[原创]某动画APP分析-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创]某动画APP分析

发表于: 2020-4-2 21:03 8539

[原创]某动画APP分析

Fireeye

2020-4-2 21:03

8539

用了这个APP很久了，网上找的修改版都然并卵——测试时发现只改了本地几个功能，不支持嘀哩源和超清源播放——最重要的功能被阉割了。
无聊做一下分析，APP是官网的最新版v4.6（防止日后更新失效，已上传附件）。

反编译后发现APP的类名和方法名都做了混淆，发现smali中的source文件名并未被as去除，可以修复类名混淆。这里为了调试，暂时不修改APP。
载入JEB，定位到关键类info.zzjian.dididh.mvp.model.entity.UserInfo，在getExpire方法下断：

打开APP，JEB调试器附加该进程：

点击APP内头像，成功断下，可以在右边看到此时的局部变量：

双击值可修改，将expire改成 2100-01-01 ，恢复断点并运行：

成功显示会员提示。

回溯定位到另一个方法，该方法判断了是否登录以及VIP是否到期，可以看到许多功能的执行都由该方法决定：

因此只需让该方法返回true，即可免登录使用会员功能。

hook这两个方法即可破解，frida脚本如下：

经测试各种源均正常使用——用frida注入未引起异常，说明APP对签名做了校验。

APP重签名后安装运行，提示如下：

消息是从服务器返回的，抓包看看：

协议头的imei引起注意，找找在哪：

IDA载入libnative-lib.so，定位函数Java_info_zzjian_dididh_util_CheckUtils_getV：

首先从ActivityThread.currentApplication()获取到了Application对象，接着调用Application.getApplicationInfo().className.hashCode()和Application.getPackageManager().getPackageInfo(Application.getPackageName(),0x40).signatures[0].hashCode()，通过计算后拼接字符串返回给了java层。

