今天給大家分享一下如何逆向分析 Native 層的加密,整個過程的思路值得借鑒,接下來由小帥b的朋友 Houser 給大家進行演示,搞起:
所需設備和環境
設備:
Android/ target=_blank class=infotextkey>安卓手機(獲取root權限)
抓包:
fiddler + xposed + JustTrustMe
反編譯:
jadx-gui,ida
抓包
按照慣例,這里隱去 App 的名稱,開啟 fiddler 抓包后 app 提示連接不到網絡,判斷是證書驗證,開啟 xposed 框架,再次請求,成功抓到包,連續請求兩次來對比參數變化:
可以看到 x-app-token 這個參數不一樣,其他參數都是固定的,先簡單看一下 x-app-token 的構成:
這樣做了一下換行,有沒有發現什么規律?
我一眼就看出來第二行是手機的 deviceID,因為爬蟲寫多了,這個字符串經常出現,第一行是 32 位,應該就是個 md5, 第三行是個 16 進制數,知道了這些,接下來就來反編譯,搜索這個關鍵字。
反編譯
反編譯之前先使用 ApkScan-PKID 查一下是否有殼,養成好習慣,這個 app 沒有加殼,直接用 jadx 打開,全局搜索 “x-app-token”,只有一處,應該就在這里了:
從框中代碼發現 x-app-token 的值就是 as,而 as 是函數 getAS 生成的,按住鼠標左鍵,點擊 getAS 進去看看詳情:
它把函數過程寫到 native 層中去了,那只好去分析這個名為native-lib 的 so 文件了,解壓目標 apk 獲取到了如下圖這些文件:
so文件就在這個lib文件夾里:
ida中打開這個文件,切換到 Export 導出函數選項卡,先來直接搜索getAS:
沒有搜到getAS,倒是搜到了 getAuthString,名字很像,打開看看吧,按 F5 可以把匯編代碼轉換為偽 c 代碼,下拉分析一波,看到了 md5 關鍵字:
代碼有點難懂,連懵帶猜 v61 應該是 MD5 加密后的結果,然后 append 似乎是在拼接字符串,看到了“0x”,根據抓包的結果已經知道 x_app_token 的第三行是個 16 進制數,那應該是這里的v86了,向上看看它具體是什么:
v86存的是 v40 的值,而 v40 就是當前的時間戳,那 x-app-token 第三行應該就是時間戳的 16 進制數。接下來看看 md5 的入參為v58,v52,v53,重點來看v52,往上追朔看到其和 v51 是相等的,而 v51 是一個未知字符串經過 base64 編碼得到的,先來hook這兩個函數,寫段腳本:
第1處和2處分別是目標函數的地址,鼠標點到目標函數處,ida左下角會顯示,加1是為何,只記得大學時候學過匯編語言講到段地址,偏移地址,物理地址這些,猜測和這些知識有關,還需研究,這里先這樣用,第3處的寫法是當這個參數為字符串時的寫法,運行一波,看看打印輸出:
同時也來抓包:
把v52的值放到在線MD5網站中加密看看:
和抓包得到的結果是一樣的,那就證明hook點找對了,那么v49就是base64編碼之前的值,v49是什么呢,仔細一看,里面也有deviceID,再來分割一下:
第一行通過兩次hook,發現他是固定不變的,第二行是改變的,32位,看起來又是個md5,第六行是包名,返回偽c代碼,再來分析看看,在前面又看到了MD5加密的地方:
那來hook這個函數,看看入參:
打印的入參數據為:
S是一個時間戳,拿到MD5加密網站上驗證一下,正好和v49中包含的字符串相同:
至此,逆向就完成了,來總結一下x-app-token的獲取過程,先是帶有把時間戳進行md5,按下圖順序拼接:
然后把拼好的字符串進行base64編碼,最后把編碼結果進行MD5,得到x-app-token的開頭部分,組成如下:
接下來寫個腳本來請求數據
請求
代碼如下:
運行,成功拿到數據:
總結
今天主要介紹了 native 層 hook 的方法,雖然 so 文件中的偽c代碼要有一定的基礎才能看懂,但是先不要怕,分析的過程中可以先大膽假設,有 frida 非常強大的 hook 功能,就能一步步驗證之前的假設。這兩次都是靜態分析方法,下次我們再來介紹一下動態調試的方法。
最后,以上內容僅供學習交流,希望對你有幫助,那么我們下回見,peace!
