今日目标
aHR0cHM6Ly93d3cud2FuZG91amlhLmNvbS9hcHBzLzY2Mjk5Mzg=
抓包分析
在内容列表的请求包里面的有token这个参数值
但是在开始的这个init包里面没有这个token值
在开始的这个init请求之后的所有的包都带有token这个参数
猜测是开始的init包带有的加密返回值有这个token参数,就类似设备注册的意思
所以分析的重点从列表页移动到了开始的init包里面
查壳与脱壳
先看看这个app的壳能不能搞
好像有点难搞,先用寒冰大大的FART试试
试了下开源版的frida_fart,提示进程终止,应该是没了,可能是我的姿势不对,有知道的大佬评论区指点一下
于是我换北风哥的脱壳机试了一试,于是我找北风哥 py 了一下,舒服~
北风哥也提示了我可以用frida-dexdump试试,并且fart也是可以的,操作提示如下
在北风哥的提示下,我研究一下用frida-dexdump脱ijm企业版
拖完发现没有北风哥脱得全,应该还是我的姿势不对,所以接下来我还是用北风哥脱得 dex 分析
加密逻辑分析与定位
因为由init这个请求返回的data的加密,所以以init为关键词搜索
看了几个位置,感觉相关性都不高
想了一下用token作为关键词检索,发现结果是在太多了,有1800+多个相关的结果,最后还是在inits里面找到了
在这个位置点进去,然后通过InitParam声明的地方找到下面的位置
那么在请求头中的siganature可能就是这里获取到的,通过getSign关键词找到下面这个位置
所以在header中的siganature就是getSign(),然后在这个位置出入m.c并将结果阶段传入e.a
但是通过wallbreak只看到下面的代码
这样感觉没办法搞啊,经过一番寻找,还得是旧版的app牛逼
在旧版的app里找到下面的代码
照着和新版对比一下就知道,e.a是DES.decrypt,然后m.c是MD5
既然是这样的话就很简单了
按照这个思路复写应该就可以了
key是由这里的逻辑生成的
这里用到的APP_SECRET_AKEY和时间戳多次MD5得到 key
ps:就在上图逻辑的上方,新旧版本相同
得到key之后,解密入参的是请求返回的密文 data
用python可以实现解密
可以看到在结果里面取到token了
简单总结
这个app磕磕绊绊了很久,在新版的加密上琢磨了很久,钻了牛角尖,如果早点分析旧版估计很快就分析出来了
所以之后如果不是必要还是不要死磕新版,不仅加固牛逼,混淆也很厉害,还有检测,我用frida和objection都没办法spawn的方式启动app
唉,又是被APP教做人的一天。
感谢北风哥,2h 大佬等众多哥哥的脱壳测试。
End.
以上就是全部的内容了,咱们下次再会~
