首页
社区
课程
招聘
[原创]某来文章分析
发表于: 2021-4-27 18:34 6969

[原创]某来文章分析

2021-4-27 18:34
6969



360的加固,dexdump 就好。

 

版本 android  v3.10.1, 一个旧版本,强制升级。APP还能正常使用,Hook一下,阻止弹出dialog

别问为什么是旧版的因为新版本有 vmppro.init(xxx)

 function hook_java() {

     Java.perform(function() {

        Java.use("android.app.Dialog").show.implementation = function () {


            console.log(" Dialog show ");

            return null

            

        }   

     })

    

}




  1. 抓包(所见即所得)只有一个加密点



    2.sign分析(虽然说搜的方法不太优雅应该消失在历史的星河里,但是万一它在白给呢。)


    

小白都觉得好友善的so ,本应该好好去分析定位的下关键的函数的,但是作为一个快乐的工具党。看到这32位的长度的

sign,不用下findcrypt 都不好意思


然后啥也没有。当时想这是不是个魔改的md5。然后刚好想起龙哥有个findhashida插件,本着收藏==会了的原则

就试试了


https://github.com/Pr0214/findhash

ida7.5可用,ida7.0龙哥还没兼容好。

然后喝个咖啡等它颤抖完

然后就看到个md5,然后根据生产的脚本找到



md5初始化的常量都没改,x交叉引用返回上两个函数

hook一下md5update 看看 入参

然后把拿到的参数,去md5加密验证一下

 

   String parm = "GET/app/xxxxxxxxxxxx_id=10001&app_ver=3.10.1&count=20&device_id=2e68xxxx2929c421&lang=zh-cn&offset=0&region=cn&timestamp="+timestamp+"e5b57fxxxxxxxxxxx6cc0";

 

sign =md5(parm)

 

然后没了。



后面有个resource_type=content的文章看不了。看了看 是根据tokencookie进行请求的没有sign字段

这种的就是先清除手机数据,然后抓包在 Charles里面搜response返回的 关键字段。如果是服务器直接返回的话

然后请求获取tokencookie


有个小注意点就是当请求头有多setcookie的时候,直接拿第一个可能,被覆盖拿不到。可以通过历遍请求头的方法

拿到第一个。


本文没啥技术含量,纯水一文。最近一个月,接触了大概二十个左右的app,有些就是开着无双割草差不多,。对国内的app有个新了解,一类是只做个加固的 其他没做什么防护,抓包,trace  java 的加密算法api 报文的加密和sign可能就出来了,和系统api  一个堆栈一条龙。但是这类app遇到vmp的和flutter 这类的逻辑即使写得简单。还没这能力解决这类技术,也可能没啥办法,提升自我还是最重要的。


end



[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2021-5-5 17:51 被lrzhao编辑 ,原因:
收藏
免费 1
支持
分享
最新回复 (13)
雪    币: 8787
活跃值: (5783)
能力值: ( LV13,RANK:296 )
在线值:
发帖
回帖
粉丝
2
支持!
不过这排版绝了... 图挂了一张...
2021-4-27 21:38
0
雪    币: 6573
活跃值: (3938)
能力值: (RANK:200 )
在线值:
发帖
回帖
粉丝
3
图片重新贴一下
2021-4-29 10:10
0
雪    币: 116
活跃值: (1012)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
请问findcrypt和findhash都是ida插件吗 具体有啥用呀
2021-5-5 09:55
0
雪    币: 969
活跃值: (883)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
万里星河 请问findcrypt和findhash都是ida插件吗 具体有啥用呀
2021-5-5 17:25
0
雪    币: 2368
活跃值: (612)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
6
大佬,请教一下。我已经将findhash.py和findhash.xml放进IDA PRO 7.5 (x86, x64, ARM, ARM64)\plugins了,但是在edit->Plugins里面没有看到findhash。不知道这是啥状况呢?
2021-5-6 16:14
0
雪    币: 969
活跃值: (883)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
guanlingji 大佬,请教一下。我已经将findhash.py和findhash.xml放进IDA PRO 7.5 (x86, x64, ARM, ARM64)\plugins了,但是在edit->Plugin ...
自己看下你的ida版本是否能正常使用,下面的控制台有没有输出错误信息
2021-5-10 10:57
0
雪    币: 2368
活跃值: (612)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
8
lrzhao 自己看下你的ida版本是否能正常使用,下面的控制台有没有输出错误信息
用了7.5和7.0都有一样。没在那里找到。不知道是不是我用WIN10环境才出现的。控制台里面也没出现异常信息。。。
2021-5-15 17:06
0
雪    币: 969
活跃值: (883)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
guanlingji 用了7.5和7.0都有一样。没在那里找到。不知道是不是我用WIN10环境才出现的。控制台里面也没出现异常信息。。。[em_26]
我的就是win10,  7.5是可以用的,7.0当时是问过白龙还没兼容。环境这东西自己折腾折腾。这个帮不了你
2021-5-17 10:39
0
雪    币: 64
活跃值: (749)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
谁有能用findhash的7.5链接发一下,谢谢
2021-5-17 11:19
0
雪    币: 969
活跃值: (883)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
musktime 谁有能用findhash的7.5链接发一下,谢谢
试下这个  https://down.52pojie.cn/Tools/Disassemblers/IDA_Pro_v7.5_Portable.zip
2021-5-17 12:15
0
雪    币: 2368
活跃值: (612)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
12
lrzhao 我的就是win10, 7.5是可以用的,7.0当时是问过白龙还没兼容。环境这东西自己折腾折腾。这个帮不了你
估计是IDA的问题,我刚才用你的IDA_PRO_v7.5_Portable可以了
2021-5-17 15:53
0
雪    币: 969
活跃值: (883)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
guanlingji 估计是IDA的问题,我刚才用你的IDA_PRO_v7.5_Portable可以了
我之前也有这个问题,7.5其他版本有些问题
2021-5-17 18:21
0
雪    币: 583
活跃值: (429)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
这是什么app啊
2021-6-17 11:34
0
游客
登录 | 注册 方可回帖
返回
//