阅读此文档的过程中遇到任何问题,请关注公众号【移动端Android和iOS开发技术分享】或加QQ群【309580013

1.目标

在学习的过程中,会遇到有些算法比较麻烦,没有办法直接还原。那我们就另辟蹊径,不去分析具体的算法实现。直接使用rpc的方式调用算法函数,本文章以某安App的X-App-Token签名函数为例。

2.操作环境

  • mac系统

  • frida-dexdump:导出加固后dex文件

  • Charles:抓取http接口

  • 已Root安卓机:脱壳

  • Python3.8:实现rpc功能

  • Jadx:导出dex文件为源码

  • Android Studio:静态分析

3.流程

寻找切入点

通过Charles抓包获取到关键词为X-App-Token,这也就是我们的切入点:

静态分析

使用查壳工具发现该apk使用的是360加固,启动App后,使用frida-dexdump的frida-dexdump -FU命令导出dex文件:

由于dex文件较多,不方便查询,使用jadx把多个dex文件导出为源码:

import os

for file in os.listdir(os.curdir):
    if file.find(".dex") > 0:
        sh = 'jadx -j 1 -r -d ./ ./' + file
        print(sh)
        os.system(sh)

将以上的python脚本放到dex同级目录,切换到dex目录,并执行以上脚本,执行完成后会生成sources文件夹,使用Android Studio打开该文件夹,全局搜索X-App-Token:

找到关键函数:

private final String[] m13135() {
        String str;
        Locale locale = Locale.getDefault();
        String valueOf = String.valueOf(Build.VERSION.SDK_INT);
        String str2 = locale.getLanguage() + '-' + ((Object) locale.getCountry());
        byte[] bytes = (this.f16167.m13205() + "; ; ; " + this.f16167.m13207() + "; " + ((Object) Build.MANUFACTURER) + "; " + ((Object) Build.BRAND) + "; " + ((Object) Build.MODEL) + "; " + ((Object) Build.DISPLAY) + "; " + ((Object) C4765.m13174().m12851())).getBytes(Charsets.UTF_8);
        Intrinsics.checkNotNullExpressionValue(bytes, "this as java.lang.String).getBytes(charset)");
        String encodeToString = Base64.encodeToString(bytes, 0);
        Intrinsics.checkNotNullExpressionValue(encodeToString, "encodeToString(device.to…eArray(), Base64.DEFAULT)");
        String sb = new StringBuilder(encodeToString).reverse().toString();
        Intrinsics.checkNotNullExpressionValue(sb, "StringBuilder(device).reverse().toString()");
        String replace = new Regex("\\r\\n|\\r|\\n|=").replace(sb, BuildConfig.FLAVOR);
        String as = AuthUtils.getAS(this.f16166, replace);
        if (C4765.m13166().m13307()) {
            str = "1";
        } else {
            str = C4765.m13166().m13300() ? "2" : "0";
        }
        Intrinsics.checkNotNullExpressionValue(as, "appToken");
        String r1 = this.f16167.m13203();
        Intrinsics.checkNotNullExpressionValue(r1, "appMetadata.channel");
        return new String[]{"User-Agent", this.f16170, "X-Requested-With", "XMLHttpRequest", "X-Sdk-Int", valueOf, "X-Sdk-Locale", str2, "X-App-Id", "com.coolapk.market", "X-App-Token", as, "X-App-Version", this.f16168, "X-App-Code", String.valueOf(this.f16169), "X-Api-Version", "12", "X-App-Device", replace, "X-Dark-Mode", str, "X-App-Channel", r1, "X-App-Mode", this.f16167.m13197().toString(), "X-App-Supported", String.valueOf(this.f16167.m13199())};
    }

删除无关代码后:

private final String[] m13135() {
        byte[] bytes = (this.f16167.m13205() + "; ; ; " + this.f16167.m13207() + "; " + ((Object) Build.MANUFACTURER) + "; " + ((Object) Build.BRAND) + "; " + ((Object) Build.MODEL) + "; " + ((Object) Build.DISPLAY) + "; " + ((Object) C4765.m13174().m12851())).getBytes(Charsets.UTF_8);
        String encodeToString = Base64.encodeToString(bytes, 0);
        String sb = new StringBuilder(encodeToString).reverse().toString();
        String replace = new Regex("\\r\\n|\\r|\\n|=").replace(sb, BuildConfig.FLAVOR);
        String as = AuthUtils.getAS(this.f16166, replace);
    }

