Android逆向入门:某点中文app网络请求参数分析
本帖最后由 ablist97 于 2020-8-7 17:27 编辑### 前言
前段时间终于有了吾爱的账号,后得知长时间不活跃的会被回收账号,遂抽出时间来发一贴……文章深度自然无法与吾爱的各位大佬相比,遂定位于“入门贴”。
为什么会想到这个题材呢,因为我之前的毕设是在线小说阅读器,而我又实在不想搭后台,爬数据,就想着能不能用某中文网的服务器数据。
### 阅读须知
本文所有内容仅供个人学习交流,严禁用于其它用途。
本文所含知识点:
* Fiddler 使用
* jadx 使用
* Xposed 模块编写
* IDA 使用
* 动态代{过}{滤}理
### Fiddler 抓包
既然想拿到服务器的数据,第一件事肯定就是抓包分析一下它的网络请求参数,然后仿照它的格式构造我们自己的请求。抓包的工具有很多,我这里使用的是 Fiddler。下面简单介绍一下怎么用 Fiddler 抓移动端的包。
1. 打开 Fiddler,在上面的工具条那里点击 `Tools`-`Options`,然后切换到 `https` 选项卡,选中下面几项。
* `Capture HTTPS CONNECTs`:捕获 https 连接;
* `Decrypt HTTPS traffic`:解密 https 连接;
* `Ignore server certificate errors(unsafe)`:忽略证书错误;
如果手机是第一次抓包,需要点击上面的 `Actions`,选择 `Export Root Certificate to Desktop` 将 Fiddler 自己的证书导出到桌面,然后推到手机里安装这个证书,否则手机不认可这个证书,抓 https 会失败。
之后选中`Connections`选项卡,如下图勾选。
* `Fiddler listens on port`:Fiddler 监听端口
* `Allow remote computers to connect`:允许远程主机连接(即我们自己的手机)。
2. 将电脑和手机置于同一个局域网下。如果是同一个 WIFI,只要路由器没有开 AP 隔离就可以。如果不行,就打开电脑的移动热点,然后把手机连接到这个热点。我这里选择第二种。
3. 查看电脑 IP。这个很简单啊,直接打开 cmd 执行 `ipconfig`,然后找到 ipv4 地址(通常有多个网络适配器,要选哪个要具体情况具体分析,实在不行就一个个试嘛)。
4. 手机连接电脑的热点。 `代{过}{滤}理`一项选择`手动`,`服务器主机名`一项输入上面的 ip 地址,`端口号`输入`8888`。连接成功之后,不出意外的话,手机端的所有请求都能被 Fiddler 捕获到了。
* 注意:如果条件允许,请使用 Android 7.0 以下的 ROM,因为 Android 7 开始添加了对用户证书的限制,此时需要安装一个 `just trust me` 的 xposed 模块。
5. 清空 Fiddler 面板的所有连接,打开某中文应用,此时会有一大串连接,具体是哪个就要有点耐心找找了。我这里以广场内容示例,抓到的网络响应如图所示。
### 请求参数分析
看起来比较奇怪的东西就是:`QDSign`,`QDInfo`,`AegisSign`这三个参数。怎么看出来的呢,如果是一大串不明意义的字符,有很大概率是我们需要逆向的。但注意是“很大概率”,不一定全部都是。有的字符串是写死的,只要是同一设备,这个值就一样,那我们就没必要研究它到底是怎么得来的,直接“拿来主义”拿来用就好了,比如上面的 `appId`,`qimei` 等。这个参数每次都不一样,就必须打开 apk 看看是怎么得到的。
### jadx 逆向 apk
这个 apk 内含有 4 个 dex 文件,如果直接用 jadx 反编译,很大概率会卡死,所以先试试把第一个 classes.dex 拖进去。文本搜索 "QDSign",运气很好,只有一个结果,直接点进去。
可以看到,我们需要的全部三个参数都在这里定义。接下来就分别就这三个参数详细分析。
#### QDInfo
jadx 支持直接跳转,即按住 Ctrl + 鼠标左键跳转。如果像上图一样出现了类的全名或跳转不进,说明这个函数在另一个 dex 里。一步步跟进去看看。
可以看到随后又调用了另一个函数,其中一个参数是 `B()`。先不管这个 `B()`,跟进去看看。
看到这里,有经验的小伙伴应该能一眼看出来了,没错,就是一个非常典型的 DES 加密。jadx 反编译效果很好,直接拷贝到我们的项目中就可以了。接下来再看上面那个 `B()`。
似乎是将一些变量拼接成字符串。我们直接文本搜索 `this.l = `,发现这玩意似乎和 uuid 有关系。
到此差不多就可以明白了,这个类应该是记录 uuid,imei 这类信息的。既然如此,有必要弄明白这些变量到底是什么意思吗?答案是否定的,还是那句话,我们不需要知道它是怎么来的,只要知道怎么用就行。这里我们直接上万能的 Xposed 大法,hook 掉这个函数,看看到底返回了什么信息。
```
package com.ablist97.xqdreader.core;
import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.XposedHelpers;
import de.robv.android.xposed.callbacks.XC_LoadPackage;
public class MainHook implements IXposedHookLoadPackage {
private static final String TAG = "MainHook";
private static final String PACKAGE_NAME = "com.qidian.QDReader";
@Override
public void handleLoadPackage(XC_LoadPackage.LoadPackageParam param) throws Throwable {
