app so signkeyV1 参数分析

android 逆向 19 / 37

前言

某东到家 app signKeyv1 参数分析,版本 8.14.0

charles 抓包

就是 djencrypt 这个参数,是一个加密串,分析一下

java 层分析

全局搜索定位到这个函数 base.net.volley.BaseStringRequest.getParams,跟进 DaojiaAesUtil.encrypt 看看

在跟进 AesCbcCrypto.encrypt 这个函数

里面写的还是比较清楚的,加密方式是 AES/CBC/PKCS5Padding 使用 cyberchef 解密试试

解密成功,主要是分析这个 signKeyV1 参数,看长度是 64,猜测是 sha256 加密,分析一下

全局搜索定位到这里,调用 k2 native 函数获取的,在 libjdpdj.so 文件里

打开 so 进入 JNI_OnLoad 函数,这里是动态注册的,点击 off_117004

这里看到,函数注册列表,点进 gk2 函数

前面是一些数据处理,下面有个 j_hmac_sha256 函数,可以确实是用的 hmac sha256 算法

这里的符号都没去掉,init update final 函数都能看到,这里应该是标准的算法,因为使用的是 openssl 库,先写个 frida hook 一下

frida hook

function hook() {
    var javaString = Java.use('java.lang.String');
    var zCls = Java.use('jd.net.z');

    zCls.k2.implementation = function (a) {
        console.log('zCls.k2.a: ', javaString.$new(a));

        var res = this.k2(a);
        console.log('zCls.k2.res: ', res);

        return res;
    }
}

这里 hook java k2 函数的输入输出


function hookSo1() {
    var hmac_sha256 = Module.findExportByName('libjdpdj.so', 'hmac_sha256')
    var HMAC_CTX_init = Module.findExportByName('libjdpdj.so', 'HMAC_CTX_init')
    var HMAC_Update = Module.findExportByName('libjdpdj.so', 'HMAC_Update')
    var HMAC_Init_ex = Module.findExportByName('libjdpdj.so', 'HMAC_Init_ex')

    Interceptor.attach(hmac_sha256, {
        onEnter: function (args) {
            console.log('hmac_sha256 参数 1: ', hexdump(args[0]));
            console.log('hmac_sha256 参数 2: ', hexdump(args[1]));
            console.log('hmac_sha256 参数 3: ', hexdump(args[2]));
            console.log('hmac_sha256 参数 4: ', hexdump(args[3]));
        },
        onLeave: function (retValue) {
        }
    })

    Interceptor.attach(HMAC_CTX_init, {
        onEnter: function (args) {
            console.log('HMAC_CTX_init 参数 1: ', hexdump(args[0]));
        },
        onLeave: function (retValue) {
        }
    })

    Interceptor.attach(HMAC_Update, {
        onEnter: function (args) {
            console.log('HMAC_Update 参数 1: ', hexdump(args[0]));
            console.log('HMAC_Update 参数 2: ', hexdump(args[1], {length: 1200}));
            console.log('HMAC_Update 参数 3: ', hexdump(args[2]));
        },
        onLeave: function (retValue) {
        }
    })

    Interceptor.attach(HMAC_Init_ex, {
        onEnter: function (args) {
            console.log('HMAC_Init_ex 参数 1: ', hexdump(args[0]));
            console.log('HMAC_Init_ex 参数 2: ', hexdump(args[1]));
            console.log('HMAC_Init_ex 参数 3: ', hexdump(args[2]));
            console.log('HMAC_Init_ex 参数 4: ', hexdump(args[3]));
            console.log('HMAC_Init_ex 参数 5: ', hexdump(args[4]));
        },
        onLeave: function (retValue) {
        }
    })
}

这里在 hook 一些 so 函数,hamc 会有个 key 一般在 init 的时候初始化

function main() {
    Java.perform(function () {
        hook();
        hookSo1();
    })
}