由此可看出,X-App-Token参数由AuthUtils.getAS方法生成,本篇文章的目的是通过rpc直接调用getAS函数,所以不会去具体分析getAS方法的实现。

调用getAS方法的入参有两个,第一个是context,第二个参数即为我们需要拼接的参数。看源码可知,该参数由多个参数拼成,然后再base64。具体查看每一个函数,整理后的结果如下:

this.f16167.m13205():android_id

this.f16167.m13207():wifi的mac地址

((Object) Build.MANUFACTURER):硬件制造商

((Object) Build.MODEL):系统定制商

((Object) Build.DISPLAY):显示屏参数

((Object) C4765.m13174().m12851()):这个参数为空,我们就暂且不管

你也可以直接使用命令frida-trace -UF -j '*!*getBytes*':

{
  onEnter(log, args, state) {
    log(`String.getBytes=${this.toString()}=`)
    log(`String.getBytes(${args.map(JSON.stringify).join(', ')})`);
  },

  onLeave(log, retval, state) {
    if (retval !== undefined) {
      log(`<= ${JSON.stringify(retval)}`);
    }
  }
}

获取到结果如下,根据结果反推参数值

e8e69e7384cb09c0; ; ; F4:F5:DB:24:A6:E1; Xiaomi; xiaomi; MI 5X; QL1515-tiffany-build-20171026203938; null

结果

至此,我们的getAS函数的入参已经确定,接下来就是实现RPC

python源码如下:

import frida
from flask import Flask, request
import base64
result = {}


def on_message(message, data):
    if message['type'] == 'send':
        payload = message['payload']
        if "###" in payload:
            global result
            array = payload.split("###")
            result[array[0]] = array[1]
        print(message['payload'])
    elif message['type'] == 'error':
        print(message['stack'])


js_code = '''
rpc.exports = {
    // 函数名getAS
    sign: function(params){
        Java.perform(function(){
            //拿到context上下文
            var currentApplication = Java.use('android.app.ActivityThread').currentApplication();
            var context = currentApplication.getApplicationContext();

            // use 加载的类路径
            var AuthUtils = Java.use('com.coolapk.market.util.AuthUtils');
            var sign = AuthUtils.getAS(context, params);  // context,params
            send(params+"###"+sign);
        }
    )
    }
};
'''

process = frida.get_usb_device().attach('酷安')
script = process.create_script(js_code)
script.on('message', on_message)
script.load()

app = Flask(__name__)


@app.route('/get_sign')
def get_sign():
    device_id = request.args.get('device_id', '')
    mac_address = request.args.get('mac_address', '').upper()
    manufacturer = request.args.get('manufacturer', '')
    model = request.args.get('model', '')
    display = request.args.get('display', '')
    params = f'{device_id}; ; ; {mac_address}; {manufacturer}; {model}; {display}; null'
    base_en = base64.encodebytes(params.encode('utf-8')).decode('utf-8')
    base_en = base_en[::-1]
    base_en = base_en.replace('\n', '')
    base_en = base_en.replace('\r', '')
    base_en = base_en.replace('=', '')
    script.exports.sign(base_en)
    sign = result[base_en]
    return sign


if __name__ == '__main__':
    app.run()

运行python脚本后,浏览器调用get_sign方法即可获取到X-App-Token

End

阅读此文档的过程中遇到任何问题,请关注公众号【移动端Android和iOS开发技术分享】或加QQ群【309580013

 

【Android逆向】rpc调用某安App的X-App-Token签名函数的更多相关文章

  1. Ratel:一直站在Android逆向巅峰的平头哥

    本文来源:带动行业内卷,渣总义不容辞 字越少事儿越大,请关注github(可以点击阅读原文): https://github.com/virjarRatel 平头哥(ratel)是一个Android逆 ...

  2. Android逆向分析(2) APK的打包与安装背后的故事

    前言 上一次我们反编译了手Q,并遇到了Apktool反编译直接crash的问题,虽然笔者很想在这次解决这个问题,但在解决途中,发现该保护依赖于很多知识,所以本次先插入一下,正所谓知其然知其所以然,授之 ...

  3. Android逆向分析(2) APK的打包与安装

    http://blog.zhaiyifan.cn/2016/02/13/android-reverse-2/ 2/18日增加对aidl和java编译的描述. 前言 上一次我们反编译了手Q,并遇到了Ap ...