XposedBridge.log("handleLoadPackage: " + param.packageName);
if (! PACKAGE_NAME.equals(param.packageName)) {
return;
}
XposedHelpers.findAndHookMethod("com.qidian.QDReader.core.config.c",
param.classLoader,
"B",
new XC_MethodHook() {
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
XposedBridge.log("afterHookedMethod: " + param.getResult());
}
});
}
}
```
对于 Xposed 不太熟悉的小伙伴可以百度一下,相关内容非常多。我这里使用的是 VirtualXposed,更新模块后不用重启,非常方便。看一下打印出的 log:
结合这份 log,应该可以猜得出上面那一串是什么东西,无非就是版本名,版本号,imei,uuid,屏幕分辨率一类的。
#### QDSign
老规矩,直接跳进去看看。
这里的逻辑比较清楚,根据网络请求的不同跳转到了不同的逻辑,我们这里进 GET 分支看看。
大致逻辑就是将传进来的 url 分割得到请求参数,然后再进一步分割,塞进 TreeMap 里排序。值得注意的是图中的第 85 行,调用 `c.signParams` 函数,返回了一个字节数组,看起来像是加密操作。我们跟进去看看。
果不其然,是一个 native 函数。重要的逻辑放到 native 层,这里要表扬一下。从上面的 `static` 块可以看到它加载了 `c-lib` 这个库,我们直接用 IDA 打开。
这里又有一个小技巧,对于 JNI 函数,我们一般使用 `JNIEXPORT` 将符号导出,此时它肯定在 `Exports` 窗口。javah 自动生成的函数名是 `Java_类名_函数名_参数` 这种格式的,比如 `Java_com_ablist97_xqdreader_core_main_hook`,非常好辨认。如果没有,说明可能使用了动态绑定,我们去 `JNI_OnLoad` 函数里看看,直接 F5 转伪代码。
第一眼看上去非常复杂,这都什么跟什么呀。实际上是 IDA 参数自动推导的问题。鼠标移动到 `a1` 处,我们都知道实际上是个 `JavaVM*` 类型,按下 Y 键修正数据类型。
跳转到 `off_5004` 查看。
直接双击,进入 `j_s()`函数,F5转伪代码。此时代码可读性仍然比较差,就需要按照 java 层函数的声明类型,手动修正参数。对于任意一个 JNI 函数,它的前两个参数都是 `JNIEnv *env` 和 `jobject _this` (或 `jclass _class`)。
非常明显的一个签名校验。如果转为 java 代码大概是这样的:
```
PackageManager pm = context.getPackageManager();
PackageInfo info = pm.getPackageInfo(context.getPackageName(),
PackageManager.GET_SIGNATURES);
String signature = info.signatures.toCharsString();
```
下面的代码主要是根据上面的签名进行 DES 加密,就不另外分析了。所以问题在于如何让它返回正确的签名。我们可以在 Application 初始化时用动态代{过}{滤}理替换掉 IPackage。
```
public static class IPackageManagerSpy implements InvocationHandler {
private static final String TAG = "IPackageManagerSpy";
public static void install(Application app) {
try {
// 获取 ActivityThread 里的 sPackageManager 原始对象
Field sPackageManager = ActivityThread.class
.getDeclaredField("sPackageManager");
sPackageManager.setAccessible(true);
// 创建代{过}{滤}理对象
Object chief = sPackageManager.get(null);
Class<?> cls = chief.getClass();
Object spy = Proxy.newProxyInstance(
cls.getClassLoader(),
cls.getInterfaces(),
new IPackageManagerSpy(chief)
);
// 替换掉 ActivityThread 里的 sPackageManager
sPackageManager.set(null, spy);
// 替换掉 ApplicationPackageManager 里的 mPm
PackageManager pm = app.getPackageManager();
Field mPm = ApplicationPackageManager.class.getDeclaredField("mPM");
mPm.setAccessible(true);
mPm.set(pm, spy);
} catch (Throwable t) {
Log.e(TAG, "install: failed", t);
}
}
private static final String MY_PACKAGE_NAME = "com.ablist97.qdreader";
