首页
社区
课程
招聘
[原创]浅析Seafile网盘apk的端对端加密方式
发表于: 2018-10-18 21:23 9242

[原创]浅析Seafile网盘apk的端对端加密方式

2018-10-18 21:23
9242

写在开篇

使用了架设在自己服务器上的Seafile一段时间,本菜对于其宣传的“端对端加密,数据在客户端解密”这个特性产生了好奇。很想了解一下网络传输、加密的过程是如何运作的。不多说,我们马上配置好Android上的抓包环境,用fiddler看看网络传输的内容吧。

环境配置

系统 : Windows 7、nexus 5
程序 : Seafile 2.2 for Android
程序下载地址 : https://www.dreamcracker.online/d/93572bfed8124e798eab/files/?p=/Crack_Me/com.seafile.seadroid2_83.apk
要求 : 分析逻辑
使用工具 : fiddler、apktoolAndroidKiller、Android Studio、 smalidea插件

抓包分析

确认端对端加密设置启用后,打开设置好的加密资料库secret,输入密码:

 

 

此时捕获到了这样几个包(关键位置已打马赛克):

 


这里post密码,服务器认可。

 


返回了资料库的一些信息,比较值得关注的有加密类型、magic、random_key。

 


接下来请求根目录内容,Response以json形式展现了资料库根目录内容。

 

此时,我们请求一个文件,看看传输来的数据如何。

 

 

 

 

获得服务器生成的下载的链接,然后得到一段密文。这里文件的大小是120字节,而传输过来的文件大小是128字节。

 

再随机拍张照片上传,此时抓到的文件数据和本地的很不相同

 


综上所述,我们可以做出如下猜测。

 

1.服务器对于加密资料库提供了端对端加密的方式,即文件在本地解密,即使有人攻击了传输链条中任意一环,也无法直接获得明文消息。

 

2.加密资料库以“端加密方式”开放时,会生成随机消息用于加密。

 

3.加密方式是通用的公开算法,且有可能是cbc模式。

提出假设

我们使用最新的apktool做为反编译工具,发现提示反编译成功。那么,直接设置我们的apktool的路径作为Android Killer的默认反编译器。我们直接全局搜索“加密”:

<string name="enc_on">数据在本地解密</string>
<string name="enc_title">加密资料库解密方式</string>
<string name="encrypt">加密</string>

接着全局搜索enc_title,发现出现很多xml文件,再仔细看看,其实更多是重复的多语种的string资源文件。经过筛选,发现\res\xml\settings.xml的这一行很可疑:

<com.seafile.seadroid2.ui.SwitchPreferenceCompat android:title="@string/enc_title" android:key="client_encrypt_switch_key" android:defaultValue="false" android:summaryOn="@string/enc_on" android:summaryOff="@string/enc_off" />

全局搜索“client_encrypt_switch_key”,发现SettingsManager.class有两个函数较为可疑,我们将其smali文件转成Java代码查看:

public void setupEncrypt(boolean paramBoolean)
{
  this.settingsSharedPref.edit().putBoolean("client_encrypt_switch_key", paramBoolean).commit();
}
public boolean isEncryptEnabled()
{
  return this.settingsSharedPref.getBoolean("client_encrypt_switch_key", false);
}

isEncryptEnabled明显是判断“端对端”加密方式是否打开的函数,想必要调查用户选择的加密方式的手法也就是调用它了,全局搜索“isEncryptEnabled”试试。

 

