首页
社区
课程
招聘
[原创]frida小试
发表于: 2019-9-18 09:10 7535

[原创]frida小试

2019-9-18 09:10
7535

首先抓包看下请求参数,这个app很简单,没有做什么防抓包的策略,可以看到请求中有个hnairSign,这个参数就是目标。

java层的调用很简单,直接搜索hnairSign就能很快定位到关键函数,最后会调用getHNASignature这个方法,是个native方法,在libsignature.so中

ida打开这个so,先看下导出函数有哪些,
图片描述
Java_com_rytong_hnair_HNASignature_getHNASignature对应的就是java层的getHNASignature(),先静态分析跟一下,点进去这个函数,从返回结果往上看,大概猜到算法在 HNASignature::HNASignature这里面。
图片描述
点进去,继续往下跟,很明显看到HNASignature::sign
图片描述
继续点进去,很明显看到用到的算法了,猜测就是hmacSha
图片描述
图片描述

下面就用frida来hook做动态分析,验证上面分析。
首先写一个主动调用的函数,方便我们自定义简单的参数,分析起来方便些

再写个hook函数,这里对HNASignature::sign进行hook,先找到它的导出函数
图片描述
下面是hook代码,


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 4
支持
分享
最新回复 (4)
雪    币: 76
活跃值: (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
啥app
2019-9-18 09:52
0
雪    币: 888
活跃值: (2365)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
com.rytong.hnair 海南航空?
2019-9-19 15:22
0
雪    币: 178
活跃值: (1306)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
感谢分享!
2019-11-29 15:37
0
雪    币: 1705
活跃值: (676)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
老板做个反模拟器反动态调试反frida 的,我看论坛上没啥人做这个
2019-11-29 15:56
0
游客
登录 | 注册 方可回帖
返回
//