本文以一个 app
为例,演示对 app
脱壳,然后分析其 协议加密和签名方法,然后编写 burp
脚本以方便后面的测试。
文中涉及的文件,脱壳后的 dex 都在:
链接: https://pan.baidu.com/s/1nvmUdq5 密码: isrr
对于 burp 扩展和后面加解密登录数据包工具的的源码,直接用 jd-gui
反编译 jar
包即可。
首先下载目标 apk
,然后拖到 GDA
里面看看有没有壳。
发现是腾讯加固,可以通过修改 dex2oat
的源码进行脱壳。
具体可以看: https://bbs.pediy.com/thread-210275.htm
脱完壳 dex
文件,扔到 jeb
里面进行分析(GDA分析能力还是不太强,不过速度快)
类和方法都出来了,脱壳成功。
首先看看协议抓取,建议自己电脑起一个 ap
(热点), 然后用手机连接热点,对于 http
的数据包,可以使用 burp
进行抓取(对于 https
还要记得先安装 burp
的证书),对于 tcp
的数据包,由于我们是连接的 电脑的 wifi
所以我们可以直接用 wireshark
抓取我们网卡的数据包就能抓到手机的数据包。对于笔记本,可以买个无线网卡。
首先看看注册数据包的抓取,设置好代理,选择注册功能,然后去 burp
里面,可以看到抓取的数据包。
对于登录数据包,点击登录功能,去发现 burp
无法抓到数据包, 怀疑使用了 tcp
发送请求数据,于是开启 wireshark
抓取 手机连接的热点到的网卡的数据包。抓取时间要短一些,不然找信息就很麻烦了。
然后我们一个一个 tcp
数据包查看,看看有没有什么特殊的。
发现一个数据包里面有 base64
加密的数据,猜测这个应该就是登陆的数据包。查了一下 ip
,应该就是了。
下面针对不同类型的协议加密措施进行分析。
HTTP协议
协议分析关键是找到加密解密的函数,可以使用关键字搜索定位。为了方便搜索,先把 dex
转成 smali
然后用文本搜索工具搜索就行了,我使用 android killer
。在这里可以使用 sn
, verify
等关键词进行搜索,定位关键代码。我选择了 verify
,因为它搜出的结果较少。
函数没经过混淆,看函数名就可以大概猜出了作用,找到关键方法,拿起 jeb
分析之。
先来看看 LoginReg2_Activity
的 onCreate
方法。
获取手机号进入了 XHttpApi.getVerify
方法,跟进
先调用了 XHttpApi.addSnToParams(params)
(看名称估计他就是增加签名的函数了),然后发送 post
请求。
继续跟进 XHttpApi.addSnToParams
至此签名方案非常清晰了。
t
的参数,值为 时间戳md5("AndroidWear65cbcdeef24de25e5ed45338f06a1b37" + time_stamp)
为 sn
由于有时间戳和签名的存在,而且服务器会检测时间戳,后续如果我们想测试一些东西,就需要过一段时间就要计算一下 签名和时间戳,这样非常麻烦,我们可以使用 burp
编写插件,自动的修改 时间戳和 签名,这样可以大大的减少我们的工作量。
看看关键的源代码
首先注册一个 HttpListener
, 这样 burp
的流量就会经过我们的扩展。
然后看看 processHttpMessage
对流经扩展的流量进行处理的逻辑。只处理 http
请求的数据,然后根据域名过滤处理的数据包,只对 wear.readboy.com
进行处理。接着对于数据包中的 t
参数和 sn
参数进行重新计算,并且修改 数据包中的对应值。
加载扩展,以后重放数据包,就不用管签名的问题了。
TCP
对于 tcp
的协议可以通过搜索 端口号,ip
地址等进行定位,这里搜索 端口号
(这里是8866
, 可以在 wireshark
中查看),有一点要注意,程序中可能会用 16
进制或者 10
进制表示端口号为了,保险起见建议两种表示方式都搜一下。
通过搜索 0x22a2
(8866
的 16
进制表示)找到两个可能的位置。分别检查发现 第二个没啥用,在 jeb
中查找交叉引用都没有,于是忽略之。然后看看第一个。
可以看到 jeb
把端口号都转成了 10
进制数,这里与服务器进行了连接,没有什么有用的信息。于是上下翻翻了这个类里面的函数发现一个有意思的函数。
用于发送数据,里面还用了另外一个类的方法,一个一个看,找到了加密方法。
就是简单的 rc4
加密,然后在 base64
编码。
为了测试的方便写了个图形化的解密软件。
用 nc
测试之
正确。
不要怕麻烦,一些东西尽早脚本化,自动化,减轻工作量。逆向分析,搜索关键字,定位关键代码。