使用unidbg模拟某app协议
摊手,缺cb,从博客搬点旧文,大伙看看图一乐就行,都是水文,只发布过于个人博客,算是原创吧(app版本已经更新,文中方法不适用,只是作为上手unidbg的入门case)看了四哥的帖子,有点手痒,就来自己试一试分析下最右的协议
# 抓包与初步分析
!
可以看到在登录页面发送的请求中,有一个sign值,在post的字段中,有手机号,密码的md5值,以及设备的部分信息,具体情况马上继续分析,拖入jadx中,无壳无混淆(只能挑这种软柿子捏了),搜索sign,找到生成签名的java层函数
!
可以看到,sign主要来自于native层的generateSign函数,先不分析so,继续摸索摸索
!
!
可以看出只是对密码进行了md5操作
!
各个字段的具体含义也知道了,在分析过程中,只需要关心每次登陆过程中变化的值,先写段hook代码,将NetCrypto类的a函数的参数与运算结果hook出来,确认下结果
!
可以看到,在两次发送登陆请求包的过程中,主要的不同是h_ts字段,这个字段的值来源于currentTimeMillis,别的字段在登录过程中目前是不变的,经过验证,我们确定了这个函数就是签名生成的函数
public class RightHook implements IXposedHookLoadPackage{
public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {
XposedHelpers.findAndHookMethod(Application.class, "attach", Context.class, new XC_MethodHook()
{ @Override
protected void afterHookedMethod(XC_MethodHook.MethodHookParam param) throws Throwable {
ClassLoader cl = ((Context)param.args).getClassLoader();
Class<?> hookclass = null;
try {
hookclass = cl.loadClass("cn.xiaochuankeji.netcrypto.NetCrypto");
}
catch (Exception e)
{
Log.e("123", "寻找报错", e);
return;
}
Log.i("123", "寻找成功");
XposedHelpers.findAndHookMethod(hookclass, "a",
String.class,
String.class,
new XC_MethodHook()
{ //进行hook操作
protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
super.beforeHookedMethod(param);
XposedBridge.log("xposedstr :" + param.args);
XposedBridge.log("xposedstr2 :" + param.args);
}
});
XposedHelpers.findAndHookMethod(hookclass, "a",
String.class,
String.class,
new XC_MethodHook() {
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
super.afterHookedMethod(param);
XposedBridge.log("xposed getSign :"+param.getResult());
}
});
}
});
}
}
Hook代码也没什么好说的,主要就是这个app属于multiDex,需要先hook attach拿到上下文才能hook到目标函数,接下来就可以去so层分析函数了
# 分析so
将app解压并且取出里面的libnet-crypto.so并拖入ida分析,直接去看jniOnload函数
!
没有看到registNative的参数,可以直接去汇编里观察下
!
!
注册的generateSign函数地址为4976
!
初步把加密算法的核心部分定位在sub50,算法的具体分析可以看四哥的帖子,这里主要还是练手下unicorn
x右的库不仅仅注册了一个生成签名的算法,而且注册了一个native_init函数进行了初始化,在调用getsign算法前还是得先调用下初始化函数
```
package com.com.zuiyou;
import cn.banny.unidbg.LibraryResolver;
import cn.banny.unidbg.Module;
import cn.banny.unidbg.arm.ARMEmulator;
import cn.banny.unidbg.file.FileIO;
import cn.banny.unidbg.file.IOResolver
import cn.banny.unidbg.linux.android.AndroidARMEmulator;
import cn.banny.unidbg.linux.android.AndroidResolver;
import cn.banny.unidbg.linux.android.dvm.*;
import cn.banny.unidbg.memory.Memory;
import org.apache.log4j.Level;
import java.io.File;
public class Nmsl extends AbstractJni implements IOResolver {
private static LibraryResolver createLibraryResolver() {
return new AndroidResolver(23);
}
@Override
public FileIO resolve(File workDir, String pathname, int oflags) {
return null;
}
private static ARMEmulator createARMEmulator() {
return new AndroidARMEmulator("com.zuiyou");
}
private static final String APK_PATH = "src/test/resources/app/zuiyou.apk";
private final ARMEmulator emulator;
private final VM vm;
private final Module module;
private final DvmClass Nmsl;
private Nmsl() throws IOException {
emulator = createARMEmulator();