搜索结果有两个是\data路径下的SeafRepoEncrypt、SeafRepo两个类文件。但项目内引用SeafRepoEncrypt类的次数较少。我们来看看SeafRepoEncrypt的定义:

package com.seafile.seadroid2.data;

import android.text.TextUtils;
import com.seafile.seadroid2.SettingsManager;
import org.json.JSONException;
import org.json.JSONObject;

public class SeafRepoEncrypt
{
  public String encKey;
  public int encVersion;
  public boolean encrypted;
  public String id;
  public boolean isGroupRepo;
  public boolean isPersonalRepo;
  public boolean isSharedRepo;
  public String magic;
  public long mtime;
  public String name;
  public String owner;
  public String permission;
  public String root;
  public long size;

  static SeafRepoEncrypt fromJson(JSONObject paramJSONObject)
    throws JSONException
  {
    SeafRepoEncrypt localSeafRepoEncrypt = new SeafRepoEncrypt();
    localSeafRepoEncrypt.magic = paramJSONObject.optString("magic");
    localSeafRepoEncrypt.permission = paramJSONObject.getString("permission");
    localSeafRepoEncrypt.encrypted = paramJSONObject.getBoolean("encrypted");
    localSeafRepoEncrypt.encVersion = paramJSONObject.optInt("enc_version");
    localSeafRepoEncrypt.mtime = paramJSONObject.getLong("mtime");
    localSeafRepoEncrypt.owner = paramJSONObject.getString("owner");
    localSeafRepoEncrypt.id = paramJSONObject.getString("id");
    localSeafRepoEncrypt.size = paramJSONObject.getLong("size");
    localSeafRepoEncrypt.name = paramJSONObject.getString("name");
    localSeafRepoEncrypt.root = paramJSONObject.getString("root");
    localSeafRepoEncrypt.encKey = paramJSONObject.optString("random_key");
    localSeafRepoEncrypt.isGroupRepo = paramJSONObject.getString("type").equals("grepo");
    localSeafRepoEncrypt.isPersonalRepo = paramJSONObject.getString("type").equals("repo");
    localSeafRepoEncrypt.isSharedRepo = paramJSONObject.getString("type").equals("srepo");
    return localSeafRepoEncrypt;
  }

  public boolean canLocalDecrypt()
  {
    return (this.encrypted) && (this.encVersion == 2) && (!TextUtils.isEmpty(this.magic)) && (SettingsManager.instance().isEncryptEnabled());
  }
}

搜索其调用,还是有两个较为可疑的引用,seadroid2\ui\dialog下SetPasswordTask、PasswordDialog类。

 

其中,PasswordDialog类的onTaskSuccess函数使用 用户输入的密码、random_key生成了password:

public void onTaskSuccess()
{
  Object localObject = this.dataManager.getCachedRepoEncryptByID(this.repoID);
  String str = this.passwordText.getText().toString().trim();
  if ((localObject != null) && (((SeafRepoEncrypt)localObject).canLocalDecrypt()))
  {
    if (TextUtils.isEmpty(((SeafRepoEncrypt)localObject).magic)) {
      return;
    }
    try
    {
      localObject = Crypto.generateKey(str, ((SeafRepoEncrypt)localObject).encKey, ((SeafRepoEncrypt)localObject).encVersion);
      this.dataManager.setRepoPasswordSet(this.repoID, (String)((Pair)localObject).first, (String)((Pair)localObject).second);
    }
    catch (UnsupportedEncodingException|NoSuchAlgorithmException localUnsupportedEncodingException)
    {
      ThrowableExtension.printStackTrace(localUnsupportedEncodingException);
    }
  }
  else
  {
    this.dataManager.setRepoPasswordSet(this.repoID, str);
  }
  super.onTaskSuccess();
}

