php模拟app下单,使用unidbg模拟某app协议

2023-11-29 23:10

本文主要是介绍php模拟app下单,使用unidbg模拟某app协议,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

摊手,缺cb,从博客搬点旧文,大伙看看图一乐就行,都是水文,只发布过于个人博客,算是原创吧(app版本已经更新,文中方法不适用,只是作为上手unidbg的入门case)

看了四哥的帖子,有点手痒,就来自己试一试分析下最右的协议

抓包与初步分析

5f607083f3224d4ba49ed91450fcb89c.png

可以看到在登录页面发送的请求中,有一个sign值,在post的字段中,有手机号,密码的md5值,以及设备的部分信息,具体情况马上继续分析,拖入jadx中,无壳无混淆(只能挑这种软柿子捏了),搜索sign,找到生成签名的java层函数

7070c340a46c034fb2f65fc95050601a.png

可以看到,sign主要来自于native层的generateSign函数,先不分析so,继续摸索摸索

e06fa517e9d51166c17d5527ec4c2d99.png

e9a04359eeb1085c8bda8d6a7db4faae.png

可以看出只是对密码进行了md5操作

16bff4cb49f586dd7a740a54429863e0.png

各个字段的具体含义也知道了,在分析过程中,只需要关心每次登陆过程中变化的值,先写段hook代码,将NetCrypto类的a函数的参数与运算结果hook出来,确认下结果

bce818d65a2454e050f7b711ccd73377.png

可以看到,在两次发送登陆请求包的过程中,主要的不同是h_ts字段,这个字段的值来源于currentTimeMillis,别的字段在登录过程中目前是不变的,经过验证,我们确定了这个函数就是签名生成的函数

public class RightHook implements IXposedHookLoadPackage{

public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {

XposedHelpers.findAndHookMethod(Application.class, "attach", Context.class, new XC_MethodHook()

{ @Override

protected void afterHookedMethod(XC_MethodHook.MethodHookParam param) throws Throwable {

ClassLoader cl = ((Context)param.args[0]).getClassLoader();

Class> hookclass = null;

try {

hookclass = cl.loadClass("cn.xiaochuankeji.netcrypto.NetCrypto");

}

catch (Exception e)

{

Log.e("123", "寻找报错", e);

return;

}

Log.i("123", "寻找成功");

XposedHelpers.findAndHookMethod(hookclass, "a",

String.class,

String.class,

new XC_MethodHook()

{ //进行hook操作

protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

super.beforeHookedMethod(param);

XposedBridge.log("xposed  str :" + param.args[0]);

XposedBridge.log("xposed  str2 :" + param.args[1]);

}

});

XposedHelpers.findAndHookMethod(hookclass, "a",

String.class,

String.class,

new XC_MethodHook() {

@Override

protected void afterHookedMethod(MethodHookParam param) throws Throwable {

super.afterHookedMethod(param);

XposedBridge.log("xposed getSign :"+param.getResult());

}

});

}

});

}

}

Hook代码也没什么好说的,主要就是这个app属于multiDex,需要先hook attach拿到上下文才能hook到目标函数,接下来就可以去so层分析函数了

分析so

将app解压并且取出里面的libnet-crypto.so并拖入ida分析,直接去看jniOnload函数

019506f888c76d18726c5c0ea6b298c3.png

没有看到registNative的参数,可以直接去汇编里观察下

b6e1ffd6481197cf26d1ea48ee6008a4.png

8d8c2e01961c86100261d39a0dc74be1.png

注册的generateSign函数地址为4976

8fe209ba6f031aebbc1413bcab155a16.png

初步把加密算法的核心部分定位在sub50,算法的具体分析可以看四哥的帖子,这里主要还是练手下unicorn

x右的库不仅仅注册了一个生成签名的算法,而且注册了一个native_init函数进行了初始化,在调用getsign算法前还是得先调用下初始化函数

package com.com.zuiyou;

import cn.banny.unidbg.LibraryResolver;

import cn.banny.unidbg.Module;

import cn.banny.unidbg.arm.ARMEmulator;

import cn.banny.unidbg.file.FileIO;

import cn.banny.unidbg.file.IOResolver

import cn.banny.unidbg.linux.android.AndroidARMEmulator;

import cn.banny.unidbg.linux.android.AndroidResolver;

import cn.banny.unidbg.linux.android.dvm.*;

import cn.banny.unidbg.memory.Memory;

import org.apache.log4j.Level;

import java.io.File;

public class Nmsl   extends AbstractJni implements IOResolver {

private static LibraryResolver createLibraryResolver() {

return new AndroidResolver(23);

}

@Override

public FileIO resolve(File workDir, String pathname, int oflags) {

return null;

}

private static ARMEmulator createARMEmulator() {

return new AndroidARMEmulator("com.zuiyou");

}

private static final String APK_PATH = "src/test/resources/app/zuiyou.apk";

private final ARMEmulator emulator;

private final VM vm;

private final Module module;

private final DvmClass Nmsl;

private Nmsl() throws IOException {

emulator = createARMEmulator();

emulator.getSyscallHandler().addIOResolver(this);

System.out.println("== init ===");

final Memory memory = emulator.getMemory();

memory.setLibraryResolver(createLibraryResolver());

memory.setCallInitFunction();

vm = emulator.createDalvikVM(new File(APK_PATH));

vm.setJni(this);

DalvikModule dm = vm.loadLibrary("net_crypto", false);

dm.callJNI_OnLoad(emulator);

module = dm.getModule();

