本文主要是介绍猿人学2022安卓逆向对抗比赛第一题分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
整体的笔记为自己分析的流程,大佬勿喷
第一步 准备工具
- charles 抓包工具
- pixelxl 真机
- jadx
- 本机安装 python 和 frida
第二步 安装app 查壳 和 抓包
通过 GDA 可以 了解到 app 没有任何的壳
防止app 有可能不走代理,所以通过 charles + postern 进行 sock转发
通过 注册后 进入 第一题
** 计算1~100页所有数字之和**
Charles 中 可以看到 post 请求 有三个参数 ,请求的结果为 每页需要计算的数字
第一个是 page 页数 很明显
第二个是 sign 值 为加密流程
第三个 是 t 可以通过 上面的time 请求 了解到是时间戳
那么整体就是分析sign值 是如何产生的 ,是否和page页数和t时间戳相关
通过jdax 寻找 post 数据 发送点,找到sign 生成的地方
打开jadx 拖app包进入,发现内容是被混淆过的,
尝试通过post 发送的 参数的 关键词 进行定位,选择sign 关键词进行搜索。
发现匹配到的数据太多,更换思路,通过发包的url 中的 /app1 路径 进行搜索
发现 精准匹配到一处,直接双击进入,查看
发现匹配正确,然后通过右键查找用例去查找调用这个接口的地方
匹配到三个 发现前面两个是一样的,直接随便点击进入一个
可以简单名了的看到,页数 和 时间戳的定义的地方,并且在 return 的地方可以看到 sign 的函数 ,点击进入sign 瞅一眼
进入com.yuanrenxue.match2022.security.Sign 类中 可以看到整体就是加密库
那么可以直接 hook sign 方法 看看
frida 代码如下
function main(){console.log("Hooking.......")Java.perform(function(){var sign = Java.use("com.yuanrenxue.match2022.security.Sign");sign.sign.implementation = function(arg){console.log("sign_arg=>",(arg));var result = this.sign(arg);console.log("sign=>",result)return result;}});
}setImmediate(main);
抓包的数据
hook的数据
可以看到sign 值是可以对应到的。但是获取到传入sign方法的数据的为啥是对象数据嘞。。。
看了一下sign方法,哦,原来传入的数据是 byte 数据 ,那就 搜索一下 js 字节集转字符串的代码
代码如下
function stringToByte(str) {var bytes = new Array();var len, c;len = str.length;for(var i = 0; i < len; i++) {c = str.charCodeAt(i);if(c >= 0x010000 && c <= 0x10FFFF) {bytes.push(((c >> 18) & 0x07) | 0xF0);bytes.push(((c >> 12) & 0x3F) | 0x80);bytes.push(((c >> 6) & 0x3F) | 0x80);bytes.push((c & 0x3F) | 0x80);} else if(c >= 0x000800 && c <= 0x00FFFF) {bytes.push(((c >> 12) & 0x0F) | 0xE0);bytes.push(((c >> 6) & 0x3F) | 0x80);bytes.push((c & 0x3F) | 0x80);} else if(c >= 0x000080 && c <= 0x0007FF) {bytes.push(((c >> 6) & 0x1F) | 0xC0);bytes.push((c & 0x3F) | 0x80);} else {bytes.push(c & 0xFF);}}return bytes;}//字节集转字符串function byteToString(arr) {if(typeof arr === 'string') {return arr;}var str = '',_arr = arr;for(var i = 0; i < _arr.length; i++) {var one = _arr[i].toString(2),v = one.match(/^1+?(?=0)/);if(v && one.length == 8) {var bytesLength = v[0].length;var store = _arr[i].toString(2).slice(7 - bytesLength);for(var st = 1; st < bytesLength; st++) {store += _arr[st + i].toString(2).slice(2);}str += String.fromCharCode(parseInt(store, 2));i += bytesLength - 1;} else {str += String.fromCharCode(_arr[i]);}}return str;
}
所以重新修改一下hook的代码,如下:
function main(){console.log("Hooking.......")Java.perform(function(){var sign = Java.use("com.yuanrenxue.match2022.security.Sign");sign.sign.implementation = function(arg){console.log("sign_arg=>",byteToString(arg));var result = this.sign(arg);console.log("sign=>",result)return result;}});
}setImmediate(main);
hook到的传入数据就可以正常显示了
对应到抓包的数据可以看出,sign 的值的数据 是通过 page的标识和值+t的值 然后通过sign()方法进行计算的出来的
进行主动调用
知道sign值的传入值 ,我们可以手动赋值,那么就可以进行hook 主动调用
代码如下
function invokeSign(){Java.choose("com.yuanrenxue.match2022.security.Sign",{onMatch:function(ins){console.log("ins=>",ins);ins.sign(stringToByte("page=51657210487"));},onComplete(){}});
}hook获取的效果如下,和上面的 获取的sign值一样
如何进行1~100页的调用?
如何 一次性自动化的 获取到 1~100页的 sign值 ,并且进行100次的请求,然后获取到 response 中 返回的数据 进行sum 计算?
抽了一根烟,想了一下,既然都用主动调用了,那么就直接frida rpc 通过python 请求一下就行
搞了半天,最终成了!!!
附上代码
import time
import frida
import requests
from requests.packages import urllib3
urllib3.disable_warnings()def my_message_handler(message, payload):print("message=>",message)print("payloa=>d",payload)# connect wifiadb
device = frida.get_device_manager().add_remote_device("192.168.0.102:8888")
print('设备=>',device)
session = device.attach("com.yuanrenxue.match2022")
print('session=>',session)
#load script
with open("app1.js") as f:script = session.create_script(f.read())
script.on("message", my_message_handler)
script.load()# script.exports.invokesign('page=121657216931')
def get_url():num = 0for i in range(1,101):url = 'https://appmatch.yuanrenxue.com/app1'headers = {'accept-language': 'zh-CN,zh;q=0.8','user-agent': 'Mozilla/5.0 (Linux; U; Android 8.1.0; zh-cn; Pixel XL Build/OPM1.171019.011) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30','content-type': 'application/x-www-form-urlencoded','accept-encoding': 'gzip','cache-control': 'no-cache'}data = {'page':str(i),'t': str(int(time.time()))}data['sign'] = script.exports.invokesign('page='+data['page']+data['t'])print(data)response = requests.post(url,headers=headers,data=data,verify=False)print(response.json())value_data = response.json()for value in value_data['data']:num += int(value['value'])print(num)time.sleep(1)# print(num)
if __name__ == '__main__':get_url()总结
在这里 学习了使用frida rpc 进行主动调用 然后进行 获取sign 值 在通过python 进行 post请求
还有需要注意的是 ,需要进行一次 sign 的实例化才可以进行调用,不然会报错!
自己其实是一个初学者,对frida其实并不了解多少,rpc是第一次使用,发现这个功能很nice,省去扣加密算法流程
针对一些app的算法,如果混淆厉害的话,后续可以直接使用这个,不需要硬刚算法了。很棒!
这篇关于猿人学2022安卓逆向对抗比赛第一题分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
