上一篇文章《阿里系App抓包分析(二)》简单介绍了Mtop的初始化,发现IMtopInitTask是主要用来处理Mtop的初始化的类,经过查看它有三个实现类:
- InnerMtopInitTask
- OpenMtopInitTask
- ProductMtopInitTask
三个实现分别对应的instanceId为:OPEN、INNER、PRODUCT,咱们主要看InnerMtopInitTask这个实现,分析里面重要的初始化步骤,最后再使用Charles完成抓包。
IMtopInitTask接口只有二个方法:
.method public abstract executeCoreTask(Lmtopsdk/mtop/global/MtopConfig;)V
.end method
.method public abstract executeExtraTask(Lmtopsdk/mtop/global/MtopConfig;)V
.end method
分别执行不同的初始化任务,分析executeCoreTask它主要做了四件事:
- 设置
ISign的实现类
- 设置
FilterManager
- 设置
AntiAttackHandler
- 设置
callFactory
对应的设置与实现类如下(基于大麦网:7.5.4):
| 设置项 |
抽象类 |
实现类 |
作用 |
| MtopConfig.sign |
mtopsdk.security.ISign |
mtopsdk.security.b |
参数签名 |
| MtopConfig.filterManager |
mtopsdk.framework.manager.FilterManager |
tb.anj |
网络请求过滤器 |
| MtopConfig.antiAttackHandler |
mtopsdk.mtop.antiattack.AntiAttackHandler |
mtopsdk.mtop.antiattack.AntiAttackHandlerImpl |
滑动解锁处理类 |
| MtopConfig.callFactory |
mtopsdk.network.Call$Factory |
mtopsdk.network.impl.a |
网络请求Call工厂类 |
再看executeExtraTask里面主要是调用了SwitchConfig.initConfig()方法,一看SwitchConfig里面有全是设置方法,细看下发现两个关键的hook点:
- setGlobalSpdySslSwitchOpen
- setGlobalSpdySwitchOpen
先使用Frida调一下试试:
function hookNetwork(){
var enableSpdy = false;
var SwitchConfig = Java.use('mtopsdk.mtop.global.SwitchConfig')
var instance = SwitchConfig.getInstance();
instance.setGlobalSpdySslSwitchOpen(enableSpdy);
instance.setGlobalSpdySwitchOpen(enableSpdy);
}
Java.perform(function () {
hookNetwork();
});
用上面的脚本,启动App试试:
frida -U -l src/index.js -f cn.damai
设置好手机代{过}{滤}理,再启动Charles查看是否有请求数据,如果有那说明爬包成功了:
抓到包看到数据基本上是完成一小步了,为什么是一小步呢?因为Mtop有签名机制和防机器人机制,这些要解决才能爬到数据的,不然调不了API或都人机校验过不了的。
欢迎大家关注公众号《大傻鱼》,一起交流Java、Android、逆向知识。
| 
发表于 2019-10-5 10:58
