猿人学2022安卓逆向对抗比赛第四题分析

题目 grpc

说实话身为菜鸟的我，根本没有接触过这个东西，先不管三七二十一，抓个包先。

Charles 里面没有任何的请求数据，并且app也没有题目显示，嘶。。。恐怖如斯。

排错时间到，把postern 给关闭 ，然后重新打开app看看


惊奇的发现，题目出来了，那么就不是app的问题，是我的问题了，既然Charles抓不到包，那么就祭出 roysue 大佬的神器 r0capture

通过 r0capture 抓包

这不就抓到想要抓到的数据了嘛，不难看出

host 为 ： 180.76.60.244:9901
path 路径 为：/challenge.Challenge/SayHello
…0…c1b9ebd0d20d7cda 为提交的数据

有了路径了，那么就直接 jadx 打开 搜索 一下

额。。。。为空。。。为啥嘞？

grpc 的解释

对于上面的无法找到路径 ，所以赶紧去搜索一下grpc是个啥
百科的解释

gRPC，其实就是RPC框架的一种，前面带了一个g，代表是RPC中的大哥，龙头老大的意思，另外g也有global的意思，意思是全球化比较fashion，是一个高性能、开源和通用的 RPC 框架，基于ProtoBuf(Protocol Buffers) 序列化协议开发，且支持众多开发语言。面向服务端和移动端，基于 HTTP/2 设计，带来诸如双向流、流控、头部压缩、单 TCP 连接上的多复用请求等特。这些特性使得其在移动设备上表现更好，更省电和节省空间占用。

在 gRPC 里客户端应用可以像调用本地对象一样直接调用另一台不同的机器上服务端应用的方法，使得您能够更容易地创建分布式应用和服务。与许多 RPC 系统类似，gRPC 也是基于以下理念：定义一个服务，指定其能够被远程调用的方法（包含参数和返回类型）。在服务端实现这个接口，并运行一个 gRPC 服务器来处理客户端调用。在客户端拥有一个存根能够像服务端一样的方法。

哦，那么我是不是可以认为 这个路径其实是写在了 rpc里面了的 所以全局搜索搜索不到。

那么就换一个思路，直接jadx 找到 第四题的 代码出 之前 做了三题 其实已经知道，题目的代码 在

com.yuanrenxue.match2022.fragment.challenge
下面

然后随意浏览一下，看看有啥关键特征 之类的，最终在 最底部 发现了一个
native 函数

尝试hook 一下

hook native

代码如下

function main(){console.log("hooking.......")Java.perform(function(){var crypto = Java.use("com.yuanrenxue.match2022.fragment.challenge.ChallengeFourFragment");crypto.sign.overload('java.lang.String', 'long').implementation = function(arg1,arg2){console.log("args1=>",arg1);console.log("args2=>",arg2);var result = this.sign(arg1,arg2);console.log("result=>",result);return result;}});
}setImmediate(main);

然后在看看抓包的数据

hook 到的 sign 计算出来的值 是 98e260fc0dca5b4c

和 抓包到的数据一样 其他抓包的数据被 protocol buffer 序列化了 看不到

从hook的数据中，可以得出结论 请求包 有sign 参数，但是page 和 时间戳 是否都在数据包中，不得而知，需要一个个尝试，并且，自己没有学过grpc的代码。所以直接暂停 手上的工作。直接打开小破站，搜索 python grpc 开始学习一下。emmm 然后就选第一个看一下吧。

proto 生成 python 可执行文件

花了大半个小时 学习，了解了个大概意思。照葫芦画瓢尝试一下

首先 需要 安装 proto 的python 依赖库

pip install grpcio
pip install grpcio-tools

然后开始了创建 proto 文件

代码如下

syntax = "proto3";package challenge; service Challenge{rpc SayHello(YrxRequest) returns(YrxReply){}
}message YrxRequest{ int32 page = 1;int64 t = 2;string sign = 3;
}message YrxReply{repeated Item data = 1;
}message Item{optional string value = 1;
}

这里需要注意的是，请求包的格式 路径
/challenge.Challenge/SayHello
所以需要把package 包设置为 challenge
service 设置为Challenge
rpc 方法 设置为SayHello
一一呼应上

通过

python -m grpc_tools.protoc -I. --python_out=. --grpc_python_out=. yuanrenxue.proto

进行 python 文件的生成，会生成两个文件
yuanrenxue_pb2 和yuanrenxue_pb2_grpc

然后 里面的文件不需要去动，重新创建一个app4.py 文件
import 导入 这两个文件 在引入 grpc 包

然后 通过

with grpc.insecure_channel(“180.76.60.244:9901”) as channel
进行链接，为啥要用with ，因为with 可以自开合，可以主动断开连接。不需要自己在去设置关闭。很优雅！

然后把刚才hook的数据 加入到 data 里面进行测试
效果如下：

frida rpc 主动调用 + grpc

那么这个时候，就可以尝试 ，把两个结合

frida rpc 主要是为了 计算获取 sign值
然后把获取到的sign 值 丢给 grpc 然后进行请求

代码如下

import grpc
import time
import json
import frida
import requests
from google.protobuf import json_format
import yuanrenxue_pb2,yuanrenxue_pb2_grpcfrom requests.packages import urllib3urllib3.disable_warnings()def my_message_handler(message, payload):print("message=>",message)print("payloa=>d",payload)# connect wifiadb
device = frida.get_device_manager().add_remote_device("192.168.0.102:8888")
print('设备=>',device)session = device.attach("com.yuanrenxue.match2022")
print('session=>',session)# load script
with open("app4.js") as f:script = session.create_script(f.read())script.on("message", my_message_handler)
script.load()script.exports.invokesign("1:1657351990335",1657351990335)def get_grpc():num = 0for i in range(1,101):with grpc.insecure_channel("180.76.60.244:9901") as channel:stub = yuanrenxue_pb2_grpc.ChallengeStub(channel)data = yuanrenxue_pb2.YrxRequest()ts = int(time.time()*1000)data.page = idata.t = tsdata.sign = script.exports.invokesign(str(i)+':'+str(ts),ts)print("data=>",data)response = stub.SayHello(data)json_data = json.loads(json_format.MessageToJson(response))['data']print(json_data)for value in json_data:num += int(value['value'])print('num=>',num)if __name__ == "__main__":get_grpc()

最终得出计算值 10430686

总结

grpc 自己从来没有碰到过，自己的能力跟不上技术的发展了
算是照葫芦画瓢的，proto 的编写格式 就是看小破站的视频了解到的
还有 其实在写的时候，自己花了半个多小时在看运行报错信息，两个地方
一个是：请求路径 自己没写对，自己在GitHub上面看grpc的example例子 在修改，路径没有写对，最终看了 吾爱的 一个帖子，自己在对照着修修改改 才知道应该怎么弄
另外一个是，响应返回的数据，我一开始以为就是json数据，就直接通过json.loads 去执行，结果是异常的，最终了解到可以通过 protobuf 包中的 json_fomart 进行格式化后 在通过json.loads 加载，就加载成功，然后通过for遍历一下就可以拿到每页的数据。

说实话，这道题目，对我来讲就是一个非常超纲的题目，自己其实frida 都没怎么会写，就只会简单的java层的分析，算是宽阔了自己的眼界了吧。挺难得的。写文章也就10分钟，分析这道题目，毫不夸张的讲。。。我花了一个下午的时间才跑通代码。挺有收获的！