emulator.getSyscallHandler().addIOResolver(this);
System.out.println("== init ===");
final Memory memory = emulator.getMemory();
memory.setLibraryResolver(createLibraryResolver());
memory.setCallInitFunction();
vm = emulator.createDalvikVM(new File(APK_PATH));
vm.setJni(this);
DalvikModule dm = vm.loadLibrary("net_crypto", false);
dm.callJNI_OnLoad(emulator);
module = dm.getModule();
Nmsl = vm.resolveClass("cn/xiaochuankeji/netcrypto/NetCrypto");
}
//析构函数
private void destroy() throws IOException {
emulator.close();
System.out.println("destroy");
}
//主函数
public static void main(String[] args) throws Exception {
Nmsl test = new Nmsl();
test.GetSign();
test.destroy();
}
private void GetSign() throws IOException {
//申请参数空间
String str="{\"size\":\"big\",\"version\":0,\"h_av\":\"4.1.6\",\"h_dt\":0,\"h_os\":22,\"h_app\":\"zuiyou\",\"h_model\":\"vivo v3\",\"h_did\":\"865166029899062_00:81:81\",\"h_nt\":1,\"h_m\":172480973,\"h_ch\":\"zuiyou\",\"h_ts\":1577500409477,\"token\":\"T2K2NvcwR06ehMlhs2CXF-xHH5Eks5Haq0WiU-KKv22mArxaNmXoWiycBZdigmZJE7h3k\"}";
//调用函数generateSign(Ljava/lang/String;)Ljava/lang/String;
Nmsl.callStaticJniMethod(emulator,"native_init()V");
Number ret =Nmsl.callStaticJniMethod(emulator,"generateSign([B)Ljava/lang/String;",
vm.addLocalObject(new ByteArray(str.getBytes())),23);
long hash = ret.intValue() & 0xffffffffL;
StringObject obj = vm.getObject(hash);
//vm.deleteLocalRefs();
System.out.println(obj.getValue());
}
}
```
最终结果
!()
: http://static.zybuluo.com/Disp41r/r8j6m5hj5kuagbsmzwlls00y/image_1dej0csri1k8urop4lknv91sa29.png
: http://static.zybuluo.com/Disp41r/5hiez5oqvx8gnd6ecq74fil6/image_1dej0hjo815at9endbqo6k1q1rm.png
: http://static.zybuluo.com/Disp41r/dhhu2hgbzh5hhho59l3k6471/image_1dej0jqs6r2n1bjoauc1id718hs13.png
: http://static.zybuluo.com/Disp41r/cytshxd3q5lava1wmhzosn3q/image_1dej0k51h17f51ggs10f51qhq1qol1g.png
: http://static.zybuluo.com/Disp41r/hm0o5qbet0wh2jfm9908f1bw/image_1dej0ld34pva1ic71p85h051lp71t.png
: http://static.zybuluo.com/Disp41r/cb8tguomb4km84yohhjhe8t1/image_1dej0un801tssrkl1j4idsm7lr2a.png
: http://static.zybuluo.com/Disp41r/vr7ibdbhjj4ws08cynxyidnk/image_1dej32bst8o74c013l21o6po782n.png
: http://static.zybuluo.com/Disp41r/q9o0mtrtahdb7dsc2g7tf6eb/image_1dej342q814e3gi31sn31i1h1t2d34.png
: http://static.zybuluo.com/Disp41r/3hh0w8pbf4oumxl8pl4ju76m/image_1dej3576ol1i5e1tfd1g3ipoi3h.png
: http://static.zybuluo.com/Disp41r/4l5gsl6c3unq4j1vjh3f9a1b/image_1dejujnlv1nc11hoh359iif3r3u.png 漁滒 发表于 2020-12-4 16:27
如果在so中含有读写文件等系统函数,貌似unidb就会意外退出。例如网站【http://match.yuanrenxue.com/match ...
一般来说读取系统文件之类的unidbg应该会帮你拦截,读第三方的一些文件的话可能要自己处理?我也没用过几次,现在用的少了,当时觉得unicorn挺有意思就看了点 Dispa1r 发表于 2020-12-5 14:37
一般来说读取系统文件之类的unidbg应该会帮你拦截,读第三方的一些文件的话可能要自己处理?我也没用过几 ...
这个确实是读取app的文件,就不知道要如何处理了,是不是需要用到unidb的hook功能呢? 图片全挂了。。。等我晚上回宿舍修一下 感谢分享 感谢分享,。图挂了。 就算有壳,问题也不大,frida一键(那玩意针不戳),,, 如果在so中含有读写文件等系统函数,貌似unidb就会意外退出。例如网站【http://match.yuanrenxue.com/match/11】的so题目中,我尝试使用unidb获取sign,即使我已经设置了vm.setJni,但是依然报错。对于这种情况,应该如何处理? 学到了学到了
学到了学到了 论坛终于有unidbg相关的帖子了 感谢口味分享,楼主辛苦了。