目录

分析步骤

这样就看到app 自己封装的类了，不过这里看到的还是app自己封装的网络类，没有看到具体的业务类，所以还得继续查找，这里我们直接hook 上图中的 HttpGroupAdapter 类，发现每次发起请求时会调用 add 方法；则我们就hook该add方法；

1.然后通过看代码，猜想是关键函数，然后写代码进行验证

•                  内容摘要
•                  分析思路
•                  效果展示
•                  协议研究（利用 frida rpc）
•                  最后总结

• 本贴仅限学习交流使用，切勿用于非法行径，否则后果自付
• 前段时间同事让我研究xx购物平台的优惠券，让我帮他抢个优惠券，所以就有了这篇文章，
  
• 本文主要是分享下我的逆向过程中找关键接口的一些思路; 如有不对的地方，请大神指点 ；

• 工具
  1. objection
  2. frida
  3. Charles

• 分析步骤

  1. 拿到app的时候，先抓个包试试，打开app，切换到抢券界面，发现有很多抢券的按钮，
     则随便点一个，看看抓的包信息，发现该app，http用的是基于okhttp框架；
     
  2. 接下来就用 Objection 来验证了 ，我们先打印app内所有的类，我们找到了关键类
     
  3. 为什么说 okhttp3.OkHttpClient 是关键类呢，因为如下图
     
  4. 所以 我们hook 该类的 newCall 方法，看调用栈，

     1	android hooking watch class_method okhttp3.OkHttpClient.newCall --dump-args --dump-backtrace --dump-return

     
  5. 看调用并没有看到app自己的类，只是看到了另外个网络框架android volley 网络框架，由于对他不了解，所以就 百度呗，看看其用法
     
  6. 直接hook add方法

     1	android hooking watch class_method com.android.volley.RequestQueue.add --dump-args --dump-backtrace --dump-return

     

  7. 这样就看到app 自己封装的类了，不过这里看到的还是app自己封装的网络类，没有看到具体的业务类，所以还得继续查找，这里我们直接hook 上图中的 HttpGroupAdapter 类，发现每次发起请求时会调用 add 方法；则我们就hook该add方法；
     
     

     1.然后通过看代码，猜想是关键函数，然后写代码进行验证
     
     

     1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

     function doRobCoupon() {  Java.perform(function () {      var jh = Java.use("com.xxxx.newcoupon.utile.h");      var jf = Java.use("com.xxxxx.newcoupon.c.f");      var batchId = "xxxxxxx";      var receiveKey = "xxxxxxx";      var jb = Java.use("com.xxx.coupon.lib.b");      var jc = "";      Java.choose("com.xxxx.newcoupon.c.c", {          onMatch: function (instance) {              jc = instance;          }, onComplete: function () {          }      })      Java.choose("com.xxxxx.newcoupon.activity.NewCouponCenterActivity", {          onMatch: function (instance) {              var newjc = Java.cast(jf.$new(jc), jb);              jh.a(instance, batchId, receiveKey, newjc);          }, onComplete: function () {          }      })  }) }

  8. 最终如下图，服务器已经返回错误（我这里用了一个过期的receiveKey 和一个正确的 receiveKey 测试），说明接口已经调用成功了
     
  9. 这里还有另外一种方法也可以查找到关键接口，可以通过搜索关键字来定位（这里不推荐哈）r0ysue大佬 一再强调我们要用开发的思路去逆向哈

• 可能应网络的原因或者券少的关系吧，一直没有抢到过，（也不排除其他原因)
• 之前有试到过一次，返回xxx值不够的错误，后来发现领这个券是需要条件的 （全品类券【每天14/18/20/22点限量抢/xxx值5000以上）
• 都是套路啊，条件不够，后来就放弃了

• 通过Charles 抓包分析对比只有下面三个字段是变化的，所以接下去就找加密关键点了
  
• 通过上面的分析后，我们会发现数据都会经过 HttpSetting 这个类，这个类中有个 setSignature方法可以拿到sign的调用栈,
  
• 找到后 我就可以写 rpc 代码了（另外一些其他的字段我就不举例了，查找方法类似)这里就贴下关键的代码片段了，没什么技术含量
  
  
  

• 拿到一个app的时候，如何快速分析出想要的结果，好的思路可以事半功倍噢；
• 如果不涉及协议逆向的话(加密协议都在so层，比较菜还没研究)，整体过程是没有什么太大的难点
• 这里推荐 r0ysue大佬的星球，可以学到很多东西

• 本贴仅限学习交流使用，切勿用于非法行径，否则后果自付
• 如有侵权，请联系作者删除

1. objection
2. frida
3. Charles

1. 拿到app的时候，先抓个包试试，打开app，切换到抢券界面，发现有很多抢券的按钮，
   则随便点一个，看看抓的包信息，发现该app，http用的是基于okhttp框架；
   
2. 接下来就用 Objection 来验证了 ，我们先打印app内所有的类，我们找到了关键类
   
3. 为什么说 okhttp3.OkHttpClient 是关键类呢，因为如下图
   
4. 所以 我们hook 该类的 newCall 方法，看调用栈，

   1	android hooking watch class_method okhttp3.OkHttpClient.newCall --dump-args --dump-backtrace --dump-return

   
5. 看调用并没有看到app自己的类，只是看到了另外个网络框架android volley 网络框架，由于对他不了解，所以就 百度呗，看看其用法
   
6. 直接hook add方法

   1	android hooking watch class_method com.android.volley.RequestQueue.add --dump-args --dump-backtrace --dump-return

   

7. 这样就看到app 自己封装的类了，不过这里看到的还是app自己封装的网络类，没有看到具体的业务类，所以还得继续查找，这里我们直接hook 上图中的 HttpGroupAdapter 类，发现每次发起请求时会调用 add 方法；则我们就hook该add方法；
   
   

   1.然后通过看代码，猜想是关键函数，然后写代码进行验证
   
   

   1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23

   function doRobCoupon() {  Java.perform(function () {      var jh = Java.use("com.xxxx.newcoupon.utile.h");      var jf = Java.use("com.xxxxx.newcoupon.c.f");      var batchId = "xxxxxxx";      var receiveKey = "xxxxxxx";      var jb = Java.use("com.xxx.coupon.lib.b");      var jc = "";      Java.choose("com.xxxx.newcoupon.c.c", {          onMatch: function (instance) {              jc = instance;          }, onComplete: function () {          }      })      Java.choose("com.xxxxx.newcoupon.activity.NewCouponCenterActivity", {          onMatch: function (instance) {              var newjc = Java.cast(jf.$new(jc), jb);              jh.a(instance, batchId, receiveKey, newjc);          }, onComplete: function () {          }      })  }) }

8. 最终如下图，服务器已经返回错误（我这里用了一个过期的receiveKey 和一个正确的 receiveKey 测试），说明接口已经调用成功了
   
9. 这里还有另外一种方法也可以查找到关键接口，可以通过搜索关键字来定位（这里不推荐哈）r0ysue大佬 一再强调我们要用开发的思路去逆向哈

前段时间同事让我研究xx购物平台的优惠券，让我帮他抢个优惠券，所以就有了这篇文章，

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课