计算结果也同传给native的参数有关，用frida打印下参数及返回值：

输出如下：

传入的参数为时间戳，dt8re和rt9ws只参与连接，总共有三处数据的计算。
指定下参数为0：

输出如下：

拆分字符串后得到native中三组数据的校验值。
用java重写该校验类，固定住原版数据，算法如下：

将该类编译后放入包名对应的文件夹内，用dx转为dex，再用baksmali转为smali。

这里提供个自己写的java类转为smali的shell脚本，java类不能引入外部包：

执行后会在源码同目录生成该类对应的smali：

将其替换原来的CheckUtils.smali，重新打包签名，测试一下：

成功过native层校验，该so的功能已被取代。

测试后发现不完美，会员的搜索源有6个，我们的只有3个，数据是从服务器返回的，抓会员的包后回溯：

定位到如下两个方法，分别为保存搜索源到SharedPreferences，以及从pref读搜索源：

修改读搜索源的方法，将会员数据patch进去：

退出登录，一切功能均正常使用。

登录后可查看完整内容

[峰会]看雪.第八届安全开发者峰会10月23日上海龙之梦大酒店举办！

最后于 2020-4-4 23:23 被Fireeye编辑，原因：上传附件

上传的附件：

4.6.apk （7.92MB，80次下载）

收藏・27

免费・5

支持

最新回复 (23)
v0id_ 雪币： 8395 活跃值： (4951) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 243 粉丝 34 关注私信	v0id_ 2 楼分析的很详细，辛苦了 2020-4-3 07:57 0
小黄鸭爱学习雪币： 2107 活跃值： (4482) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 273 粉丝 113 关注私信	小黄鸭爱学习 3 楼有点吊哦感谢分享 2020-4-3 10:26 0
tianhaoday 雪币： 312 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 96 粉丝 1 关注私信	tianhaoday 4 楼感谢分享金品文章很详细学习了 2020-4-3 11:38 0
0x指纹雪币： 3778 活跃值： (18450) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 216 粉丝 566 关注私信	0x指纹 5 5 楼感谢分享 2020-4-3 12:19 0
0x指纹雪币： 3778 活跃值： (18450) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 216 粉丝 566 关注私信	0x指纹 5 6 楼请问大佬使用什么抓的包 2020-4-3 14:41 0
tianhaoday 雪币： 312 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 96 粉丝 1 关注私信	tianhaoday 7 楼大佬我尝试爆破签名验证没有成功是否可以指点一下没有看到在哪里校验呢 2020-4-3 14:42 0
Fireeye 雪币： 657 活跃值： (68) 能力值： ( LV3，RANK：25 ) 在线值：发帖 1 回帖 19 粉丝 3 关注私信	Fireeye 8 楼 0x指纹请问大佬使用什么抓的包用的是Charles 2020-4-3 14:54 1
Fireeye 雪币： 657 活跃值： (68) 能力值： ( LV3，RANK：25 ) 在线值：发帖 1 回帖 19 粉丝 3 关注私信	Fireeye 9 楼 tianhaoday 大佬我尝试爆破签名验证没有成功是否可以指点一下没有看到在哪里校验呢签名计算是在so里生成，在服务器校验的，协议头的imei就是计算的结果。把计算的方法重写一下就可以最后于 2020-4-3 14:58 被Fireeye编辑，原因： 2020-4-3 14:57 0
0x指纹雪币： 3778 活跃值： (18450) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 216 粉丝 566 关注私信	0x指纹 5 10 楼好奇怪，我也是Charles，但是没有抓到那个返回“软件被恶意修改....”的包，再次感谢大佬分享 2020-4-3 15:02 0
Fireeye 雪币： 657 活跃值： (68) 能力值： ( LV3，RANK：25 ) 在线值：发帖 1 回帖 19 粉丝 3 关注私信	Fireeye 11 楼 0x指纹好奇怪，我也是Charles，但是没有抓到那个返回“软件被恶意修改....”的包，再次感谢大佬分享[em_63] 登录或者点击标题，切换到嘀哩源或者超清源就能看到了最后于 2020-4-3 15:12 被Fireeye编辑，原因： 2020-4-3 15:11 0
tianhaoday 雪币： 312 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 96 粉丝 1 关注私信	tianhaoday 12 楼 Fireeye tianhaoday 大佬我尝试爆破签名验证没有成功是否可以指点一下没有看到在哪里校验呢签名计算是在so里生成，在服务器校验的，协议头的imei ... 受教了，感谢答疑解惑 2020-4-4 00:22 0
ZvLoveL 雪币： 910 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	ZvLoveL 13 楼大佬你好，我想请问下，这13904573343L、15821486092L、17165845311L三个Long类型的数值是怎么来的呢？貌似是getV(0)得到的结果然后去除那两个字符串后拆分得到的？为什么传参数传0就可以知道可以拿这个三个数固定？然后 String check1 = Long.toHexString(13904573343L + ts * 2); String check2 = Long.toHexString(15821486092L + ts); String check3 = Long.toHexString(17165845311L + ts); 这段代码，13904573343L + ts * 2、15821486092L + ts、17165845311L + ts 在IDA中怎么体现的呢？一直找不到。求帮忙解答 2020-4-4 00:33 0
