试着翻译成别的语言,当然我们今天要做的不是翻译,而是把他扣出来,直接利用。

首先创建一个 ModifiedBase64.java文件,把jadx反编译的结果拷贝进去。

把文件第一行的 包名 删掉,就是那个 package xxx;

TIP: 有包名的话,后面运行的时候需要带上包名,为了简单起见,直接把他删除了吧

然后在 ModifiedBase64 类里面增加一个Main函数

public static void main(String[] args) throws Exception{
    ModifiedBase64 zObj = new ModifiedBase64();
    String strIn = "DwO4EJPrDJCmY2G2EJq5EG==";        
    String strOut = new String(zObj.m23209eC(strIn));
    System.out.println(strOut);

}

这就ok了,然后开始编译

javac ModifiedBase64.java

ModifiedBase64.java:1: 错误: 程序包com.google.common.primitives不存在
import com.google.common.primitives.SignedBytes;
                                   ^
ModifiedBase64.java:63: 错误: 找不到符号
                    b = SignedBytes.MAX_POWER_OF_TWO;
                        ^
  符号:   变量 SignedBytes
  位置: 类 ModifiedBase64
2 个错误

报错了,有个包名找不到,常规做法是引入这个包名。

不过我们仔细观察下,发现这个包就干了一件事。

导入了 SignedBytes.MAX_POWER_OF_TWO; 常量。

光吃饭,不干活,那就别怪我们不客气了,问问谷哥。

哥说了

public static final byte MAX_POWER_OF_TWO = 1 << 6;

掐指一算,这不就是 0x40 嘛 ,毫不犹豫删掉这个包,然后把 b的赋值直接改成 0x40

重新编译

javac ModifiedBase64.java

ModifiedBase64.java:41: 错误: 无法访问的语句
        while (true) {
        ^
1 个错误

还有错, 这不科学呀。

仔细看看这个 pf 函数 ,确实不科学

public static void m23208pf() throws Exception {
    int i = 0;
    int i2 = 0;
    while (true) {
        byte[] bArr = aaf;
        if (i2 <= bArr.length - 1) {
            bArr[i2] = -1;
            i2++;
        }
        }

    while (true) {
        char[] cArr = aae;
        if (i <= cArr.length - 1) {
            aaf[cArr[i]] = (byte) i;
            i++;
        } else {
            return;
        }
    }
}

第一个while成死循环了,根本不会往下跑。

应该是jadx不乖了, 结合下 jeb的翻译结果,我们给他加上个退出机制

public static void m23208pf() throws Exception {
    int i = 0;
    int i2 = 0;
    while (true) {
        byte[] bArr = aaf;
        if (i2 <= bArr.length - 1) {
            bArr[i2] = -1;
            i2++;
                }else{
                break;
             }
    }

    while (true) {
        char[] cArr = aae;
        if (i <= cArr.length - 1) {
            aaf[cArr[i]] = (byte) i;
            i++;
        } else {
            return;
        }
    }
}

完美,这下编译成功,跑一下

javac ModifiedBase64.java 
java ModifiedBase64
6a891a530cd69899

可以解密出来了。

打包jar

这还没完,我们总不能每次都去改代码,最好可以传个参数进去调用。

先改改代码

public static void main(String[] args) throws Exception{
    ModifiedBase64 zObj = new ModifiedBase64();
    String strIn = args[0];        
    String strOut = new String(zObj.m23209eC(strIn));
    System.out.println(strOut);

}

密文不再写死,而是传参进去。

// 编译
javac ModifiedBase64.java
// 打包jar
jar cvfe ModifiedBase64.jar ModifiedBase64 ModifiedBase64.class

打包要注意两点:

