好友 阅读权限 10
听众 最后登录 1970-1-1
本帖最后由 hjsz 于 2023-11-28 17:25 编辑 某TV逆向初探
读了这篇博客https://www.52pojie.cn/thread-1739315-1-1.html,也想找个这种试试,于是就问了位朋友,告诉我哪里好找这种app。于是就随便找了个,后来才发现这个app应该是被启用的了。没事,至少过程中可以学到东西。探索
首先看了Androidmanifest文件,知道了splashActivity是启动activity,在别的app也经常看到这个activity,但是一般是广告。
然后看一下登录这一类的activity,看看能不能找到api请求的URL,然后在绑定电话的activity中看到了下面这个函数validate = (ClearAbleEditText) $_findCachedViewById(R.id.et_validate);
- 然后根据请求的逻辑找到了所有网络请求的定义位置。然后想着先看看网址http://app.dylite.ipx.mx ,但是这个网址挂了。然后就想着试试还能不能进app,估计不能了,这类app经常跑路的。下面只是部分实例,格式不太好,见谅~
`
public void p(String str, a aVar) {
((PostRequest) ((PostRequest) e.e.a.b.f(b("/user/data")).tag("relationDo")).params("code", str, new boolean[0])).execute(aVar);
}
public void q(int i, a aVar) {
((PostRequest) ((PostRequest) ((PostRequest) e.e.a.b.f(b("/message/index")).tag("msgList")).params("page_size", 20, new boolean[0])).params("page", i, new boolean[0])).execute(aVar);
}
public String b(String str) {
String c2 = h.a().c(com.niming.weipa.c.a.n);
if (!TextUtils.isEmpty(c2)) {
return c2 + f5050b + str;
}
return "http://app.dylite.ipx.mx" + f5050b + str;
}
安装应用后提示已经root,无法打开。然后搜索相关关键词,找到splashactivity中的关键代码。
private final void K() {
LogUtils.b("niming", "===AppUtils.isAppRoot():" + com.blankj.utilcode.util.c.r() + " DeviceUtils.isDeviceRooted() " + w.q());
if (!A() && !m.a(this.activity)) {
if (a((Context) this)) {
h("检测到您使用了代{过}{滤}理软件,不允许继续使用");
return;
}
h.a().a(com.niming.weipa.c.a.n, "");
x();
return;
}
h("检测到您使用的是模拟器或者设备已经root,不允许继续使用"); }
饶过上面的检测
首先想到是修改smali,正如上面代码对应的,smali代码中也有三个if判断,开始想的是直接将三个判断改为相反的,但是改完之后发现还是会走到最后的Dialog代码,就感觉第一个if中的两个条件不一定都要取反才可以。
.line 3invoke-direct {p0}, Lcom/niming/weipa/ui/splash/SplashActivity;->A()Z
move-result v0
if-nez v0, :cond_56
iget-object v0, p0, Lcom/niming/framework/base/BaseActivity;->activity:Landroid/app/Activity;
invoke-static {v0}, Lcom/niming/weipa/utils/m;->a(Landroid/content/Context;)Z
move-result v0
if-eqz v0, :cond_3b
goto :goto_56
.line 4
move-result v0
if-eqz v0, :cond_47
`
然后不想挨个试了,其实就两个条件,挨个试也可以。但是咱不是跟正己 老师学了frida嘛,那就试一下。
直接用jadx右键:复制为frida片段。依次将两个函数:A() 和m.a(**this**.activity) 复制为frida函数,查看其返回值。
先使用frida-ps -U查看要hook的进程名。然后使用frida -U -f 进程名 -l hook.js ,进行hook。这里使用Spawn模式的时候一直失败。
function h4(){
let SplashActivity = Java.use("com.niming.weipa.ui.splash.SplashActivity");
SplashActivity["A"].implementation = function () {
console.log('A is called');
var ret = this.A();
console.log('A ret value is ' + ret.toString());
return false;
};
let m = Java.use("com.niming.weipa.utils.m");
m["a"].overload('android.content.Context').implementation = function () {
let ret = this.a(null);
console.log('a ret value2 is ' + ret);
return ret;
};
}
function main() {
Java.perform(function () {
h4();
});
}
setImmediate(main);
根据返回值,果然都不能把if判断取反,然后就直接用frida修改A()函数的返回值为False。但是又出现使用了代{过}{滤}理,也不能进入,一想还没开代{过}{滤}理啊,哦,原来开始的时候把这个判断也取反了,然后改过来即可。
最后可以进入软件,但是一直在加载,估计后台是挂的。
第一次在吾爱上发东西,对编辑器啥的也非常不熟悉,还请各位师傅多多指教!谢谢!
查看全部评分
发帖前要善用【论坛搜索 】 功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。
[复制链接]
发表于 2023-11-28 21:31
发表于 2023-11-28 21:53
收藏
淘帖
有用
分享到朋友圈