Fireeye 雪币： 657 活跃值： (68) 能力值： ( LV3，RANK：25 ) 在线值：发帖 1 回帖 19 粉丝 3 关注私信	Fireeye 14 楼 IDA F5后代码显示不全，下面是JEB的反编译：固定参数后返回值也固定了，说明只有参数在变。能做的无非是参数和hash做运算，把参数置为静态值（0、1、2、3）测试，就能直接找到三组数据的算法（因为太明显了），也省的要取hash再计算——当然具体问题还是要具体分析，如果是再稍微复杂一点点的算法就要另当别论了。翻译上面的代码就是这样（要先取hash）： public String getV(long ts) { long hash1 = -1916912749L; long hash2 = 1344359219L; long check1_ = ts * 2 + hash1 + 15821486092L; ts += 15821486092L; long check2_ = ts; ts += hash2; long check3_ = ts; String check1 = Long.toHexString(check1_); String check2 = Long.toHexString(check2_); String check3 = Long.toHexString(check3_); return check1 + "dt8re" + check2 + "rt9ws" + check3; } 结果是一样的。最后于 2020-4-4 08:51 被Fireeye编辑，原因： 2020-4-4 02:09 0
Fireeye 雪币： 657 活跃值： (68) 能力值： ( LV3，RANK：25 ) 在线值：发帖 1 回帖 19 粉丝 3 关注私信	Fireeye 15 楼 ZvLoveL 大佬你好，我想请问下，这13904573343L、15821486092L、17165845311L三个Long类型的数值是怎么来的呢？貌似是getV(0)得到的结果然后去除那两个字符串后拆分得到的？ ... 至于加的那一串数字，经测试是开发者的手机号(；一_一) 2020-4-4 09:57 0
endlif 雪币： 29 活跃值： (290) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 98 粉丝 6 关注私信	endlif 1 16 楼 jeb是买的正版吗？有调试功能？ 2020-4-4 10:14 0
Fireeye 雪币： 657 活跃值： (68) 能力值： ( LV3，RANK：25 ) 在线值：发帖 1 回帖 19 粉丝 3 关注私信	Fireeye 17 楼 endlif jeb是买的正版吗？有调试功能？用的是国外大神分享的https://forum.reverse4you.org/t/jeb-3-7-0-merry-xmas-edition-by-dimitarserg/11035 最后于 2020-4-4 10:27 被Fireeye编辑，原因： 2020-4-4 10:22 1
ZvLoveL 雪币： 910 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	ZvLoveL 18 楼 Fireeye ![](upload/attach/202004/657854_28STUN58N6GUYWJ.png) IDA F5后代码显示不全，下面是JEB的反编译： ![](upload/attach ... 好的，谢谢大佬。又学会一招，才知道JEB可以逆so，我再理理。大佬，我用jeb打开so，怎么没有你截图的那种效果？是你自己修改了变量名么？我在jeb里还是没有找到那几串数字。是需要设置哪里么？求指教。最后于 2020-4-4 18:35 被ZvLoveL编辑，原因： 2020-4-4 16:00 0
Fireeye 雪币： 657 活跃值： (68) 能力值： ( LV3，RANK：25 ) 在线值：发帖 1 回帖 19 粉丝 3 关注私信	Fireeye 19 楼 ZvLoveL Fireeye ![](upload/attach/202004/657854_28STUN58N6GUYWJ.png) IDA F5后代码显示不全，下面 ... 是要改变量名。JEB里只会有15821486092L这一串数字，另外两串是这一串数字同hashcode计算得出来的 2020-4-4 19:03 0
ZvLoveL 雪币： 910 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	ZvLoveL 20 楼 Fireeye 是要改变量名。JEB里只会有15821486092L这一串数字，另外两串是这一串数字同hashcode计算得出来的好的，谢谢大佬，我自己在研究琢磨下。 2020-4-4 19:07 0
bobbiedev 雪币： 17 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	bobbiedev 21 楼学习了。最后于 2020-4-13 16:26 被bobbiedev编辑，原因： 2020-4-13 16:19 0
bobbiedev 雪币： 17 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	bobbiedev 22 楼能百度网盘分享下JEB吗？最后于 2020-4-13 16:21 被bobbiedev编辑，原因： 2020-4-13 16:21 0
mr靓仔雪币： 218 活跃值： (381) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mr靓仔 23 楼学到了啊，感谢大佬 2020-5-27 15:09 0
hehaohw 雪币： 23 活跃值： (198) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 93 粉丝 0 关注私信	hehaohw 24 楼大佬能把你的JEB分享下吗 2020-5-27 21:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Fireeye

