首页
社区
课程
招聘
[原创]对某旅行APP的检测以及参数计算分析【新手向-准备篇】(一)
2023-8-29 14:01 16833

[原创]对某旅行APP的检测以及参数计算分析【新手向-准备篇】(一)

2023-8-29 14:01
16833

本文仅讨论技术,无其他引导意图

本文新手小白入门向,欢迎各路大佬提出指导意见。

第二篇来了 对某旅行APP的检测以及参数计算分析【新手向-Simplesign篇】(二)

前言

本文预计共会写3到4篇文章,总结学习过程中遇到的问题与解决的思路。
涉及到的so主要有两个,一个是libmsaoaidsec.so 另一个是scmain.so
版本为今年过年期间的版本。
本篇主要会涉及到anti frida、socket抓包定位、simpxxxxxx参数的前置准备。
frida 版本: 16.1.0

一、 浅说一下抓包的问题

  • Socket
    网上烂大街的方案,因为我使用的是M2的Mac,wireshark也没有办法使用,使用了肉丝的r0capture,r0capture的功能性很强但是python运行会有一些问题,spawn启动对于目标app做了frida检测,检测放到后面说,我推荐比较省事的办法,将script.js摘出来,send改为console.log。配合frida的anti anti frida进行抓包(anti anti frida下面会说)。
  • 定位
    我们可以在r0capture中的hook java函数中加入打印调用栈的代码,我是用到了r0的打印调用栈配合jadx的搜索功能来定位的。
    在jadx中打开目标app,搜索Socket socket =

    我们推测,Socket一定是要循环来发送接收消息的,所以我们在搜索结果中优先定位在while循环中的Socket实例化的代码。有run()就优先找run函数

    小技巧:优先看参数,参数是方法的点进去看有没有关联,确认过后再看外层的方法。

    f.a()

继续深入,到一个接口类,可以用frida来查找实现类,也可以在jadx中搜索:impelements f.b

继续点,最后到这里

刚才我们说过,先看参数内容,发现第一个参数是一个函数,查看

到此,我们基本定位好收发包的大体流程了。下一步对GzipUtil、SecurityUtil等类进行hook就可以把参数拼接过程找到,此app还用了protobuf,不过这些都可以自行解决了。Request也可以用此方式定位的到,包括压缩、解压、异或运算等。抓包内容到此告一段落,主要就是多hook,多分析就能找到。

二、 Anti Anti Frida

  • 对于libmsaoaidsec.so最近很多人已经发了文章说了绕过的方法了。我发一个我4月份在分析这个so时候做的思维导图,并没有特别完全,但是大体检测的结构总结了出来。见附件。
    这个so在我分析的时候只在网上看到了NOP掉load此so的方式,但是并不适用于此app。主要检测了frida的各种字段,字符串等于,字符串比较等方式都有使用,还有prettyMethod检测,我曾尝试把这些检测的函数全部hook掉,可以通过检测,但是后续app会有很大几率卡住卡死,后续只能把线程函数nop掉。但是so中还有其他检测,对linker的操作动作很多,但是没有作为anti使用。猜测后续版本可能会出。
  • NOP记得区分ARM版本(现版都是ARM64)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
function nop(addr) {
  Memory.patchCode(ptr(addr), 4, code => {
      const cw = new Arm64Writer(code, { pc: ptr(addr) });
      cw.putNop();
      cw.putNop();
      cw.putNop();
      cw.putNop();
      cw.flush();
  });
}
function antiPthread_create(){
  let module = Process.findModuleByName("libmsaoaidsec.so")
  nop(module.base.add(0x17FC8))
  nop(module.base.add(0x16EF4))
  nop(module.base.add(0x16A74))
}

将此代码放到r0capture的script.js中,hook init_array中以spawn启动.

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
if (Process.pointerSize == 4) {
  var linker = Process.findModuleByName("linker");
} else {
  var linker = Process.findModuleByName("linker64");
}
 
var addr_call_function = null;
var addr_g_ld_debug_verbosity = null;
var addr_async_safe_format_log = null;
if (linker) {
  var symbols = linker.enumerateSymbols();
  for (var i = 0; i < symbols.length; i++) {
    var name = symbols[i].name;
    if (name.indexOf("call_function") >= 0) {
      addr_call_function = symbols[i].address;
    }
    else if (name.indexOf("g_ld_debug_verbosity") >= 0) {
      addr_g_ld_debug_verbosity = symbols[i].address;
 
      ptr(addr_g_ld_debug_verbosity).writeInt(2);
 
    } else if (name.indexOf("async_safe_format_log") >= 0 && name.indexOf('va_list') < 0) {
 
      addr_async_safe_format_log = symbols[i].address;
 
