本帖最后由 adjclubyb 于 2024-1-21 17:29 编辑
之前有位兄弟有偿求破一脚本卡密,说是某打车抢单的,因为没有接触过这种脚本的逆向,所以給看了看
第一步,先上GDA,看看有没有壳
看到是没有壳,而且又得到一个信息,这是Autojs脚本
第二步,安装,看看界面(打码是为了不砸人饭碗,以后可能也在这个圈子混呢,哈哈哈)
可以看到有卡密,这里有个点要注意下,像一般脚本去卡密到这步,可能要上MT管理器去搜关键字了,当然我也这样做了,但是dex里面根本搜不到什么有用的信息,而且看这个布局,如果写过Autojs脚本的应该可以猜到这个卡密模块是写在js里面的,这里用MT看看js脚本是不是有加密
可以看到是加密了,所以下一步,我们要dump里面的js脚本下来研究了
第三步,上FrIDA脱脚本
分析脱脚本的文章网上有很多,我也是直接拿的其它人的成果,这里不深入分析
先上代码,把加载的js代码先按照byte数组打印出来
[JavaScript] 纯文本查看 复制代码 Java.perform(function(){
function bytesToString(bytes){
var str="{";
for(var i = 0; i < bytes.length; i++) {
str +=bytes[i]+","
}
return str+"0}";
}
var scriptEncryption= Java.use("com.stardust.autojs.engine.encryption.ScriptEncryption");
scriptEncryption.decrypt.overload('[B',"int","int").implementation=function(paramArrayOfByte,paramInt1,paramInt2){
var bytes=this.decrypt(paramArrayOfByte,paramInt1,paramInt2);
//最终得到的结果是一个十进制的byte数组
console.log("bytes is:"+bytesToString(bytes));
return bytes
}
});
再用python处理转为js
[Python] 纯文本查看 复制代码 arr=[39, 117, 105, 39, 59, 13, 10, 13, 10, 105, 109, 112, 111, 114, 116,] # byte数组放这里
with open("jiaoben.js","w",encoding="utf-8") as f:
for s in arr:
f.write(chr(s&0xff))
这里有个坑需要提下,因为这个脱脚本的点是在打开app加载js脚本的时候,网上一些文章说是要先用spawn模式启动frida去hook,再启动app,但是我试了是不行的,这里还有个操作顺序:
1.先启动app,等加载到主界面,不要操作其它
2.电脑上运行命令:frida -U -l hook.js app,在手机上按返回键返回到桌面,这里很重要
3.点击app启动,这里才算是hook到加载脚本的点,加载了多少脚本这里都会打印出来
但是........,这里脱下的脚本,main.js里面的字符串没有解开,只能脱下common.js
所以这里要上第二个脚本,操作步骤和上面一样,这个不需要转换byte,直接就是js代码
[JavaScript] 纯文本查看 复制代码 function write_file(full_path, data) {
var f = new File(full_path, 'w')
f.write(data)
f.close()
}
Java.perform(function () {
var ClassName = Java.use('com.stardust.autojs.script.StringScriptSource');
ClassName.$init.overload("java.lang.String","java.lang.String").implementation=function(param_1,param_2){
write_file("/storage/emulated/0/main_dump.js", param_2)
var ret = this.$init(param_1,param_2);
return ret;
}
});
这里就可以脱下完整的main.js脚本了
第四步,分析
在代码里面,我们先看看卡密这个位置,先看看绑定的逻辑,查找代码定位
点击的逻辑,触发checkCard
checkCard的逻辑,这里可以看到这个卡密用的是某云验证
里面还有个geiapi的方法,我们跟进去看
base_url?我们找下这是个啥
第一个地方,最上面初始化了这个变量
第二个地方,是个try catch里面,这个应该是脚本执行的时候就执行了,在点击卡密绑定的之前就已经获取了,那接着跟着看下面的逻辑呗
我们回到那个get_api的方法,可以看到是为了获取第二个api,这里把卡密和设备id都上传了,应该是作者自己的第二层校验,其实到这里,我们或许可以猜测,这个脚本是不是存在云加载之类的动作,这样来回的获取地址确实可疑
这里卡密绑定的逻辑就结束了,那获取的第二个api是干嘛用的勒,我们搜下代码里面
main.js里面只有两处,就是一个初始化,一个获取
common.js里面用到的地方是请求方法这里
我们在main.js搜索下这个request_server2
这里是第二个界面里面的功能
那也就是说,除了卡密验证第一步,这里还有个第二步,让你登录作者的后端。这样的话,那这个卡密其实破了也没有作用,下面还有几个请求我也看了,全部都是请求的作者的后端,都要把卡密还有设备id上传。
到这里可以看到作者把抢单的逻辑都放后端了,这个脚本只是作为前端提交数据交互而已,那最后我们就来抓包看看,交互的都是些啥
最后,抓包
抓包这里我们使用Charles+SocksDroid,小黄鸟试了脚本会闪退,但是代码看了并没有检测proxy的逻辑,感觉是和Autojs里面的逻辑有冲突,这里不纠结
这是打开app的接口交互数据,卡密那里就不搞了,整个分析过程没有什么亮点,这个也是第一次分析这种Autojs的脚本,仅当记录 | 
发表于 2024-1-21 17:26
|
发表于 2024-1-22 15:17