发帖

回帖

RANK

关注

私信

他的文章

[原创]某动画APP分析 8540

关于我们

联系我们

企业服务

看雪公众号

最新回复 (23)
v0id_ 雪币： 8395 活跃值： (4951) 能力值： ( LV4，RANK：45 ) 在线值：发帖 7 回帖 243 粉丝 34 关注私信	v0id_ 2 楼分析的很详细，辛苦了 2020-4-3 07:57 0
小黄鸭爱学习雪币： 2107 活跃值： (4482) 能力值： ( LV2，RANK：10 ) 在线值：发帖 13 回帖 273 粉丝 113 关注私信	小黄鸭爱学习 3 楼有点吊哦感谢分享 2020-4-3 10:26 0
tianhaoday 雪币： 312 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 96 粉丝 1 关注私信	tianhaoday 4 楼感谢分享金品文章很详细学习了 2020-4-3 11:38 0
0x指纹雪币： 3778 活跃值： (18450) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 216 粉丝 566 关注私信	0x指纹 5 5 楼感谢分享 2020-4-3 12:19 0
0x指纹雪币： 3778 活跃值： (18450) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 216 粉丝 566 关注私信	0x指纹 5 6 楼请问大佬使用什么抓的包 2020-4-3 14:41 0
tianhaoday 雪币： 312 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 96 粉丝 1 关注私信	tianhaoday 7 楼大佬我尝试爆破签名验证没有成功是否可以指点一下没有看到在哪里校验呢 2020-4-3 14:42 0
Fireeye 雪币： 657 活跃值： (68) 能力值： ( LV3，RANK：25 ) 在线值：发帖 1 回帖 19 粉丝 3 关注私信	Fireeye 8 楼 0x指纹请问大佬使用什么抓的包用的是Charles 2020-4-3 14:54 1
Fireeye 雪币： 657 活跃值： (68) 能力值： ( LV3，RANK：25 ) 在线值：发帖 1 回帖 19 粉丝 3 关注私信	Fireeye 9 楼 tianhaoday 大佬我尝试爆破签名验证没有成功是否可以指点一下没有看到在哪里校验呢签名计算是在so里生成，在服务器校验的，协议头的imei就是计算的结果。把计算的方法重写一下就可以最后于 2020-4-3 14:58 被Fireeye编辑，原因： 2020-4-3 14:57 0
0x指纹雪币： 3778 活跃值： (18450) 能力值： ( LV12，RANK：277 ) 在线值：发帖 11 回帖 216 粉丝 566 关注私信	0x指纹 5 10 楼好奇怪，我也是Charles，但是没有抓到那个返回“软件被恶意修改....”的包，再次感谢大佬分享 2020-4-3 15:02 0
Fireeye 雪币： 657 活跃值： (68) 能力值： ( LV3，RANK：25 ) 在线值：发帖 1 回帖 19 粉丝 3 关注私信	Fireeye 11 楼 0x指纹好奇怪，我也是Charles，但是没有抓到那个返回“软件被恶意修改....”的包，再次感谢大佬分享[em_63] 登录或者点击标题，切换到嘀哩源或者超清源就能看到了最后于 2020-4-3 15:12 被Fireeye编辑，原因： 2020-4-3 15:11 0
tianhaoday 雪币： 312 活跃值： (718) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 96 粉丝 1 关注私信	tianhaoday 12 楼 Fireeye tianhaoday 大佬我尝试爆破签名验证没有成功是否可以指点一下没有看到在哪里校验呢签名计算是在so里生成，在服务器校验的，协议头的imei ... 受教了，感谢答疑解惑 2020-4-4 00:22 0
ZvLoveL 雪币： 910 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	ZvLoveL 13 楼大佬你好，我想请问下，这13904573343L、15821486092L、17165845311L三个Long类型的数值是怎么来的呢？貌似是getV(0)得到的结果然后去除那两个字符串后拆分得到的？为什么传参数传0就可以知道可以拿这个三个数固定？然后 String check1 = Long.toHexString(13904573343L + ts * 2); String check2 = Long.toHexString(15821486092L + ts); String check3 = Long.toHexString(17165845311L + ts); 这段代码，13904573343L + ts * 2、15821486092L + ts、17165845311L + ts 在IDA中怎么体现的呢？一直找不到。求帮忙解答 2020-4-4 00:33 0