Nmsl = vm.resolveClass("cn/xiaochuankeji/netcrypto/NetCrypto");

}

//析构函数

private void destroy() throws IOException {

emulator.close();

System.out.println("destroy");

}

//主函数

public static void main(String[] args) throws Exception {

Nmsl test = new Nmsl();

test.GetSign();

test.destroy();

}

private void GetSign() throws IOException {

//申请参数空间

String str="{\"size\":\"big\",\"version\":0,\"h_av\":\"4.1.6\",\"h_dt\":0,\"h_os\":22,\"h_app\":\"zuiyou\",\"h_model\":\"vivo v3\",\"h_did\":\"865166029899062_00:81:81\",\"h_nt\":1,\"h_m\":172480973,\"h_ch\":\"zuiyou\",\"h_ts\":1577500409477,\"token\":\"T2K2NvcwR06ehMlhs2CXF-xHH5Eks5Haq0WiU-KKv22mArxaNmXoWiycBZdigmZJE7h3k\"}";

//调用函数generateSign(Ljava/lang/String;)Ljava/lang/String;

Nmsl.callStaticJniMethod(emulator,"native_init()V");

Number ret =Nmsl.callStaticJniMethod(emulator,"generateSign([B)Ljava/lang/String;",

vm.addLocalObject(new ByteArray(str.getBytes())),23);

long hash = ret.intValue() & 0xffffffffL;

StringObject obj = vm.getObject(hash);

//vm.deleteLocalRefs();

System.out.println(obj.getValue());

}

}

最终结果

这篇关于php模拟app下单,使用unidbg模拟某app协议的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/434695

相关文章

postgresql使用UUID函数的方法

《postgresql使用UUID函数的方法》本文给大家介绍postgresql使用UUID函数的方法,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考下吧... 目录PostgreSQL有两种生成uuid的方法。可以先通过sql查看是否已安装扩展函数,和可以安装的扩展函数

如何使用Lombok进行spring 注入

《如何使用Lombok进行spring注入》本文介绍如何用Lombok简化Spring注入,推荐优先使用setter注入,通过注解自动生成getter/setter及构造器,减少冗余代码,提升开发效... Lombok为了开发环境简化代码,好处不用多说。spring 注入方式为2种,构造器注入和setter

MySQL中比较运算符的具体使用

《MySQL中比较运算符的具体使用》本文介绍了SQL中常用的符号类型和非符号类型运算符,符号类型运算符包括等于(=)、安全等于(=)、不等于(/!=)、大小比较(,=,,=)等,感兴趣的可以了解一下... 目录符号类型运算符1. 等于运算符=2. 安全等于运算符<=>3. 不等于运算符<>或!=4. 小于运

使用zip4j实现Java中的ZIP文件加密压缩的操作方法

《使用zip4j实现Java中的ZIP文件加密压缩的操作方法》本文介绍如何通过Maven集成zip4j1.3.2库创建带密码保护的ZIP文件,涵盖依赖配置、代码示例及加密原理,确保数据安全性,感兴趣的... 目录1. zip4j库介绍和版本1.1 zip4j库概述1.2 zip4j的版本演变1.3 zip4

Python 字典 (Dictionary)使用详解

《Python字典(Dictionary)使用详解》字典是python中最重要,最常用的数据结构之一,它提供了高效的键值对存储和查找能力,:本文主要介绍Python字典(Dictionary)... 目录字典1.基本特性2.创建字典3.访问元素4.修改字典5.删除元素6.字典遍历7.字典的高级特性默认字典

使用Python构建一个高效的日志处理系统

《使用Python构建一个高效的日志处理系统》这篇文章主要为大家详细讲解了如何使用Python开发一个专业的日志分析工具,能够自动化处理、分析和可视化各类日志文件,大幅提升运维效率,需要的可以了解下... 目录环境准备工具功能概述完整代码实现代码深度解析1. 类设计与初始化2. 日志解析核心逻辑3. 文件处

一文详解如何使用Java获取PDF页面信息

《一文详解如何使用Java获取PDF页面信息》了解PDF页面属性是我们在处理文档、内容提取、打印设置或页面重组等任务时不可或缺的一环,下面我们就来看看如何使用Java语言获取这些信息吧... 目录引言一、安装和引入PDF处理库引入依赖二、获取 PDF 页数三、获取页面尺寸(宽高)四、获取页面旋转角度五、判断

C++中assign函数的使用

《C++中assign函数的使用》在C++标准模板库中,std::list等容器都提供了assign成员函数,它比操作符更灵活,支持多种初始化方式,下面就来介绍一下assign的用法,具有一定的参考价... 目录​1.assign的基本功能​​语法​2. 具体用法示例​​​(1) 填充n个相同值​​(2)

Spring StateMachine实现状态机使用示例详解

《SpringStateMachine实现状态机使用示例详解》本文介绍SpringStateMachine实现状态机的步骤,包括依赖导入、枚举定义、状态转移规则配置、上下文管理及服务调用示例,重点解... 目录什么是状态机使用示例什么是状态机状态机是计算机科学中的​​核心建模工具​​,用于描述对象在其生命

使用Python删除Excel中的行列和单元格示例详解

《使用Python删除Excel中的行列和单元格示例详解》在处理Excel数据时,删除不需要的行、列或单元格是一项常见且必要的操作,本文将使用Python脚本实现对Excel表格的高效自动化处理,感兴... 目录开发环境准备使用 python 删除 Excphpel 表格中的行删除特定行删除空白行删除含指定