某神奇App data加密算法解析(一)

公众号: 奋飞安全
• 阅读 1208

一、目标

李老板:奋飞呀,我遇到一个超级牛掰的App,它请求的时候有个data参数加密,用尽了你介绍的所有的方法,都找不到它是如何加密的。

奋飞:子曾经曰过,老板的嘴,骗人的鬼。有这么牛掰的App,那么我们这帮兄弟早就失业了。

某神奇App v10.1.0

点 社区-> 随便打开一篇有评论的文章

某神奇App data加密算法解析(一)

今天的目标就是这个 data

二、步骤

搜索特征字符串

目标是data,所以我们第一个搜索 "data"

一共有130多个结果,开始一个一个点开分析了,逆向木有那么酷,有很大一部分是苦力活

比如这种 baidumeizutencentgoogle 开头的类,大概率是第三方sdk用的。可以排除掉。

命中的原则就是, "data" 和 "timestamp" 在一起。

遗憾的是木有找到,也许是结果太多,眼花了,看漏了吧。

不死心,我们再尝试搜一下 "timestamp" 只要它和 "data"在一起,也算命中。

这次只有40个结果,一个一个认真的找过去,还是没找到。这下死心了,说明特征串搜索失败。

Hook Base64

这个data数据看上去超级像Base64,所以我们第一步是Hook Base64

var Base64Class = Java.use("android.util.Base64");
Base64Class.encodeToString.overload("[B", "int").implementation = function(a,b){
    var rc =  this.encodeToString(a,b);        
    console.log(">>> Base64 " + rc);
    return rc;
}

frida跑起来,spawn 启动不了,要么说没有这个包名,用app名称也提示找不到。

算了,attach倒是成功了。

不过在意料之中,木有任何输出,李老板毕竟也和我们混了这么多期,肯定他也是试过Hook Base64的。

Hook java.lang.StringBuilder 字符串定位

在java层组装字符串,大概率是逃不过StringBuilder,我们观察一下data数据的特征。

他们没有一样的开头,但是他们有一样的身体,字符串里面都含有 +

var strCls = Java.use("java.lang.StringBuilder");
strCls.toString.implementation = function(){
    var result = this.toString();

    if(result.toString().indexOf("+") >= 0
        && result.toString().length > 150)
    {
        console.log(" >>> string " +result.toString());

        // var stack = threadinstance.currentThread().getStackTrace();
        // console.log("Rc Full call stack:" + Where(stack));

    }
    return result;
}

我们要匹配 + 并且字符串长度大于 150,我掰指头数了,data数据的长度大概是190多。

frida跑起来,Attach上,依然没有任何输出,有点不对劲,我们把 hook StringBuilder的所有输出打印下,结果还是没有任何输出。

可能Attach模式有问题,必须得 spawn 模式了。

Xcube

被我们冷落了许久的Xcube可以派上用场了,Xcube可以不使用 frida spawn模式启动,但提供spawn模式一样的效果,具体使用方法参见 http://91fans.com.cn/post/antifridaoper/

配置好xcube.yaml 跑起来。

见鬼了,李老板这次没说错,居然还是没有任何输出。Xcube也不好使了。

换手机

真的,很多时候网友问我,为啥我 hook不上,为啥我启动不了,为啥我抓不了包。

这个真是玄学,换个手机也许就好了。

我手头有好几个测试机,分别装了不同的抓包软件,不同版本的Android系统。

终于在一台 google pixel 2xl 上 成功的用 frida spawn模式启动 了app,并且打印出了字符串信息。

当然打出了一堆base64数据,但是没有我们想要的数据。

hook_libart

java层hook不到数据,那么我们就去Native层

if (addrGetStringUTFChars != null) {
    Interceptor.attach(addrGetStringUTFChars, {
        onEnter: function (args) {},
        onLeave: function (retval) {
            if (retval != null) {
                var string = Memory.readCString(retval);
                if(string != null) {
                   if(string.toString().indexOf("+") >= 0
                       && string.toString().length > 150)                    
                    {
                        console.log("[GetStringUTFChars] result:" + string);
                    }
                }