然后调用了this.dataManager.setRepoPasswordSet:

public void setRepoPasswordSet(String paramString1, String paramString2)
{
  passwords.put(paramString1, new PasswordInfo(paramString2, Utils.now()));
}

public void setRepoPasswordSet(String paramString1, String paramString2, String paramString3)
{
  if ((!TextUtils.isEmpty(paramString1)) && (!TextUtils.isEmpty(paramString2)) && (!TextUtils.isEmpty(paramString3))) {
    dbHelper.saveEncKey(paramString2, paramString3, paramString1);
  }
}

saveEncKey函数向数据库插入一条记录:

public void saveEncKey(String paramString1, String paramString2, String paramString3)
{
  Object localObject = getEnckey(paramString3);
  if ((localObject != null) && (!TextUtils.isEmpty((CharSequence)((Pair)localObject).first)))
  {
    if ((((String)((Pair)localObject).first).equals(paramString1)) && (((String)((Pair)localObject).second).equals(paramString2))) {
      return;
    }
    delEnckey(paramString3);
  }
  localObject = new ContentValues();
  ((ContentValues)localObject).put("enc_key", paramString1);
  ((ContentValues)localObject).put("enc_iv", paramString2);
  ((ContentValues)localObject).put("repo_id", paramString3);
  this.database.insert("EncKey", null, (ContentValues)localObject);
}

再来看看生成password的Crypto代码:

public static Pair<String, String> generateKey(String paramString1, String paramString2, int paramInt)
  throws UnsupportedEncodingException, NoSuchAlgorithmException
{
  byte[] arrayOfByte = deriveKey(paramString1, paramInt);
  paramString1 = new SecretKeySpec(arrayOfByte, "AES");
  arrayOfByte = deriveIv(arrayOfByte);
  paramString1 = deriveKey(seafileDecrypt(fromHex(paramString2), paramString1, arrayOfByte), paramInt);
  return new Pair(paramString1, toHex(deriveIv(fromHex(paramString1))));
}

其中,seafileDecrypt的定义

private static byte[] seafileDecrypt(byte[] paramArrayOfByte1, SecretKey paramSecretKey, byte[] paramArrayOfByte2)
{
  try
  {
    Cipher localCipher = Cipher.getInstance("AES/CBC/PKCS7Padding");
    localCipher.init(2, paramSecretKey, new IvParameterSpec(paramArrayOfByte2));
    paramArrayOfByte1 = localCipher.doFinal(paramArrayOfByte1);
    return paramArrayOfByte1;
  }
  catch (InvalidAlgorithmParameterException paramArrayOfByte1)
  {
    paramSecretKey = TAG;
    paramArrayOfByte2 = new StringBuilder();
    paramArrayOfByte2.append("InvalidAlgorithmParameterException ");
    paramArrayOfByte2.append(paramArrayOfByte1.getMessage());
    Log.e(paramSecretKey, paramArrayOfByte2.toString());
    ThrowableExtension.printStackTrace(paramArrayOfByte1);
    return null;
  }
  catch (IllegalBlockSizeException paramArrayOfByte1)
  {
    paramSecretKey = TAG;
    paramArrayOfByte2 = new StringBuilder();
    paramArrayOfByte2.append("IllegalBlockSizeException ");
    paramArrayOfByte2.append(paramArrayOfByte1.getMessage());
    Log.e(paramSecretKey, paramArrayOfByte2.toString());
    ThrowableExtension.printStackTrace(paramArrayOfByte1);
    return null;
  }
  catch (BadPaddingException paramArrayOfByte1)
  {
    ThrowableExtension.printStackTrace(paramArrayOfByte1);
    paramSecretKey = TAG;
    paramArrayOfByte2 = new StringBuilder();
    paramArrayOfByte2.append("seafileDecrypt BadPaddingException ");
    paramArrayOfByte2.append(paramArrayOfByte1.getMessage());
    Log.e(paramSecretKey, paramArrayOfByte2.toString());
    return null;
  }
  catch (NoSuchPaddingException paramArrayOfByte1)
  {
    ThrowableExtension.printStackTrace(paramArrayOfByte1);
    paramSecretKey = TAG;
    paramArrayOfByte2 = new StringBuilder();
    paramArrayOfByte2.append("NoSuchPaddingException ");
    paramArrayOfByte2.append(paramArrayOfByte1.getMessage());
    Log.e(paramSecretKey, paramArrayOfByte2.toString());
    return null;
  }
  catch (InvalidKeyException paramArrayOfByte1)
  {
    ThrowableExtension.printStackTrace(paramArrayOfByte1);
    paramSecretKey = TAG;
    paramArrayOfByte2 = new StringBuilder();
    paramArrayOfByte2.append("InvalidKeyException ");
    paramArrayOfByte2.append(paramArrayOfByte1.getMessage());
    Log.e(paramSecretKey, paramArrayOfByte2.toString());
    return null;
  }
  catch (NoSuchAlgorithmException paramArrayOfByte1)
  {
    ThrowableExtension.printStackTrace(paramArrayOfByte1);
    paramSecretKey = TAG;
    paramArrayOfByte2 = new StringBuilder();
    paramArrayOfByte2.append("NoSuchAlgorithmException ");
    paramArrayOfByte2.append(paramArrayOfByte1.getMessage());
    Log.e(paramSecretKey, paramArrayOfByte2.toString());
  }
  return null;
}

