某站App签名算法解析(一)

公众号: 奋飞安全
• 阅读 1918

一、目标

我们来分析某站 App的sign签名算法,先搜索一下 游戏 ,抓包结果:

某站App签名算法解析(一)

二、步骤

这个sign依然是32位的字符串

都9020年了,这种规模用户的App应该是不会裸奔在java层了,我们就直接一点,在so里面搜索 sign=

可惜没有结果……

藏起来的东西一定是重要的东西

so层导出函数给java层调用,有两种方法,一种是静态注册,直接会体现在so的导出表里。 一种是RegisterNatives来动态注册,这种就比较隐晦了,从导出表里看不到痕迹。

所以我们Hook下RegisterNatives,看看它藏了什么?

// hook register 打印动态注册的函数地址
function hook_register(){
    // libart.so 所有导出函数表
    var symbols = Module.enumerateSymbolsSync("libart.so");
    var addr_register = null;
    for(var i = 0; i < symbols.length; i++){
        var symbol = symbols[i];
        var method_name = symbol.name;
        if(method_name.indexOf("art") >= 0){

            if(method_name.indexOf("_ZN3art3JNI15RegisterNativesEP7_JNIEnvP7_jclassPK15JNINativeMethodi") >= 0){
                addr_register = symbol.address;
            }
        }
    }

    // 开始hook
    if(addr_register){
        Interceptor.attach(addr_register, {
            onEnter: function(args){
                var methods = ptr(args[2]);
                var method_count = args[3];
                console.log("[RegisterNatives] method_count:", method_count);
                for(var i = 0; i < method_count; i++){
                    var fn_ptr = methods.add(i * Process.pointerSize * 3 + Process.pointerSize * 2).readPointer();
                    var find_module = Process.findModuleByAddress(fn_ptr);
                    if(i == 0){
                        console.log("module name", find_module.name);
                        console.log("module base", find_module.base);
                    }
                    console.log("\t method_name:", methods.add(i * Process.pointerSize * 3).readPointer().readCString(), "method_sign:", methods.add(i * Process.pointerSize * 3 + Process.pointerSize).readPointer().readCString(), "method_fnPtr:", fn_ptr, "method offset:", fn_ptr.sub(find_module.base));
                }
            }, onLeave(retval){

            }
        })
    }

}

挂上我心爱的frida,跑起来……

这种函数命名可读性这么好,望文生义就知道不是做sign

[RegisterNatives] method_count: 0x6
module name libimagepipeline.so
module base 0x7c29c000
     method_name: nativeAllocate method_sign: (I)J method_fnPtr: 0x7c29cc6d method offset: 0xc6d
     method_name: nativeFree method_sign: (J)V method_fnPtr: 0x7c29ccb5 method offset: 0xcb5
     method_name: nativeCopyToByteArray method_sign: (J[BII)V method_fnPtr: 0x7c29ccbb method offset: 0xcbb
     method_name: nativeCopyFromByteArray method_sign: (J[BII)V method_fnPtr: 0x7c29ccd7 method offset: 0xcd7
     method_name: nativeMemcpy method_sign: (JJI)V method_fnPtr: 0x7c29ccf3 method offset: 0xcf3
     method_name: nativeReadByte method_sign: (J)B method_fnPtr: 0x7c29ccff method offset: 0xcff

这个 libbili.so 大兄弟看上去不像好人,都9020年了,函数命名个 a、b、s之类,这么明目张胆的写bug,在我司是要被李老板拉出去打PP的。

[RegisterNatives] method_count: 0x7
module name libbili.so
module base 0x88e2b000
     method_name: a method_sign: (Ljava/lang/String;)Ljava/lang/String; method_fnPtr: 0x88e2cc35 method offset: 0x1c35
     method_name: ao method_sign: (Ljava/lang/String;II)Ljava/lang/String; method_fnPtr: 0x88e2cc3b method offset: 0x1c3b
     method_name: b method_sign: (Ljava/lang/String;)Ljavax/crypto/spec/IvParameterSpec; method_fnPtr: 0x88e2cc49 method offset: 0x1c49
     method_name: s method_sign: (Ljava/util/SortedMap;)Lcom/bilibili/nativelibrary/SignedQuery; method_fnPtr: 0x88e2cc4f method offset: 0x1c4f
     method_name: so method_sign: (Ljava/util/SortedMap;II)Lcom/bilibili/nativelibrary/SignedQuery; method_fnPtr: 0x88e2cc55 method offset: 0x1c55
     method_name: getCpuCount method_sign: ()I method_fnPtr: 0x88e2cc63 method offset: 0x1c63
     method_name: getCpuId method_sign: ()I method_fnPtr: 0x88e2cc67 method offset: 0x1c67