            }
        }
    });
}

if (addrNewStringUTF != null) {
    Interceptor.attach(addrNewStringUTF, {
        onEnter: function (args) {
            if (args[1] != null) {
                var string = Memory.readCString(args[1]);
                if(string != null) {
                   if(string.toString().indexOf("+") >= 0
                      && string.toString().length > 150)
                    {
                        console.log("[NewStringUTF] bytes:" + string);
                    }
                }
            }
        },
        onLeave: function (retval) {}
    });
}

再跑一下,依然没有我们想要的数据。

小小的总结一下

App中的字符串,要么出现在java层,要么出现在Native层。我们都Hook上了,居然还是没有找到。

只剩下一种可能了,这个字符串木有在App中被处理

比如说,App中嵌入了一个浏览器,运行了一个H5页面,页面中js去做的加密和http请求.....

这样的话,我们就hook不到了。

调试网页中的js

从抓包结果里面我们找到了文章的Get请求

https://ccgateway.paas.xxxchina.com/ccgateway/statics/paas-content/ArticleDetail.html?curID=f6be7358-f906-4087-b387-69cc17a9ebf8

然后可以直接用Chrome打开,

某神奇App data加密算法解析(一)

刷新一下,就找到了我们心心念念的 data

还是被李老板骗了,网页js做的加密,你App里能找到就见鬼了。

既然确定这个 comments-and-reply-encrypt 请求是js发出的,就好办了,

搜索一下,发现它来自于 ArticleDetail.js

某神奇App data加密算法解析(一)

双击 搜索到的结果,在 Network 窗口定位这个 js, 然后右键 Open in Sources panel 进入到源码窗口。

某神奇App data加密算法解析(一)

源码有点乱,我们点 {} 图标格式化一下。

然后在ArticleDetail.js源码中搜索 comments-and-reply-encrypt

定位到了 getCommentEncrypt

继续搜索 getCommentEncrypt ,定位到了一个加密函数 encryptSm4ECB

这么牛掰的名字,大概率是我们心爱的 data 加密了。

某神奇App data加密算法解析(一)

函数还是很清晰的,返回了 data和timestamp。

给它下个断点,然后重新刷新一下页面。 成功触发了断点。

搞定,收工。

三、总结

字符串一定是有迹可循,apk中不出现,运行时也一定会出现。

现在开发App的手段多种多样,传统手艺也不能丢,这个样本就是鼓捣了半天,万万没想到就是个网页。

某神奇App data加密算法解析(一)

