本文主要是介绍猿人学app安卓比赛第一题sign参数,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
一、抓包
1.这里使用的是charles,配置charles抓包
可以看到有三个参数:page、t、sign
2.猜想:sign是不是page和t某种组合方式之后的加密
3.加密方式:
- HmacMD5
- MD5 32位
- UUID
4.那么我们还原sign参数之后,去构建请求1-100页返回的数据只和即可过关
二、分析
1.使用jadx打开猿人学app,将apk拖到jadx即可,可以看到是混淆之后的,但是不要怕
2。根据接口的url,我们搜索 /app1,之后转到这个地方
转到之后是这样的,一看有page、有sign、有t,那就是这里了
然后进到OooO00o里
随便进一个
之后搜索sign,定位到了这
跳到这个sign的声明,右键sign-跳到声明,这里就是我们要找的地方
三、frida hook
找到sign的生成就要开始hook了,这里参考了猿人学-APP大赛-第一题-Frida初试、调用Java代码_猿人学app第一题_银古_1427的博客-CSDN博客
1.分析,参数主要是 sb 转 string 再转 bytes 传入的
2.启动frida,hook这个sign
import frida
import sysdef bytes2str(ascii_lst):'''bytes 列表转字符串'''string = ''.join(map(chr, ascii_lst))print(string)def on_message(message, data):if message["type"] == "send":print(f"send >>> {message['payload']}")bytes2str(message['payload'])else:print(f"log >>> {message}")test = '''
function main(){console.log("脚本加载成功");Java.perform(function() {var clazz = Java.use('com.yuanrenxue.match2022.security.Sign');clazz.sign.implementation = function() {console.log('进入函数内部');console.log("参数为:", arguments[0]);send(arguments[0]);console.log("结果为:",clazz.sign.apply(this, arguments));return clazz.sign.apply(this, arguments);}});
}
setImmediate(main)
'''
# 两种启动方式
# 第一种 启动方式(app已经启动起来)
process = frida.get_usb_device(-1).attach('猿人学2022') # 手机启动的进程名字(包名)
script = process.create_script(test) # js hook代码放进去
script.on('message', on_message) # 开始hook操作
script.load()
sys.stdin.read() # 一直挂在这里,python程序不要断掉# 第二种 spawn重启app,可以hook app启动阶段加载流程的application,正在加载阶段的一些,frida版本与手机不匹配可能会闪崩
# device = frida.get_usb_device(-1)
# # 通过spawn方式活得进程id,然后去重启这个app
# pid = device.spawn(['com.yuanrenxue.match2022.security']) # 手机启动的进程名字(包名)
# process = device.attach(pid)- 一直没有输出的话,先退出重新启动app,再运行脚本
- 一直进入不了函数内部的话,可以使用 rpc 的方式
- 不需要 on_message 也可以打印
这里的hook结果是这样的:
四、编写脚本
这里用的是Frida rpc,参考:猿人学-APP大赛-第一题-Frida初试、调用Java代码_猿人学app第一题_银古_1427的博客-CSDN博客,主要就是把sign函数暴漏出来
# -*- coding:utf-8 -*-
import frida, time, sys
import requests# from requests.packages import urllib3
def on_message(message, data):if message['type'] == 'send':print("[*] {0}".format(message['payload']))else:print(message)def get_url():device = frida.get_usb_device(timeout=1000) # 获取USB设备句柄process = device.attach('猿人学2022') # 注入进程print(process)with open('第一题.js', encoding='utf-8') as f:jscode = f.read()script = process.create_script(jscode) # 加载js代码script.on('message', on_message) # 监控任何来自目标进程的消息script.load()print('load js ok')num = 0for i in range(1, 101):url = 'https://appmatch.yuanrenxue.com/app1'headers = {'Host': 'appmatch.yuanrenxue.cn','accept-language': 'zh-CN,zh;q=0.8','user-agent': 'Mozilla/5.0 (Linux; U; Android 7.1.1; zh-cn; ONEPLUS A3010 Build/NMF26F) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30','content-type': 'application/x-www-form-urlencoded','cache-control': 'no-cache',}data = {'page': str(i),'t': str(int(time.time())),'token': '你自己的token',}data['sign'] = script.exports.main('page=' + data['page'] + data['t'])print(data)response = requests.post(url, headers=headers, data=data, verify=False)print(response.json())value_data = response.json()for value in value_data['data']:num += int(value['value'])print(num)time.sleep(1)if __name__ == '__main__':get_url()第一题.js的代码:
//字符串转字节序列
function stringToByte(str) {var bytes = new Array();var len, c;if (str) {len = str.length;for (var i = 0; i < len; i++) {c = str.charCodeAt(i);if (c >= 0x010000 && c <= 0x10FFFF) {bytes.push(((c >> 18) & 0x07) | 0xF0);bytes.push(((c >> 12) & 0x3F) | 0x80);bytes.push(((c >> 6) & 0x3F) | 0x80);bytes.push((c & 0x3F) | 0x80);} else if (c >= 0x000800 && c <= 0x00FFFF) {bytes.push(((c >> 12) & 0x0F) | 0xE0);bytes.push(((c >> 6) & 0x3F) | 0x80);bytes.push((c & 0x3F) | 0x80);} else if (c >= 0x000080 && c <= 0x0007FF) {bytes.push(((c >> 6) & 0x1F) | 0xC0);bytes.push((c & 0x3F) | 0x80);} else {bytes.push(c & 0xFF);}}}return bytes;
}//主动调用sign函数
var a
var yyfunction main(a) {console.log("Script loded successfully")console.log(a)Java.perform(function () {console.log("Inside java perform function")var Sign = Java.use('com.yuanrenxue.match2022.security.Sign')//对指定的类名动态的获取这个类的JavaScript引用console.log("Java.use.successfully") //定位类var asinn = Sign.$new() //创建实例yy = asinn.sign(stringToByte(a))console.log(yy) //定位类})return yy
}//入口函数
rpc.exports = {main: main
}五、成果(开心~)
参考文章:猿人学逆向比赛第一题sign参数(第三期)_wx63da3ca9e1323的技术博客_51CTO博客、猿人学-APP大赛-第一题-Frida初试、调用Java代码_猿人学app第一题_银古_1427的博客-CSDN博客
这篇关于猿人学app安卓比赛第一题sign参数的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