既然不是好人,那就问询一下,Hook之:

var biliNative = Java.use("com.bilibili.nativelibrary.LibBili");

biliNative.a.implementation = function(a){
    var result = this.a(a);
    console.log("biliNative a(" + a + ") = " + result);
    return result;
}

biliNative.ao.implementation = function(a,b,c){
     var result = this.ao(a,b,c);
     console.log("biliNative ao(" + a + "," + b + "," + c + ") = " + result);
    return result;
}

biliNative.b.overload('java.lang.String').implementation = function(a){
    var result = this.b(a);
    console.log("biliNative b(" + a + ") = " + result);
    return result;
}

biliNative.s.implementation = function(map){
    var result = this.s(map);
    console.log("biliNative s(" + map + ") = " + result);
    return result;
}

biliNative.so.implementation = function(a,b,c){
     var result = this.so(a,b,c);
     console.log("biliNative so(" + a + "," + b + "," + c + ") = " + result);
    return result;
}

现形了,收工。

某站App签名算法解析(一)

慢着!李老板出场了,为什么老板总在下班的时候出现?上班的时候他们干什么去了?(。╯︵╰。)

奋飞呀,签名是出来的,但是入参呢?你总不能告诉我入参是个Object吧?

搞SortedMap入参

入参从之前打印的结果可以看出来,是个 Ljava/util/SortedMap;, 那就so easy了,把它打印出来即可。

半小时后…… 找了一圈google只告诉了我一个 HashMap 的打印方法,不管了,先打出来

biliNative.s.implementation = function(HashMap){
       var result = this.s(HashMap);

    var keys = HashMap.keySet();
    var key_set = keys.iterator();
    while (key_set.hasNext()) {
    var key = key_set.next().toString();
    var value = HashMap.get(key).toString();
    console.log(key + ": " + value);
    }

       console.log("biliNative s(" + HashMap + ") = " + result);
       return result;
}

继续跑,Duang.....

{'type': 'error', 'description': "TypeError: undefined not callable (property 'get' of [object Object])", 'stack': "TypeError: undefined not callable (property 'get' of [object Object])\n    at [anon] (../../../frida-gum/bindings/gumjs/duktape.c:67616)\n    at /script1.js:111\n    at je (frida/node_modules/frida-java-bridge/lib/class-factory.js:633)\n    at frida/node_modules/frida-java-bridge/lib/class-factory.js:616", 'fileName': '/script1.js', 'lineNumber': 111, 'columnNumber': 1}

貌似是说 SortedMap没有get()这个方法 ????

鲁迅先生曾经说过:年轻人不能偷懒,到处抄代码是不对的。

某站App签名算法解析(一)

先查查java文档,分析下 SortedMap 的成员函数,其实奋飞也是个优秀的java程序员。

  • java.util.SortedMap.comparator() //接收比较器,用于Map排序
  • java.util.SortedMap.entrySet() //后去Map中的entrySet集合
  • java.util.SortedMap.firstKey() //第一个key
  • java.util.SortedMap.headMap(K k) //在k之前的键值对
  • java.util.SortedMap.keySet() //获取key的set集合
  • java.util.SortedMap.lastKey() //最后的key
  • java.util.SortedMap.subMap(K k1, K k2) //k1,k2之间的键值对
  • java.util.SortedMap.tailMap(K) //集合最后的键值对
  • java.util.SortedMap.values() //集合所有的values

好吧,那就简单了,我们先把 key 遍历出来,然后在把 values() 打印出来。

哪位同学有更好的办法,请给奋飞留言.Orz

TIP: 网友:飞雪的日子,提供了一个更帅的方式 console.log(map.entrySet().toArray());

biliNative.s.implementation = function(map){
    var result = this.s(map);

    var keyStr = ""
    var keys = map.keySet();
    var key_set = keys.iterator();
    while (key_set.hasNext()) {
        var key = key_set.next().toString();
        keyStr += ","+key
    }

    console.log(keyStr)
    console.log(map.values().toArray());

    console.log("biliNative s(" + map + ") = " + result);
    return result;
}

嗯嗯,效果不错,打印出来了,收工

某站App签名算法解析(一)

三、总结

好东西要藏起来,逆向一下,藏起来的肯定是好东西(^_~)

╮(‵▽′)╭ 每天叫醒我的不是闹钟,而是知识星球新用户加入的消息铃声 ( ̄ˇ ̄)

TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全,最新技术干货实时推送

点赞
收藏
评论区
推荐文章
https://cloud.tencent.com/developer/article/write/1830331
一、目标今天的目标是这个sign和appcode二、步骤Jadx没法上了app加了某梆的企业版,Jadx表示无能为力了。FRIDADEXDumpDexDump出来,木有找到有效的信息。Wallbreaker葫芦娃的Wallbreaker可以做些带壳分析,不过这个样本,用Frida的Spawn模式可以载入,Attach模式会失败。而直接用Objecti
某A系电商App x-sign签名分析
一、目标前不久(我去,都大半年了)分析过我们找到了几个伪装成so的jar包。虽然rpc调用ok了,但是它的实际运算过程还是在so里面的。今天我们从它们同族的App来入手,利用Native层字符串定位的方式来定位下在哪个so中去做的运算。App版本:v4.15.1二、步骤特征字符串定位一开始选择的特征字符串是x,后来发现没有xsign好使In
某A系电商App doCommandNative浅析
一、目标李老板:奋飞呀,xsign你都水了好几篇了,一直在Apk里面打转,咱们啥时候分析分析它的so?奋飞:循序渐进嘛,我们上次刚定位了它的so,今天我们来分析分析。App版本:v4.15.1二、步骤Native层的入口先回忆下这个堆栈这个jni函数有两个参数,第一个参数是int型,第二个参数是Object数组我们先上frida看看它是不是我们的目
某汽车社区App 签名和加解密分析 (二) : Frida Dump so
一、目标App安全的主战场在Native层,分析Native层的so,最趁手的兵器就是Frida和Unidbg了。今天我们的目标是某汽车社区Appv8.0.1so的分析。二、步骤特征字符串定位我们在上一篇教程已经定位了,数据加密和解密函数再java层的位置。按照常理来说,这个java类文件中,应该有个System.loadLibrary("
某电商App sign签名算法解析(五)
一、目标李老板:奋飞呀,据说某电商App升级了,搞出了一个64位的sign。更牛的是入参都加密了!奋飞:这么拉风,拉出来咱们盘盘。v10.3.2二、步骤32位和64位我们掌握了那么多方法,先搜字符串呢?还是先Hook呢?子曾经曰过:看到32位签名就要想起MD5和HmacSHA1,看到64位签名就要想起HmacSHA256。那就先搞搞java的密码学相关
手把手教你从Apk中取出算法
一、目标李老板:奋飞呀,我最近从Apk里面跟踪到一个算法,代码清晰,但是我不会java,把他翻译成python貌似挺费劲的,有没有轻松省力的方法呀?奋飞:有的呀,给我加工资,我来翻译。某电商Appv10.4.5,升级之后老有小伙伴说他的sign算法变了,其实他就是做了点小动作。sign参数没有动,uuid是明文去做签名,但是抓包请求里面找不到明文uu
某内容电商App sign签名分析 复习下之前的技巧
一、目标现在内容电商,社交电商,直播电商等等概念多的眼花缭乱,终极目的就一条,卖货给你。正如我们分析他的sign签名一样,套路就一条,jadxfrida这个sign数了数,正好32位,难道是md5?二、步骤上jadx先搜索下"sign"记得带上引号。结果只有40多个,而且第二个开上去就有眼缘,点进去看看Stringam7166a(b
另一个生鲜App 抓包和mfsig签名分析(一)
一、目标市面上生鲜App一大堆,买菜也确实是高频次的刚需,这些生鲜App还都有一些有意思的共性:大都加壳了大都不好抓包今天我们分析的是某生鲜Appv9.9.59的mfsig签名。二、步骤上jadx看看这么少的包名和类名,基本可以断定是加壳了。那就先复习下BlackDex脱壳脱完壳的结果拖到PC上,赶紧jadx一下,搜一搜"mfsig"
某小说App返回数据 解密分析
一、目标李老板:奋飞呀,最近被隔离在小区里,没啥可干的呀。奋飞:看小说呀,量大管饱。我们今天的目标就是某小说Appv20210953二、步骤搜索url字符串App请求小说内容的时候没有加签名,但是返回的数据是加密的。那么我们先去jadx搜索一下这个url(novelcontent),看看有没有发现。结果是没有收获。那么很有可能这个url不是在apk中写
某问答社区App x-zse-96签名分析
一、目标今天我们的目标是某问答社区App的 xzse961:main版本:v8.21.1二、步骤搜xzse96常规做法是jadx打开apk,然后搜索xzse96。神奇的是,居然没有结果,这就有点意思了,App给我们加戏了,把一些明显的字符串做了加密隐藏。观察共性观察一下,签名有两个共性1、都是 1.0 开头2、后面接着的很像Base64那就先从h
公众号:  奋飞安全
公众号: 奋飞安全
Lv1
奋飞,国家高级信息系统项目管理师,独立安全研究员。 http://91fans.com.cn/
文章
60
粉丝
4
获赞
44