某车类软件登录逆向分析,初学者记录通杀过程!
本帖最后由 loveqq520 于 2024-4-6 14:05 编辑此次逆向分析过程复刻B站沐阳大佬的过程,视频链接:(https://www.bilibili.com/video/BV1uj411x7GV)
样本:6L2m5pm66LWiKw==(应用宝下载)
工具:JADX 1.4.4、Fiddler、MT管理器、APK Helper、frida 14、VS Code
一、初窥门径
1、安装好app,使用MT管理器提取安装包,发到电脑等待分析。手机配置好网络,电脑打开fiddler开始抓包
2、发现_sign、pwd、udid参数被加密了,再抓一次看看参数是否有变化
3、发现_sign、udid是变换的,pwd无变化,因为输入的密码是“a12345678”,其实这里已经猜到了是MD5加密
二、崭露头角
1、打开VSCode和frida,准备使用自吐脚本先梭哈一下
2、发现这里pwd果然是MD5加密,然后udid的值也被打印出来,跟本次抓包一致,还有一个_sign参数我们搜索一下,接下来继续进行分析
3、搜索到了,发现_sign也是MD5加密,我们继续分析明文的构成,因为其明文里有udid,所以直接拿sign开涮
4、拆分sign的明文发现其结构如下,其前后由一个固定的字符串W@oC!AH_6Ew1f6%8构成,唯一变化的是udid,那我们就可以直接分析udid了
三、略有小成
1、直接把apk扔进jadx分析,搜索udid,发现有很多处,这样一个个看效率太慢了,当然你也可以使用搜索技巧“‘udid“,但这次我们使用一个新的方法,堆栈定位
2、可以看到使用了3des加密,继续在jadx搜这个类进去看
3、按x查看交叉引用,可以看到第一个参数是context,这个其实是key,然后是第二个参数是获取手机IMEI,这个参数是不变的,追踪进去发现是sharepreference,其实可以在手机文件里查看
4、追踪进去可以看见IMEI,对比发现一致,这里惊喜注意到KEY_DEVICE_ID也跟最后一个参数一样的
5、第三个参数变化的那个是nanoTime,是从开机到目前时间的时间差,至此加密参数已经分析完,最后感谢沐阳大佬给的自吐脚本
吾爱的编辑器上传图片功能全世界第一难用,没人反驳吧。 wuaitomyty 发表于 2024-4-6 09:18
图片失效了,只能盲猜楼主过程。
我人都快麻了,发个贴子太难了,一直在改,就是编辑好提交就显示帖子已被删除或正在审核,改不成,多次修改直接封我IP进不去论坛,我又搞了个图床,不会插,看版主教程,他的演示图片也挂了 朋友,你的图片全部掉了 kof21411 发表于 2024-4-5 22:56
朋友,你的图片全部掉了
好的,我用md做的笔记,发个贴太慢了,改帖子改的突然491给我禁止了,我也不知道咋回事 确实,如果导入MD的时候,能自动把图片一起上传就好了,希望论坛编辑器能改进一下 图片不对
过程很详细,就是看不到图片,可惜了! 图片失效了,只能盲猜楼主过程。 图片挂了太尴尬了 啥呀,都看不到 没有图片