某小说App返回数据 解密分析

公众号: 奋飞安全
• 阅读 597

一、目标

李老板:奋飞呀,最近被隔离在小区里,没啥可干的呀。

奋飞:看小说呀,量大管饱。

我们今天的目标就是某小说App v2021_09_53

二、步骤

搜索url字符串

App请求小说内容的时候没有加签名,但是返回的数据是加密的。

某小说App返回数据 解密分析

那么我们先去jadx搜索一下这个url(novel-content),看看有没有发现。

结果是没有收获。

那么很有可能这个url不是在apk中写死的,而是某个请求返回的。

Charles可以搜索数据包,我们从返回包里面找到了这个url。

某小说App返回数据 解密分析

那就好办了,看看是哪块代码去解析了这个 content_url ,我们在jadx中搜索

"content_url"

这次倒是有收获,但是看不出来这个变量再哪里用了。

插播一个屏蔽登录

只能再想想别的办法了,办法还没想出来,又遇到了新的问题。

第二次启动app的时候,就不让我看书了。一定要我登录,一怒之下登录了,居然还不让我看。还要买VIP。

这下忍不了了,我不过是想写个分析教程,何必这么为难我。

先从提示入手, 搜索 "登录" 来到这里

某小说App返回数据 解密分析

理论上说干掉这两个函数应该就可以了,写代码

    var CacheUtilsCls =  Java.use('com.xxoo.net.net.CacheUtils');

    CacheUtilsCls.isVip.implementation = function(){

            return true;

    };


    CacheUtilsCls.isLogin.implementation = function(){

            return true;

    };

作者这个类名起的好风趣呀,我都不忍心打码了。

过滤url

既然知道请求小说内容的url了,我在url这里做一次过滤,应该就可以定位了吧

    var URL = Java.use('java.net.URL');

    URL.openConnection.overload().implementation = function() {

        var retval = this.openConnection();

        console.log('URL openConnection' + retval);


        return retval;

    };


    var OkHttpClient = Java.use("okhttp3.OkHttpClient");


    OkHttpClient.newCall.implementation = function (request) {

        var result = this.newCall(request);

        console.log(request.toString());

        var stack = threadinstance.currentThread().getStackTrace();

        console.log("http >>> Full call stack:" + Where(stack));

        return result;

    };

url和返回数据我都hook了。木有逮住。

大海捞针大法

下面就试试咱们老用的字符串匹配大法了。不管你怎么玩,解密之后的数据大概率是要赋值给字符串的。我们先把字符串赋值来捞一遍。

    var strCls = Java.use("java.lang.StringBuilder");

    strCls.toString.implementation = function(){

        var result = this.toString();

        console.log(result.toString());

        return result;

    }

这次就比较幸运了,我们不仅捞到了明文,还捞到了重要提示

某小说App返回数据 解密分析

大海告诉我们,大概率是AES CBC算法做的解密。

字符串匹配定位

有了重要提示,我们就依据这个提示来定位

    var strCls = Java.use("java.lang.StringBuilder");

    strCls.toString.implementation = function(){

        var result = this.toString();

        // console.log(result.toString());

        if(result.toString().indexOf("AES/CBC/PKCS5Padding") >= 0 )

        {

            console.log(result.toString());

            var stack = threadinstance.currentThread().getStackTrace();

            console.log("Rc Full call stack:" + Where(stack));

        }

        return result;

    }

跑一下,漂亮的堆栈就出来

漂亮的堆栈会说话

某小说App返回数据 解密分析

这个堆栈告诉我们,重点怀疑对象是 NativeBds.dae1

,从名字和外形上看,它大概率是个Native函数。

但是后面的堆栈告诉我们一个好消息,虽然运算过程在Native里面,但是它居然回调了javax.crypto来做加解密,也太敷衍老板了,这在我司是要被扣工资的。

先不管了,终于找到你了,hook之

    var  DecodeCls = Java.use('com.baidu.searchbox.NativeBds');

    DecodeCls.dae1.implementation = function(a,b){

        var rc = this.dae1(a,b);


        var StrCls = Java.use('java.lang.String');

        var inStr = StrCls.$new(rc);

        console.log(inStr);

        return rc;

    }

跑一下,没问题,明文出来了,收工,下雨了,没法上鲜啤了。

三、总结

不要嫌打印的数据太多,大海捞针也是考验你火眼金睛的时候。

对常见加解密算法要敏感,要成为条件反射。看到iv就要想到aes,看到32位就要想到md5,看到64位就要怀疑sha256。看到太阳就要想到鲜啤,看到飞哥的文章就要想到转发

某小说App返回数据 解密分析

新一代的财富都是通过代码或者媒体创造的 --- 纳瓦尔

TIPS:

本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全,最新技术干货实时推送

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
小程序逆向分析 (一)
一、目标李老板:奋飞呀,最近耍小程序的比较多,而且貌似js好耍一点?要不咱们也试试?奋飞:你是老板,你说了算喽。第一次搞小程序,得找个软柿子捏,就找个以前分析过的某段子App的小程序吧。反编译静态分析动态调试二、步骤春天在哪里?app下载回来就是apk包,那么小程序在哪里?小程序是一个以wxapkg为后缀的文件,在android手机的/da
某电商App 返回数据加密解密分析(四)
一、目标最近在抓包某电商App的时候发现一个加密数据,它在做通讯地址请求的时候,请求数据做了加密。返回数据中的地址信息也是密文。今天我们的目标就是这个数据的加密解密。App版本:v10.3.0二、步骤分析一下1、数据的结尾是"",说明是Base64编码,那么我们可以尝试去HookBase64相关函数,然后打印堆栈。2、返回数据格式是json,那么我
某神奇App data加密算法解析(一)
一、目标李老板:奋飞呀,我遇到一个超级牛掰的App,它请求的时候有个data参数加密,用尽了你介绍的所有的方法,都找不到它是如何加密的。奋飞:子曾经曰过,老板的嘴,骗人的鬼。有这么牛掰的App,那么我们这帮兄弟早就失业了。某神奇Appv10.1.0点社区随便打开一篇有评论的文章今天的目标就是这个data二、步骤搜索特征字符串目标是data,所以我
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
待兔 待兔
5个月前
手写Java HashMap源码
HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程HashMap的使用教程22
Jacquelyn38 Jacquelyn38
3年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
小程序逆向分析 (二) 跑起来
一、目标李老板:奋飞呀,光Debug一下没啥意思,有没有可能把这个反编译出来的小程序跑起来?还是说反编译的代码有缺漏,不好使?奋飞:一城一策,具体App具体分析,具体到这个App还是可以玩的。二、步骤先跑一下我们先跑一下上篇教程反编译出来的代码。很可惜,白屏,木有我们期待的内容。不过还好有提示:登录失败搜索一下:/Users/fenfei/Downl
手把手教你从Apk中取出算法
一、目标李老板:奋飞呀,我最近从Apk里面跟踪到一个算法,代码清晰,但是我不会java,把他翻译成python貌似挺费劲的,有没有轻松省力的方法呀?奋飞:有的呀,给我加工资,我来翻译。某电商Appv10.4.5,升级之后老有小伙伴说他的sign算法变了,其实他就是做了点小动作。sign参数没有动,uuid是明文去做签名,但是抓包请求里面找不到明文uu
Python进阶者 Python进阶者
11个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这
公众号:  奋飞安全
公众号: 奋飞安全
Lv1
奋飞,国家高级信息系统项目管理师,独立安全研究员。 http://91fans.com.cn/
文章
60
粉丝
4
获赞
44