排除所有不可能的因素之后,无论剩下的多么难以置信,那就是真相。

TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全,最新技术干货实时推送

点赞
收藏
评论区
推荐文章
小程序逆向分析 (一)
一、目标李老板:奋飞呀,最近耍小程序的比较多,而且貌似js好耍一点?要不咱们也试试?奋飞:你是老板,你说了算喽。第一次搞小程序,得找个软柿子捏,就找个以前分析过的某段子App的小程序吧。反编译静态分析动态调试二、步骤春天在哪里?app下载回来就是apk包,那么小程序在哪里?小程序是一个以wxapkg为后缀的文件,在android手机的/da
某A系电商App doCommandNative浅析
一、目标李老板:奋飞呀,xsign你都水了好几篇了,一直在Apk里面打转,咱们啥时候分析分析它的so?奋飞:循序渐进嘛,我们上次刚定位了它的so,今天我们来分析分析。App版本:v4.15.1二、步骤Native层的入口先回忆下这个堆栈这个jni函数有两个参数,第一个参数是int型,第二个参数是Object数组我们先上frida看看它是不是我们的目
不能Hook的人生不值得 jsHook和模拟执行
一、目标李老板:奋飞呀,上次分析的那个App光能Debug还不够呀,网页中的js也用不了Frida,我还想Hook它的函数,咋搞呀?再有App可以RPC去执行签名,这个js我如何去利用呀?总不能代码都改成js去做请求吧?奋飞:老板呀,你一下提这么多要求,不是明摆着要我们加班吗?这次加班费可得加倍。二、步骤最简单易行的jsHookcon
某电商App sign签名算法解析(五)
一、目标李老板:奋飞呀,据说某电商App升级了,搞出了一个64位的sign。更牛的是入参都加密了!奋飞:这么拉风,拉出来咱们盘盘。v10.3.2二、步骤32位和64位我们掌握了那么多方法,先搜字符串呢?还是先Hook呢?子曾经曰过:看到32位签名就要想起MD5和HmacSHA1,看到64位签名就要想起HmacSHA256。那就先搞搞java的密码学相关
某NFT交易平台App wtoken分析
一、目标李老板:奋飞呀,啥叫NFT?奋飞:老板,你已经老了,子曾经曰过,我出生时已经有的科技都是陈旧老土不值一提的;在我1030岁之间诞生的科技都是无法复制的经典;在我30岁之后诞生的科技都是愚蠢肤浅,幼稚可笑的。所以nft不适合你。这App不愧是流行科技,升级太快了,目前的版本是1.1.5我们今天的目标是他wtoken:二、步骤FRIDADEXD
手把手教你从Apk中取出算法
一、目标李老板:奋飞呀,我最近从Apk里面跟踪到一个算法,代码清晰,但是我不会java,把他翻译成python貌似挺费劲的,有没有轻松省力的方法呀?奋飞:有的呀,给我加工资,我来翻译。某电商Appv10.4.5,升级之后老有小伙伴说他的sign算法变了,其实他就是做了点小动作。sign参数没有动,uuid是明文去做签名,但是抓包请求里面找不到明文uu
在Frida里面做http请求: 聊聊jar to dex
一、目标李老板:奋飞呀,你hook这个App之后拿到token,然后上报给我的服务器好不好?奋飞:木问题。二、步骤gumjshttp在frida里面做http请求,最根正苗红的必须是gumjshttp,大胡子出品,有保障可惜的是我没有搞明白,李老板催的紧,木有时间去慢慢研究了。先搞个Server测试子曾经曰过:人生苦短,快用Python。不过
某小说App返回数据 解密分析
一、目标李老板:奋飞呀,最近被隔离在小区里,没啥可干的呀。奋飞:看小说呀,量大管饱。我们今天的目标就是某小说Appv20210953二、步骤搜索url字符串App请求小说内容的时候没有加签名,但是返回的数据是加密的。那么我们先去jadx搜索一下这个url(novelcontent),看看有没有发现。结果是没有收获。那么很有可能这个url不是在apk中写
某问答社区App x-zse-96签名分析
一、目标今天我们的目标是某问答社区App的 xzse961:main版本:v8.21.1二、步骤搜xzse96常规做法是jadx打开apk,然后搜索xzse96。神奇的是,居然没有结果,这就有点意思了,App给我们加戏了,把一些明显的字符串做了加密隐藏。观察共性观察一下,签名有两个共性1、都是 1.0 开头2、后面接着的很像Base64那就先从h
某音乐App 抓包和signature签名分析
一、目标李老板:奋飞呀,最近我想下个歌,现在听歌软件都这么顽固了,包都抓不到?奋飞:抓不到包的原因太多了,咱们得用排除法分析下。某音乐App10.8.4二、步骤排查协议李老板也跟我们混了这么多期,所以基本排除抓包环境的问题。那么另一个可能就是像某手使用的quic协议或者某鱼使用的spdy协议了。上jadx搜一下"quic",如果搜不到还可
公众号:  奋飞安全
公众号: 奋飞安全
Lv1
奋飞,国家高级信息系统项目管理师,独立安全研究员。 http://91fans.com.cn/
文章
59
粉丝
4
获赞
44