好了~

 

至此,我们可以提出假设:

 

在输入密码进入加密资料库时,会利用random_key、用户输入的密码生成一个最终password,这个password将作为aes_cbc加盐算法的key被存储。而在下载/上传文件时,必然调用加解密函数,存储的password也必然被查询。

搜集证据

我们在Android Studio中安装smalidea插件、载入反编译的smali项目。连接Nexus 5后,对于Crypto中的重点函数布下断点,开始动态调试。我们输入资料库密码后确认,服务器发来消息:

 

我们在看看此时断点的情况:

 


用password、enc_type、random_key构成参数,开始构造最终key:

 

构造key、iv。继续跟

 


发现加盐了

 


最终生成一组密码对。

 

当我们在资料库中下载一个文件时,传回的文件流如图所示:

 


而程序此时断在了解密函数:

 


解密函数的密钥对与上面生成的相匹配。

 


等到程序返回,就会将解出的明文写入文件。

 

再来观察一下细节,加解密相关的函数很简单朴素:

Cipher localCipher = Cipher.getInstance("AES/CBC/PKCS7Padding");
localCipher.init(1, paramSecretKey, new IvParameterSpec(paramArrayOfByte2));
paramArrayOfByte1 = localCipher.doFinal(paramArrayOfByte1, 0, paramInt);
return paramArrayOfByte1;

private static byte[] seafileDecrypt(byte[] paramArrayOfByte1, SecretKey paramSecretKey, byte[] paramArrayOfByte2)
{
    try
    {
        Cipher localCipher = Cipher.getInstance("AES/CBC/PKCS7Padding");
        localCipher.init(2, paramSecretKey, new IvParameterSpec(paramArrayOfByte2));
        paramArrayOfByte1 = localCipher.doFinal(paramArrayOfByte1);
        return paramArrayOfByte1;
    }

而构造key函数却很值得玩味:

//password、random_key、enc_type
public static Pair<String, String> generateKey(String paramString1, String paramString2, int paramInt)
        throws UnsupportedEncodingException, NoSuchAlgorithmException
{
    //根据口令生成Key,将其保存为SecretKeySpec类型
    byte[] arrayOfByte = deriveKey(paramString1, paramInt);
    paramString1 = new SecretKeySpec(arrayOfByte, "AES");
    //再根据生成的Key生成iv
    arrayOfByte = deriveIv(arrayOfByte);


    paramString1 = deriveKey(seafileDecrypt(fromHex(paramString2), paramString1, arrayOfByte), paramInt);
    return new Pair(paramString1, toHex(deriveIv(fromHex(paramString1))));
}

以口令生成key_iv对,解密random_key,用其生成此次通信的key_iv。

 