启动脚本 frida -UF -l hook.js | tee hook.log

k2 函数的输入是请求参数

HMAC_Init_ex so 函数的参数二,长度 32 猜测是 hamc key

HMAC_Update 函数是请求参数

最后的加密结果 ae07cde50402ef91660dea93dc196f7f82e7bc04322baf4022dc2879434f3fae 是这个,来验证一下

使用 cyberchef 加密,结果一样,正是 hmac sha256

Tips: 下面在使用 unidbg 跑起来,毕竟多掌握一些工具总有用处

unidbg

package com.xiayu.jingdongdaojia;

import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.LibraryResolver;
import com.github.unidbg.Module;
import com.github.unidbg.debugger.Debugger;
import com.github.unidbg.debugger.DebuggerType;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.array.ByteArray;
import com.github.unidbg.memory.Memory;

import java.io.File;
import java.io.IOException;

public class SignKeyV1Test extends AbstractJni {
    private final AndroidEmulator emulator;
    private final Module module;
    private final VM vm;

    public String apkPath = "apk path";
    public String soPath = "so path";

    private static LibraryResolver createLibraryResolver() {
        return new AndroidResolver(23);
    }

    private static AndroidEmulator createARMEmulator() {
        return AndroidEmulatorBuilder.for32Bit().build();
    }

    public SignKeyV1Test() {
        emulator = createARMEmulator();
        final Memory memory = emulator.getMemory();
        memory.setLibraryResolver(createLibraryResolver());
        vm = emulator.createDalvikVM(new File(apkPath));
        vm.setVerbose(true);

        DalvikModule dm = vm.loadLibrary(new File(soPath), false);
        vm.setJni(this);

        dm.callJNI_OnLoad(emulator);
        module = dm.getModule();
    }

    public void callGetSignKeyV1() {
        DvmClass zClass = vm.resolveClass("jd/net/z");

        DvmObject<?> strRc = zClass.callStaticJniMethodObject(
                emulator,
                "k2([B)Ljava/lang/String;",
                new ByteArray(vm, "参数".getBytes())
        );

        System.out.println("callGetSignKeyV1: " + strRc.getValue());
    }

    public static void main(String[] args) throws IOException {
        SignKeyV1Test signKeyV1 = new SignKeyV1Test();

        signKeyV1.callGetSignKeyV1();
        signKeyV1.destroy();
    }

    private void destroy() throws IOException {
        emulator.close();
    }
}

代码写完跑起来

这报错了,缺少函数 jd/utils/StatisticsReportUtil->getSign()Ljava/lang/String; 调用 apkjava 代码

点进来看一下,打开逻辑是获取 apk 的签名之类的,这里的依赖比较多,不是很好补,一般签名啥的都是固定,直接 frida call 一下,获取返回值

function callGetSign() {
    var StatisticsReportUtil = Java.use('jd.utils.StatisticsReportUtil');

    var res = StatisticsReportUtil.getSign();
    console.log(res)
}

运行成功,获取返回值

unidbg 补一下,直接写死字符串

再次运行结果出来了,结果相同

Tips: 后面在打算学习学习 ida gdb 动态调试,暂时留空

IDA 动态调试

// TODO

GDB 动态调试

// TODO

6 条评论
本文作者:
本文链接: https://www.qinless.com/?p=752
版权声明:本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 qinless 的博客!
100

6 条评论

嗄嗄

patch frida-server 0002-frida-server.patch报Hunk #1 FAILED是什么情况呢?网上找半天没找到结果,本机mac

回复

会爬山的小脑虎

@嗄嗄 你这个看不出来啥问题,方便的话可以加微信讨论哦

回复

123

老哥,这个app检测frida啊

回复

会爬山的小脑虎

@123 对,用葫芦娃 frida 可以过检测

回复

123

@会爬山的小脑虎 1

会爬山的小脑虎

@123 巨佬牛逼

发表评论

返回顶部