private static final String FAKE_SIGNATURE = "308202253082018ea00302010202044e239460300d06092a864886f70d0101050500305731173015060355040a0c0ec386c3b0c2b5c3a3c396c390c38e311d301b060355040b0c14c386c3b0c2b5c3a3c396c390c38ec384c38dc3b8311d301b06035504030c14c386c3b0c2b5c3a3c396c390c38ec384c38dc3b8301e170d3131303731383032303331325a170d3431303731303032303331325a305731173015060355040a0c0ec386c3b0c2b5c3a3c396c390c38e311d301b060355040b0c14c386c3b0c2b5c3a3c396c390c38ec384c38dc3b8311d301b06035504030c14c386c3b0c2b5c3a3c396c390c38ec384c38dc3b830819f300d06092a864886f70d010101050003818d0030818902818100a3d47f8bfd8d54de1dfbc40a9caa88a43845e287e8f40da2056be126b17233669806bfa60799b3d1364e79a78f355fd4f72278650b377e5acc317ff4b2b3821351bcc735543dab0796c716f769c3a28fedc3bca7780e5fff6c87779f3f3cdec6e888b4d21de27df9e7c21fc8a8d9164bfafac6df7d843e59b88ec740fc52a3c50203010001300d06092a864886f70d0101050500038181001f7946581b8812961a383b2d860b89c3f79002d46feb96f2a505bdae57097a070f3533c42fc3e329846886281a2fbd5c87685f59ab6dd71cc98af24256d2fbf980ded749e2c35eb0151ffde993193eace0b4681be4bcee5f663dd71dd06ab64958e02a60d6a69f21290cb496dd8784a4c31ebadb1b3cc5cb0feebdaa2f686ee2";
private IPackageManagerSpy(Object pm) {
mRemote = pm;
}
private final Object mRemote;
private PackageInfo getPackageInfo(Method method, Object[] args) throws Throwable {
PackageInfo info = (PackageInfo) method.invoke(mRemote, args);
if (!MY_PACKAGE_NAME.equals(args) || info == null) {
Log.i(TAG, "getPackageInfo: ignore param: " + args);
return info;
}
if (info.signatures == null || info.signatures.length == 0) {
Log.w(TAG, "getPackageInfo: signature is null");
return info;
}
info.signatures = new Signature(FAKE_SIGNATURE);
return info;
}
@Override
public Object invoke(Object proxy, Method method, Object[] args) throws Throwable {
String name = method.getName();
Log.i(TAG, "invoke: " + name);
if ("getPackageInfo".equals(name)) {
return getPackageInfo(method, args);
}
// 不要忘记调用原函数 !!!
return method.invoke(mRemote, args);
}
}
```
下一个问题又来了,`signParams()` 函数有这么多参数,怎么确定每个参数呢,答案很简单:Xposed 大法,直接打印出来就可以了。
#### AegisSign
这个参数的分析方法和前面的 QDSign 相同,就不多说了。有点奇怪的是,我计算出的 AegisSign 和官方的不一样,不知道为什么。本来想用 IDA 动态调试,但服务器似乎并没有校验这个参数,也就作罢。
### 总结
本文从抓包开始,使用 jadx 和 IDA 等工具,实现了简单的静态分析。我一再强调的一点是:逆向不同于普通 app 开发,不需要关心每个细节,只要服务器能正常下发数据,就一切 ok。比如上面的 `libc-lib.so`,`com.qidian.QDReader.core.e.c` 里的加密函数,不需要重新写,重新拷贝过来,能用就可以。 蜜蜂科技 发表于 2020-8-6 14:05
大神,可以帮助破解安卓软件吗?有偿,不索取代码,就是破壳取包加验证
apk 链接看看 问一下楼主,我的手机没法root,有什么手机上用的或者电脑上用的虚拟机推荐吗?
最好是手机上用的虚拟机。
电脑的虚拟机一般不支持摇一摇 多点触控之类的吧,还有cpu架构问题
图片盗链无法显示,上传到本地吧。 虽然图都看不了,但是还是学到了一点点解密的东西 楼主发帖不易,辛苦。。但是图片全挂了。忘重新编辑下。。加油 图全裂了 等一个补链后的贴, 好了戳我一下哦 样本哪里 图挂了。。。。。