而构造key、iv的函数都是利用PKCS5S2ParametersGenerator 这个类将传入的数据+盐生成一个值:

private static byte[] deriveKey(String paramString, int paramInt)
        throws UnsupportedEncodingException, NoSuchAlgorithmException
{
    PKCS5S2ParametersGenerator localPKCS5S2ParametersGenerator = new PKCS5S2ParametersGenerator(new SHA256Digest()); //
    localPKCS5S2ParametersGenerator.init(PBEParametersGenerator.PKCS5PasswordToUTF8Bytes(paramString.toCharArray()), salt, ITERATION_COUNT);
    if (paramInt == 2) {}
    for (paramInt = KEY_LENGTH;; paramInt = KEY_LENGTH_SHORT) {
        break;
    }
    return ((KeyParameter)localPKCS5S2ParametersGenerator.generateDerivedMacParameters(paramInt * 8)).getKey();
}

PKCS5S2ParametersGenerator定义:

    Generator for PBE derived keys and ivs as defined by PKCS 5 V2.0 Scheme 2

盐值:

    private static byte[] salt = { -38, -112, 69, -61, 6, -57, -52, 38 };

技术总结

我们通过抓包分析、静态分析提出了关于seafile端对端加密方式的假设,最终以动态分析的方式确认了我们的想法。根据官网的介绍:

Seafile 支持端到端的加密技术来保护你的数据安全。 Seafile 也包含了以下的安全特性:

    两步验证

    服务器端数据加密

    所有的数据传输使用 HTTPS/TLS 协议

    远程删除

    文件病毒扫描

    通过外链上传的文件提供即时病毒扫描

可以推论,一次加密资料库传输是这样发展的:

client                                                                server

input password

send password  >>>>>>>>>>>>>>>>>>>>>    verifyRepoPassword

____________________________________    encrypt random_key with RepoPassword(key_iv)

_______________<<<<<<<<<<<<<<<<<<<<<    send random_key (encrypted)

decrypt it with RepoPassword(key_iv)

get ture key_iv

接着用 ture key_iv 加解密文件,客户端服务器间传输文件都是加密后的密文。试想,排除控制了使用者终端这种极端情况,如果攻击者可以侦听https传输的内容,但没有获取最开始传输的口令,那么就无法解析传输的内容。

后记

第一次写安卓破文,难免有疏漏。如果各位大侠有问题或者建议可以在下方留言。

参考文章

  1. https://blog.csdn.net/ASSYIRAN/article/details/82994042
  2. https://www.52pojie.cn/thread-658865-1-1.html

[课程]Linux pwn 探索篇!

最后于 2019-2-2 10:17 被kanxue编辑 ,原因:
上传的附件:
收藏
免费 1
支持
分享
最新回复 (5)
雪    币: 44229
活跃值: (19965)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
2
建议将内容也复制一份过来,只要这样才达到设置精华/优秀的基本要求。
2018-10-18 21:30
0
雪    币: 9910
活跃值: (2142)
能力值: ( LV13,RANK:327 )
在线值:
发帖
回帖
粉丝
3
kanxue 建议将内容也复制一份过来,只要这样才达到设置精华/优秀的基本要求。
好的
2018-10-18 21:32
0
雪    币: 916
活跃值: (3434)
能力值: ( LV8,RANK:120 )
在线值:
发帖
回帖
粉丝
4
等等..seafile不是开源的吗??
2018-10-22 10:31
0
雪    币: 9910
活跃值: (2142)
能力值: ( LV13,RANK:327 )
在线值:
发帖
回帖
粉丝
5
葫芦娃 等等..seafile不是开源的吗??
是的,用的开源项目的apk做的实验。
2018-10-22 10:54
0
雪    币: 9910
活跃值: (2142)
能力值: ( LV13,RANK:327 )
在线值:
发帖
回帖
粉丝
6
逆向纯商业软件终究有侵权之嫌,我觉得能做到逻辑合理,解释易懂,逆向分析开源项目的文章也有价值。
2018-10-22 11:00
0
游客
登录 | 注册 方可回帖
返回
//