IOS 某电商App签名算法解析(一) 还是套路

简介: IOS 某电商App签名算法解析(一) 还是套路

一、目标


Android越来越不好玩了,年轻人,该搞搞IOS了。套路其实都是差不多的,不要被Arm汇编拦住了。


反正Android早就不讲武德了,重要算法都在so里面,和ios差不多了。


先按照之前的 [Ios逆向环境搭建 (一)] 把抓包和frida环境搞好。44.png

我们今天的目标还是它, sign


二、步骤


观察一下

从 sign的长度和参数类型上看, sign sv st 可以看出,IOS版本的签名算法大概率和Android差不多。这能节省我们很多分析时间,直接进入主题吧。


第一步  砸壳

在 frida-ios-dump 目录下面, 输入命令 **python dump.py -l ** 列出手机里面的App列表, 找到我们要搞的包名


然后开始运行砸壳命令,砸壳后的文件会通过 ssh拷贝到电脑上。

python dump.py com.3xxbuy.xxmobile


TIP:  注意,砸壳之前请保障 SSH是通的,使用 usbmuxd 把本地的2222端口转发到iOS上的22端口,配置好 ssh免密登录

iproxy 2222 22
ssh -p 2222 root@127.0.0.1


第二步   IDA


砸壳成功后,会在当前目录生成对应的 ipa文件,ipa和apk类似,也是个压缩包,我们解压先。


在 Payload/xx4iPhone 下面找到它的可执行文件,xx4iPhone 100多mb的这个就是了。 拖进 IDA吧


IDA细嚼慢咽得很长时间(很长是指好几个小时.....),可以倒杯水,休息一把。刷刷 小视频,带薪摸鱼。


IDA嚼完之后, Shift + F12 ,进入 字符串窗口,我们继续查找字符串 sign=44.png


双击一个结果,进去,在变量名称上面按 X 键 (交叉参考),就是查看哪些地方调用这个变量


45.png

来到 cfstr_Sign_4, 继续 X46.png

看这个比较像 JDCTCCHelper requestParamsWithUrl:dict: ,进去看看, 唤起 F5大法 (进入Arm汇编代码窗口之后按F5,IDA会翻译出C的伪代码)

48.png

不对,没有计算过程, 把结果都翻了一遍,还没有收获。


试试 sv= ,因为sv这个字段比较少见,和它在一起的大概率是 sign计算过程。


又是一番 X , 被我们定位到了 +[XXSignService getSignWithDic:keys:]48.png

F5一下,仔细看看这个函数。怎么看都像是sign的计算过程

49.png

第三步   Frida


挂上我们心爱的Frida了

id __cdecl +[XXSignService getSignWithDic:keys:](XXSignService_meta *self, SEL a2, id a3, id a4)


一个典型的ObjectC的函数就是这样, + 表示这是个类静态函数,  第一个参数指向接收Objective-C消息对象的指针。第二个参数是指向传递给对象的selector或消息的指针。  


这两个参数我们暂时不用管。  第三 第四个参数才是我们要关心的真正的入参。

if (ObjC.available)
{
    try
    {
        console.log('I am Comming in!');
    var className = "XXSignService";
    var funcName = "+ getSignWithDic:keys:";
    var hook = eval('ObjC.classes.' + className + '["' + funcName + '"]');
        console.log("[*] Class Name: " + className);
        console.log("[*] Method Name: " + funcName);
    console.log(hook);
    // /*
        Interceptor.attach(hook.implementation, {
            onEnter: function(args) {
        var receiver = new ObjC.Object(args[0]);
                console.log("Target class : " + receiver);
        var message1 = ObjC.Object(args[2]);
        var message2 = ObjC.Object(args[3]);
        console.log('msg1=' + message1.toString());
        console.log('msg2=' + message2.toString());               
            },
            onLeave: function(retval) {
        var message = ObjC.Object(retval);
        console.log('getSignWithDic rc is:' + message.toString());
            }
        });   
    // */
    }
    catch(err)
    {
        console.log("[!] Exception2: " + err.message);
    }
}


我们把2个入参和结果都打印出来50.png


没毛病,就是我们想要的结果。下一次我们再说说如何RPC调用吧。


三、总结


可执行文件100MB,IDA搞起来真的很慢。


IOS的玩法和Android差不多,特征串定位,然后挂上Frida。


F5大法好。

51.png


你一定要学套路,这样才能有效的缩短学习的时间;但当你学会套路,并且开始使用套路的时候,一定要找到跟别人不一样得使用方法,这样才能让你从一堆不会飞得鸡里面,挥动翅膀,凌空飞起来,变成翱翔的鹰。


TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。


关注微信公众号: 奋飞安全,最新技术干货实时推送



相关文章
|
23天前
|
机器学习/深度学习 存储 算法
【算法与数据结构】复杂度深度解析(超详解)
【算法与数据结构】复杂度深度解析(超详解)
【算法与数据结构】复杂度深度解析(超详解)
|
2月前
|
机器学习/深度学习 存储 算法
如何评判算法好坏?复杂度深度解析
如何评判算法好坏?复杂度深度解析
24 0
|
2月前
|
机器学习/深度学习 算法 PyTorch
RPN(Region Proposal Networks)候选区域网络算法解析(附PyTorch代码)
RPN(Region Proposal Networks)候选区域网络算法解析(附PyTorch代码)
254 1
|
2月前
|
API 数据安全/隐私保护 iOS开发
利用uni-app 开发的iOS app 发布到App Store全流程
利用uni-app 开发的iOS app 发布到App Store全流程
95 3
|
2月前
|
缓存 算法 C语言
【C++ 标准查找算法 】C++标准库查找算法深入解析(In-depth Analysis of C++ Standard Library Search Algorithms)
【C++ 标准查找算法 】C++标准库查找算法深入解析(In-depth Analysis of C++ Standard Library Search Algorithms)
48 0
|
1天前
|
存储 机器学习/深度学习 算法
|
3天前
|
机器学习/深度学习 数据采集 人工智能
【热门话题】AI作画算法原理解析
本文解析了AI作画算法的原理,介绍了基于机器学习和深度学习的CNNs及GANs在艺术创作中的应用。从数据预处理到模型训练、优化,再到风格迁移、图像合成等实际应用,阐述了AI如何生成艺术作品。同时,文章指出未来发展中面临的版权、伦理等问题,强调理解这些算法对于探索艺术新境地的重要性。
15 3
|
4天前
|
存储 算法 安全
|
22天前
|
机器学习/深度学习 自然语言处理 算法
探索机器学习的奥秘:从基础概念到算法解析
探索机器学习的奥秘:从基础概念到算法解析
39 0
|
22天前
|
存储 算法
从动态规划到贪心算法:最长递增子序列问题的方法全解析
从动态规划到贪心算法:最长递增子序列问题的方法全解析
19 1

推荐镜像

更多