  4. Android逆向之so的半自动化逆向

    因为工作需要,转型干android逆向,有几个月了.不过对于so的逆向,任然停留在,难难难的阶段,虽然上次自己还是逆向了一个15k左右的小so文件,但是,那个基本是靠,一步一步跟代码,查看堆栈信息来自 ...

  5. Android逆向之静态分析

    想必打过CTF的小伙伴多多少少都触过Android逆向,所以斗哥将给大家整一期关于Android逆向的静态分析与动态分析.本期先带来Android逆向的静态分析,包括逆向工具使用.文件说明.例题解析等 ...

  6. Android 逆向实战篇(加密数据包破解)

    1. 实战背景由于工作需要,要爬取某款App的数据,App的具体名称此处不便透露,避免他们发现并修改加密逻辑我就得重新破解了. 爬取这款App时发现,抓包抓到的数据是加密过的,如图1所示(原数据较长, ...

  7. 【转】Android逆向入门流程

    原文:https://www.jianshu.com/p/71fb7ccc05ff 0.写在前面 本文是笔者自学笔记,以破解某目标apk的方式进行学习,中间辅以原理性知识,方便面试需求. 参考文章的原 ...

  8. 在Android Studio中调用so中的方法

    本节用的so是上节用Android Studio创建的so.想在Android Studio中调用so中的方法,需要先引用so.Android Studio中引用so的方法有二种,下面开始介绍. 一 ...

  9. Android逆向之旅---Native层的Hook神器Cydia Substrate使用详解

    一.前言 在之前已经介绍过了Android中一款hook神器Xposed,那个框架使用非常简单,方法也就那几个,其实最主要的是我们如何找到一个想要hook的应用的那个突破点.需要逆向分析app即可.不 ...

  10. Android逆向系列文章— Android基础逆向(6)

    本文作者:HAI_ 0×00 前言 不知所以然,请看 Android逆向-Android基础逆向(1) Android逆向-Android基础逆向(2) Android逆向-Android基础逆向(2 ...

随机推荐

  1. 【设计模式】Java设计模式 - 单例模式

    [设计模式]Java设计模式 - 单例模式 不断学习才是王道 继续踏上学习之路,学之分享笔记 总有一天我也能像各位大佬一样 分享学习心得,欢迎指正,大家一起学习成长! 原创作品,更多关注我CSDN: ...

  2. 异步编程promise

    异步编程发展 异步编程经历了 callback.promise.async/await.generator四个阶段,其中promise和async/await使用最为频繁,而generator因为语法 ...

  3. 《Java基础——方法的调用》

    Java基础--方法的调用     总结: 1. 在同一个类中-- 对于静态方法,其它的静态和非静态方法都可以直接通过"方法名"或者"类名.方法名"调用它. 对 ...

  4. harbor官方关于创建https的有关命令

    官方地址:https://goharbor.io/docs/2.0.0/install-config/configure-https/ 命令总结: openssl genrsa -out ca.key ...

  5. ingress-nginx 的使用 =》 部署在 Kubernetes 集群中的应用暴露给外部的用户使用

    文章转载自:https://mp.weixin.qq.com/s?__biz=MzU4MjQ0MTU4Ng==&mid=2247488189&idx=1&sn=8175f067 ...

  6. 基于Alpine镜像定制自己的工具箱

    Alpine介绍 Alpine 操作系统是一个面向安全的轻型 Linux 发行版.目前 Docker 官方已开始推荐使用 Alpine 替代之前的 Ubuntu 做为基础镜像环境.这样会带来多个好处. ...

  7. nexus清理释放磁盘空间

    应用背景 自建的maven私服(或者叫私仓)nexus在使用过程中,因很多服务不断迭代更新上传jar包至nexus中,底层存放在一个叫Blob Stores的存储中,最近发现该存储已增大至好几百G,有 ...

  8. Elasticsearch:foreach 摄入处理器介绍---处理未知长度数组中的元素

    转载自:https://blog.csdn.net/UbuntuTouch/article/details/108621206 foreach processor 用于处理未知长度数组中的元素.这个有 ...

  9. 1- Mac和Linux远程连接服务器异常修复(WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!)

    p.p1 { margin: 0; font: 11px Menlo; color: rgba(0, 0, 0, 1) } span.s1 { font-variant-ligatures: no-c ...

  10. mac 批量修改文件的后缀名

    1-将需要修改的文件拖到同一个文件夹 2-打开终端输入 for i in *; do mv "$i" "$i.jpg";done