Fireeye 雪币： 657 活跃值： (68) 能力值： ( LV3，RANK：25 ) 在线值：发帖 1 回帖 19 粉丝 3 关注私信	Fireeye 14 楼 IDA F5后代码显示不全，下面是JEB的反编译：固定参数后返回值也固定了，说明只有参数在变。能做的无非是参数和hash做运算，把参数置为静态值（0、1、2、3）测试，就能直接找到三组数据的算法（因为太明显了），也省的要取hash再计算——当然具体问题还是要具体分析，如果是再稍微复杂一点点的算法就要另当别论了。翻译上面的代码就是这样（要先取hash）： public String getV(long ts) { long hash1 = -1916912749L; long hash2 = 1344359219L; long check1_ = ts * 2 + hash1 + 15821486092L; ts += 15821486092L; long check2_ = ts; ts += hash2; long check3_ = ts; String check1 = Long.toHexString(check1_); String check2 = Long.toHexString(check2_); String check3 = Long.toHexString(check3_); return check1 + "dt8re" + check2 + "rt9ws" + check3; } 结果是一样的。最后于 2020-4-4 08:51 被Fireeye编辑，原因： 2020-4-4 02:09 0
Fireeye 雪币： 657 活跃值： (68) 能力值： ( LV3，RANK：25 ) 在线值：发帖 1 回帖 19 粉丝 3 关注私信	Fireeye 15 楼 ZvLoveL 大佬你好，我想请问下，这13904573343L、15821486092L、17165845311L三个Long类型的数值是怎么来的呢？貌似是getV(0)得到的结果然后去除那两个字符串后拆分得到的？ ... 至于加的那一串数字，经测试是开发者的手机号(；一_一) 2020-4-4 09:57 0
endlif 雪币： 29 活跃值： (290) 能力值： ( LV5，RANK：60 ) 在线值：发帖 6 回帖 98 粉丝 6 关注私信	endlif 1 16 楼 jeb是买的正版吗？有调试功能？ 2020-4-4 10:14 0
Fireeye 雪币： 657 活跃值： (68) 能力值： ( LV3，RANK：25 ) 在线值：发帖 1 回帖 19 粉丝 3 关注私信	Fireeye 17 楼 endlif jeb是买的正版吗？有调试功能？用的是国外大神分享的https://forum.reverse4you.org/t/jeb-3-7-0-merry-xmas-edition-by-dimitarserg/11035 最后于 2020-4-4 10:27 被Fireeye编辑，原因： 2020-4-4 10:22 1
ZvLoveL 雪币： 910 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	ZvLoveL 18 楼 Fireeye ![](upload/attach/202004/657854_28STUN58N6GUYWJ.png) IDA F5后代码显示不全，下面是JEB的反编译： ![](upload/attach ... 好的，谢谢大佬。又学会一招，才知道JEB可以逆so，我再理理。大佬，我用jeb打开so，怎么没有你截图的那种效果？是你自己修改了变量名么？我在jeb里还是没有找到那几串数字。是需要设置哪里么？求指教。最后于 2020-4-4 18:35 被ZvLoveL编辑，原因： 2020-4-4 16:00 0
Fireeye 雪币： 657 活跃值： (68) 能力值： ( LV3，RANK：25 ) 在线值：发帖 1 回帖 19 粉丝 3 关注私信	Fireeye 19 楼 ZvLoveL Fireeye ![](upload/attach/202004/657854_28STUN58N6GUYWJ.png) IDA F5后代码显示不全，下面 ... 是要改变量名。JEB里只会有15821486092L这一串数字，另外两串是这一串数字同hashcode计算得出来的 2020-4-4 19:03 0
ZvLoveL 雪币： 910 活跃值： (165) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 15 粉丝 0 关注私信	ZvLoveL 20 楼 Fireeye 是要改变量名。JEB里只会有15821486092L这一串数字，另外两串是这一串数字同hashcode计算得出来的好的，谢谢大佬，我自己在研究琢磨下。 2020-4-4 19:07 0
bobbiedev 雪币： 17 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	bobbiedev 21 楼学习了。最后于 2020-4-13 16:26 被bobbiedev编辑，原因： 2020-4-13 16:19 0
bobbiedev 雪币： 17 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	bobbiedev 22 楼能百度网盘分享下JEB吗？最后于 2020-4-13 16:21 被bobbiedev编辑，原因： 2020-4-13 16:21 0
mr靓仔雪币： 218 活跃值： (381) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mr靓仔 23 楼学到了啊，感谢大佬 2020-5-27 15:09 0
hehaohw 雪币： 23 活跃值： (198) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 93 粉丝 0 关注私信	hehaohw 24 楼大佬能把你的JEB分享下吗 2020-5-27 21:56 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复