1、 e参数,来指定Main类

2、 打包文件是编译之后的 .class 而不是 .java

成功之后生成 ModifiedBase64.jar ,就可以命令行调用了

java -jar ModifiedBase64.jar DwO4EJPrDJCmY2G2EJq5EG==
6a891a530cd69899

完美收工。

三、总结

要练就火眼金睛,hook是不会骗人的,参数没变,算法没变,只是多套了一层做了加密而已。

手工编译java和打包,了解原理即可,简单的算法这么搞,复杂一点的还是上 IDEA吧。

年轻人,学点java吧。

手把手教你从Apk中取出算法

人们曾经不只是为了某个具体的目的去研究一个个具体的问题,而是追求深层次的真理,又怎样由此而造出美好的世界,这就是创造。

TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全,最新技术干货实时推送

点赞
收藏
评论区
推荐文章
小程序逆向分析 (一)
一、目标李老板:奋飞呀,最近耍小程序的比较多,而且貌似js好耍一点?要不咱们也试试?奋飞:你是老板,你说了算喽。第一次搞小程序,得找个软柿子捏,就找个以前分析过的某段子App的小程序吧。反编译静态分析动态调试二、步骤春天在哪里?app下载回来就是apk包,那么小程序在哪里?小程序是一个以wxapkg为后缀的文件,在android手机的/da
不能Hook的人生不值得 jsHook和模拟执行
一、目标李老板:奋飞呀,上次分析的那个App光能Debug还不够呀,网页中的js也用不了Frida,我还想Hook它的函数,咋搞呀?再有App可以RPC去执行签名,这个js我如何去利用呀?总不能代码都改成js去做请求吧?奋飞:老板呀,你一下提这么多要求,不是明摆着要我们加班吗?这次加班费可得加倍。二、步骤最简单易行的jsHookcon
某电商App sign签名算法解析(五)
一、目标李老板:奋飞呀,据说某电商App升级了,搞出了一个64位的sign。更牛的是入参都加密了!奋飞:这么拉风,拉出来咱们盘盘。v10.3.2二、步骤32位和64位我们掌握了那么多方法,先搜字符串呢?还是先Hook呢?子曾经曰过:看到32位签名就要想起MD5和HmacSHA1,看到64位签名就要想起HmacSHA256。那就先搞搞java的密码学相关
某神奇App data加密算法解析(一)
一、目标李老板:奋飞呀,我遇到一个超级牛掰的App,它请求的时候有个data参数加密,用尽了你介绍的所有的方法,都找不到它是如何加密的。奋飞:子曾经曰过,老板的嘴,骗人的鬼。有这么牛掰的App,那么我们这帮兄弟早就失业了。某神奇Appv10.1.0点社区随便打开一篇有评论的文章今天的目标就是这个data二、步骤搜索特征字符串目标是data,所以我
某NFT交易平台App wtoken分析
一、目标李老板:奋飞呀,啥叫NFT?奋飞:老板,你已经老了,子曾经曰过,我出生时已经有的科技都是陈旧老土不值一提的;在我1030岁之间诞生的科技都是无法复制的经典;在我30岁之后诞生的科技都是愚蠢肤浅,幼稚可笑的。所以nft不适合你。这App不愧是流行科技,升级太快了,目前的版本是1.1.5我们今天的目标是他wtoken:二、步骤FRIDADEXD
在Frida里面做http请求: 聊聊jar to dex
一、目标李老板:奋飞呀,你hook这个App之后拿到token,然后上报给我的服务器好不好?奋飞:木问题。二、步骤gumjshttp在frida里面做http请求,最根正苗红的必须是gumjshttp,大胡子出品,有保障可惜的是我没有搞明白,李老板催的紧,木有时间去慢慢研究了。先搞个Server测试子曾经曰过:人生苦短,快用Python。不过
某小说App返回数据 解密分析
一、目标李老板:奋飞呀,最近被隔离在小区里,没啥可干的呀。奋飞:看小说呀,量大管饱。我们今天的目标就是某小说Appv20210953二、步骤搜索url字符串App请求小说内容的时候没有加签名,但是返回的数据是加密的。那么我们先去jadx搜索一下这个url(novelcontent),看看有没有发现。结果是没有收获。那么很有可能这个url不是在apk中写
某音乐App 抓包和signature签名分析
一、目标李老板:奋飞呀,最近我想下个歌,现在听歌软件都这么顽固了,包都抓不到?奋飞:抓不到包的原因太多了,咱们得用排除法分析下。某音乐App10.8.4二、步骤排查协议李老板也跟我们混了这么多期,所以基本排除抓包环境的问题。那么另一个可能就是像某手使用的quic协议或者某鱼使用的spdy协议了。上jadx搜一下"quic",如果搜不到还可
Easter79 Easter79
3年前
Twitter的分布式自增ID算法snowflake (Java版)
概述分布式系统中,有一些需要使用全局唯一ID的场景,这种时候为了防止ID冲突可以使用36位的UUID,但是UUID有一些缺点,首先他相对比较长,另外UUID一般是无序的。有些时候我们希望能使用一种简单一些的ID,并且希望ID能够按照时间有序生成。而twitter的snowflake解决了这种需求,最初Twitter把存储系统从MySQL迁移
Stella981 Stella981
3年前
Android蓝牙连接汽车OBD设备
//设备连接public class BluetoothConnect implements Runnable {    private static final UUID CONNECT_UUID  UUID.fromString("0000110100001000800000805F9B34FB");
公众号:  奋飞安全
公众号: 奋飞安全
Lv1
奋飞,国家高级信息系统项目管理师,独立安全研究员。 http://91fans.com.cn/
文章
60
粉丝
4
获赞
44