某英语听力APP字幕编码方式逆向
本帖最后由 天空宫阙 于 2024-12-1 17:02 编辑# 某英语听力APP字幕编码方式逆向
## 声明
仅用于学习交流,禁止用于商业用途。
## 使用工具
- Nexus 6P 真机 Android 8.0
- 抓包工具Charles或Fiddler
- hook工具 Frida https://frida.re/
- 反编译 jadx https://github.com/skylot/jadx
- ida(可选)
APP原包 https://wwyh.lanzouw.com/iZ3Aa2gu515a
APP脱壳包 https://wwyh.lanzouw.com/ijh4A2gu5bwh
## 抓包前准备
安卓7.0以上,系统不再信任用户证书,因此需要将用户证书转系统证书
用户证书存放目录:
```
/data/misc/user/0/cacerts-added
```
系统证书存放目录:
```
/system/etc/security/cacerts
```
使用mv命令或者MT管理器,将用户证书移动到系统证书目录下即可:
```
mv 87bc3517.0 /system/etc/security/cacerts
```
## 抓包
发现这个请求比较像我们需要找的字幕数据,因为其中有`subtitle`
```
curl --location 'https://脱敏/api/v5/ting/subtitle/a435138e-761c-11ef-8108-005056866eda?ts=6&ta=35' \
--header 'Host: api.frdic.com' \
--header 'authorization: QYN eyJ1c2脱敏joidHJhbnNBfCJ9' \
--header 'user-agent: /脱敏_en_android/10.0.7/619a812010d90f6a///' \
--header 'eudicuseragent: /脱敏_en_android/10.0.7/619a812010d90f6a///' \
--header 'eudictimezone: 8'
```
可是响应的数据为byte类型,**需要搞清楚编码方式**
## frida hook前准备工作
这个App是有进行frida检测的,因此需要过掉他的检测,《安卓逆向这档事》十八、表哥,你也不想你的Frida被检测吧!(上)
https://www.52pojie.cn/thread-1921073-1-1.html
或者直接**使用去特征的魔改frida**`https://github.com/hzzheyang/strongR-frida-android`
## java层加密方式一把梭
不知道是什么加密解密方式,先用java层加密方式一把梭的frida hook脚本试一下。
```
https://blog.csdn.net/rni88/article/details/134364285
```
虽然确实hook到不少加密算法,**但是经过一番尝试没有hook到处理字幕编码的算法**。
## 静态分析
发现这个App是加壳的,需要先脱壳就可以分析了。
搜索`subtitle`找到以下类
这个类查找用例
找到处理请求结果的函数
找到这个反序列化数据的函数
不过可惜的是个jni函数,实现过程在so层
先用frida hook验证以下。
直接hook deserializeData这个函数也行,不过因为参数和返回值都是byte数组所以不方便看。
我就直接hook上一层的readTree方法,发现没有问题,可以得到解密的数据。
```
let ObjectMapper = Java.use("com.fasterxml.jackson.databind.ObjectMapper");
ObjectMapper["readTree"].overload('[B').implementation = function (bArr) {
console.log(`ObjectMapper.readTree is called: bArr=${bArr}`);
let result = this["readTree"](bArr);
send(`ObjectMapper.readTree result=${result}`);
return result;
};
```
## 去SO层看一眼
发现加载的是这个so文件
使用ida分析一下
- 静态注册,在导出函数里面搜一下,没有发现java_XX_deserializeData这个函数
- 动态注册,hook jni函数动态注册,**找到了这个函数**
发现这个函数就叫deserializeData
```
int __fastcall deserializeData(int a1, int a2, int a3)
{
int v5; // r8
unsigned int v6; // r0
int v7; // r6
int v8; // r1
char v9; // r0
int v10; // r1
int v11; // r5
_BYTE *v12; // r0
int v13; // r3
unsigned __int8 v15; // BYREF
_BYTE v16; // BYREF
int v17; //
void *v18; //
int v19; // BYREF
int v20; //
void *v21; //
char v22; // BYREF
v22 = 0;
v5 = (*(int (__fastcall **)(int, int, char *))(*(_DWORD *)a1 + 736))(a1, a3, &v22);
v6 = (*(int (__fastcall **)(int, int))(*(_DWORD *)a1 + 684))(a1, a3);
v7 = v6;
v19 = 0;
v20 = 0;
v21 = 0;
if ( v6 <= 0xA )
{
if ( v6 )
_memmove_chk((char *)&v19 + 1, v5, v6, 11);
*((_BYTE *)&v19 + v7 + 1) = 0;
if ( (unsigned __int8)v19 << 31 )
v20 = v7;
else
LOBYTE(v19) = 2 * v7;
}
else
{
std::string::__grow_by_and_replace(&v19, 10, v6 - 10, 0, 0, 0, v6, v5);
}
v8 = (unsigned __int8)byte_5822A4;
__dmb(0xBu);
if ( v8 << 31 || !_cxa_guard_acquire((__guard *)&byte_5822A4) )
{
v9 = byte_582342;
if ( !byte_582342 )
goto LABEL_11;
goto LABEL_10;
}
dword_58233C = 438115359;
byte_582342 = 46;
word_582340 = 6171;
_cxa_atexit(
(void (__fastcall *)(void *))ay::obfuscated_data<7u,(char)46>::~obfuscated_data,
&dword_58233C,
&off_54F480);
_cxa_guard_release((__guard *)&byte_5822A4);
v9 = byte_582342;
if ( byte_582342 )
{
LABEL_10:
byte_582342 = v9 ^ 0x2E;
LOBYTE(dword_58233C) = dword_58233C ^ 0x2E;
BYTE1(dword_58233C) ^= 0x2Eu;
BYTE2(dword_58233C) ^= 0x2Eu;
HIBYTE(dword_58233C) ^= 0x2Eu;
LOBYTE(word_582340) = word_582340 ^ 0x2E;
HIBYTE(word_582340) ^= 0x2Eu;
}
LABEL_11:
EuDataBase::StrOpt::decompress_string(&v15, &v19, &dword_58233C);
(*(void (__fastcall **)(int, int, int, int))(*(_DWORD *)a1 + 768))(a1, a3, v5, 2);
v10 = v17;
if ( !(v15 << 31) )
v10 = v15 >> 1;
v11 = (*(int (__fastcall **)(int, int))(*(_DWORD *)a1 + 704))(a1, v10);
v13 = v17;
v12 = v18;
if ( (v15 & 1) == 0 )
v12 = v16;
if ( (v15 & 1) == 0 )
v13 = v15 >> 1;
(*(void (__fastcall **)(int, int, _DWORD, int, _BYTE *))(*(_DWORD *)a1 + 832))(a1, v11, 0, v13, v12);
if ( v15 << 31 )
operator delete(v18);
if ( (unsigned __int8)v19 << 31 )
operator delete(v21);
return v11;
}
```
尝试用chatGPT改写成python代码失败。
## RPC调用
虽然不能还原算法,不过可以用frida rpc调用以下
```javascript
rpc.exports = {
deserialize: function (param_b) {
var result = ''
//工具相关函数
var base64EncodeChars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/',
base64DecodeChars = new Array((-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), 62, (-1), (-1), (-1), 63, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, (-1), (-1), (-1), (-1), (-1), (-1), (-1), 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, (-1), (-1), (-1), (-1), (-1), (-1), 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, (-1), (-1), (-1), (-1), (-1));
function base64ToBytes(e) {
var r, a, c, h, o, t, d;
for (t = e.length, o = 0, d = []; o < t;) {
do
r = base64DecodeChars;
while (o < t && r == -1);
if (r == -1)
break;
do
a = base64DecodeChars;
while (o < t && a == -1);
if (a == -1)
break;
d.push(r << 2 | (48 & a) >> 4);
do {
if (c = 255 & e.charCodeAt(o++), 61 == c)
return d;
c = base64DecodeChars
} while (o < t && c == -1);
if (c == -1)
break;
d.push((15 & a) << 4 | (60 & c) >> 2);
do {
if (h = 255 & e.charCodeAt(o++), 61 == h)
return d;
h = base64DecodeChars
} while (o < t && h == -1);
if (h == -1)
break;
d.push((3 & c) << 6 | h)
}
return d
}
Java.perform(function () {
var cls = Java.use('com.eusoft.dict.util.JniApi');
var obj = cls.$new();
var ObjectMapper = Java.use('com.fasterxml.jackson.databind.ObjectMapper');
var my_objectMapper = ObjectMapper.$new();
var javaBytes = Java.array('byte', base64ToBytes(param_b)); // 巨坑,转成javaBytes才可以传入jni函数,Java.array('byte', jsBytes) 创建了一个与 byte[] 类型匹配的 Java 数组。
result = obj['deserializeData'](javaBytes)
result = my_objectMapper.readTree(result)
var JsonNode = Java.use('com.fasterxml.jackson.databind.JsonNode')
result = Java.cast(result, JsonNode);
});
return result.toString()
}
```
核心代码就
```javascript
Java.perform(function () {
var cls = Java.use('com.eusoft.dict.util.JniApi');
var obj = cls.$new();
var ObjectMapper = Java.use('com.fasterxml.jackson.databind.ObjectMapper');
var my_objectMapper = ObjectMapper.$new();
var javaBytes = Java.array('byte', base64ToBytes(param_b)); // 巨坑,转成javaBytes才可以传入jni函数,Java.array('byte', jsBytes) 创建了一个与 byte[] 类型匹配的 Java 数组。
result = obj['deserializeData'](javaBytes)
result = my_objectMapper.readTree(result)
var JsonNode = Java.use('com.fasterxml.jackson.databind.JsonNode')
result = Java.cast(result, JsonNode);
});
```
有一个**巨坑**的点,因为参数是byte数组,所以需要用`var javaBytes = Java.array('byte', base64ToBytes(param_b))`转一下,否则就会报错`argument types do not match any of:\n\t.overload('[B')`
## 成功留念
laugh68 发表于 2024-12-2 16:34
牛逼,Java,python都得会啊,学无止境
还会JavaScript:lol zglhappy 发表于 2024-12-2 16:46
关于Frida绕过检测的部分,能不能分享一下你是怎么做到的?我之前也遇到过类似的检测问题,不太清楚有哪些 ...
https://www.52pojie.cn/thread-1921073-1-1.html
这篇文章很详细
或者直接使用去特征的魔改fridahttps://github.com/hzzheyang/strongR-frida-android
这个例子直接应去特征的Frida server就好了 20031208ln 发表于 2024-12-1 16:59
版主厉害了,学习了
学习了版主安卓逆向的视频,并且用了其中一篇文章的表情包 很棒的分享谢谢大佬 多多分享 感谢您 感谢楼主分享,学习学习啦 有点厉害,学习一下,谢谢分享。 学习了,谢谢作者 学习了SS
感谢分享 太强了!!!!
有点厉害,学习一下,谢谢分享。