    }
 
  }
}
if (addr_async_safe_format_log) {
  Interceptor.attach(addr_async_safe_format_log, {
    onEnter: function (args) {
      this.log_level = args[0];
      this.tag = ptr(args[1]).readCString()
      this.fmt = ptr(args[2]).readCString()
      if (this.fmt.indexOf("c-tor") >= 0 && this.fmt.indexOf('Done') < 0) {
        this.function_type = ptr(args[3]).readCString(), // func_type
          this.so_path = ptr(args[5]).readCString();
        var strs = new Array(); //定义一数组
        strs = this.so_path.split("/"); //字符分割
        this.so_name = strs.pop();
        this.so_base_addr = Module.findBaseAddress(this.so_name);
        if (this.so_name.indexOf("libmsaoaidsec.so") != -1) {
          console.log("start hook!");
          //此处添加nop方法,后续我们对so进行frida trace也要在此处。
        }
      }
    },
    onLeave: function (retval) {
    }
  })
}

三、 simpxxxxxx的前置

IDA 7.7
Library : libscmain.so
Frida Stalker
Frida Hook Libart : hook_RegisterNatives.js
Target Parm : simpleSign

本篇文章暂时不对生成过程的细节做分析学习,先了解如何分析,怎么分析。

    1. simpleSign是一个native函数生成的,所以我们可以使用yang神的脚本确定此函数在so中的偏移地址
    1. 根据偏移,我们要使用ida pro去反汇编观察

      第一眼我们遇到了花指令,一般情况下我个人喜欢先去trace汇编指令流,再去决定怎么去花。这时就是使用stalker的时候了。具体使用方法,可以看一下yang神的帖子我是链接
      有一些花指令比如BR系列的,根据前后文即可推导出正确的跳转地址。
      再比如某音的跳转方式,与此次的app大差不差。
      因为篇幅的原因,更因为个人能力的原因,还是推荐去看一下龙哥的花指令教程,写的很详细。下面是去花后的反汇编

      frida trace的代码要记得在libscmain.so加载完成后开启,做一个计数器是最好的选择。
1
2
3
4
if(scmain_load_count > 4){
   console.log('set trace')
   ZY_trace_Stalker_begin('libscmain.so', 起始位置, 长度)
}

本篇结尾

第一次发分享内容,有一些东西可能有疏漏,欢迎指出。
下一篇分享分析simplesign 75位结果的前32位的生成过程。


[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。

最后于 2024-2-25 10:58 被我是红领巾编辑 ,原因:
上传的附件:
收藏
点赞7
打赏
分享
最新回复 (16)
雪    币: 199
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
wx_太阳花田向日葵 2023-8-29 19:16
2
0
lz方便展开讲讲去花的过程么
雪    币: 111
活跃值: (1404)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
我是红领巾 2023-8-30 17:35
3
1
wx_太阳花田向日葵 lz方便展开讲讲去花的过程么
有时间会针对这个so讲一下
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_nqzvgcge 2023-9-27 11:00
4
0
关注,后续没有更新了吗
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_nqzvgcge 2023-9-27 11:02
5
0
请问是测试的什么版本,frida能正常hook吗,frida是什么版本?
雪    币: 111
活跃值: (1404)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
我是红领巾 2023-10-11 11:08
6
0
mb_nqzvgcge 请问是测试的什么版本,frida能正常hook吗,frida是什么版本?
最近在找工作,没来得及更新,后续会按前32位和后32位算法还原更新,frida用的16,目标app是8.55.6
雪    币: 400
活跃值: (700)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Da_ 2023-10-23 16:41
7
0
大佬你好,请问bncode字段有看过嘛,什么时候能出篇文章,到时拜读
雪    币: 1
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_ddzpjlyg 2023-11-1 11:39
8
0
你好,可以付费求教不?
雪    币: 1714
活跃值: (8638)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
你瞒我瞒 2023-12-7 11:00
9
0
请问一下:龙哥的花指令教程,能给个地址吗,新人不知道龙哥是谁。。。
雪    币: 400
活跃值: (700)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Da_ 2023-12-8 18:41
10
0
你瞒我瞒 请问一下:龙哥的花指令教程,能给个地址吗,新人不知道龙哥是谁。。。
https://bbs.kanxue.com/thread-278932.htm 这帖子最上面就是龙哥的星球
雪    币: 1714
活跃值: (8638)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
你瞒我瞒 2023-12-11 09:12
11
0
Da_ https://bbs.kanxue.com/thread-278932.htm 这帖子最上面就是龙哥的星球
3q
雪    币: 220
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
top00zw 2023-12-22 11:02
12
0
可以付费咨询,留个联系方式吧
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_zlxfgili 2024-2-19 17:52
13
0
是哪个App呢?
雪    币: 0
活跃值: (452)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Analysts1981 2024-3-2 19:22
14
0
学习了,能否分享app
雪    币: 80
活跃值: (75)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mb_tfqctboq 2024-3-30 12:13
15
0
可以付费咨询,能留个联系方式吧
雪    币: 1
活跃值: (175)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
李啊啊 2024-4-1 10:57
16
0
求付费咨询
雪    币: 21
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
yccccc 2024-4-1 11:22
17
0
 大佬附件还能给个新的下载链接吗
游客
登录 | 注册 方可回帖
返回