0x01 寫在前面
對于AppHook這項技術,說難不難,說簡單也不簡單,唯一的特點就是比較費頭發,因為你需要在別人浩如煙海的代碼中推匯出你想要的東西,而且最終的推導結果還不一定如你所愿,所以搞這種東西之前,我們優先考慮的是自己的發量,而不是對它的研究興趣,
0x02 所用工具
系統環境
網易mumu模擬器 + Android 6.0【系統版本是模擬器自定義的】
鏈接工具
adb 這是檔案
應用軟體
某某蝦 version3.0
抓包工具
Fiddler
反編譯工具
jadx-gui
Hook工具:
python + frida
安卓撰寫工具
Android Studio version4.0
呼叫工具:
nanohttpd + xposed
這里需要注意兩點:
1. 目前github xposed作者將下載請求的協議改成了HTTPS,所以安裝程序中會出現激活失敗的情況,這里是我的解決該問題的參考方案
2. 在選擇模擬器時盡量選擇版本比較低的進行安裝,如果最新版本在安裝完xposed后,開機影片會可能會卡在94%無法載入,這種情況不明所以,這里是我的選擇的模擬器版本
0x03抓包分析
通過抓包我們不難發現,請求header里有兩個加密引數:X-SS-QUERIES、X-Gorgon ,而這兩個引數正是我們今天的研究的物件,
0x04 逆向原始碼
這款App沒有進行加殼,我們借助jadx-gui工具輕而易舉就能將它
扒光逆向,然后直接全域搜索X-SS-QUERIES關鍵字,記得勾選code
搜索到結果后對代碼進行跟進
直接對它所對應的函式a進行hook,分析一下的傳入值和回傳值
/* code for javascript */
Java.perform(function () {
let RequestEncrypt = Java.use("com.bytedance.frameworks.core.encrypt.RequestEncryptUtils");
// overload function
RequestEncrypt.a.overload("java.lang.String", "java.lang.String").implementation = function (x1, x2){
console.log("【INPUT x1】:", x1);
console.log("【INPUT x2】:", x2);
let result = this.a(x1, x2);
console.log("【OUTPUT 】:", result);
return result;
}
})
}
運行結果
從Hook后的結果我們發現一大堆亂碼的資料,但如果你細心研究一下,就會有更為驚奇的發現:它們不止亂碼而且看起來還挺費眼睛,
結論:【input x1】傳入值屬于加密資料,【input x2】傳入的UTF8編碼格式,所以,我們要從x1入手去推導它是如何進行加密的,只有把這一步整明白,那么整套演算法流程就會不攻自破,
根據上圖所圈點的代碼區塊,我們可以把大致的加密流程整理出來
從上述流程中我們可以分析出加密的初始值,也就是String 型別的a2變數,換句話來解釋:加密的源頭是a2所對應的數值,
看一下a2對應的函式
直接Hook
/* code for javascript */
RequestEncrypt.a.overload('java.util.List', 'boolean', 'java.lang.String').implementation = function (x1, x2, x3){
console.log("【INPUT x1】:", x1);
console.log("【INPUT x2】:", x2);
console.log("【INPUT x3】:", x3);
let result = this.a(x1, x2, x3);
console.log("【OUTPUT 】:", result);
return result;
};
從這次Hook結果來看,我們得到了一種明文資料,而且這種明文資料又符合urlencode編碼格式,所以我們直接給定結論或是提出大膽的假設:它正是執行加密的原始資料,但對于這種假設我們一會兒拿到xposed模板統一去驗證,這里先按下暫停鍵,
0x05 分析X-Gorgon引數
應該是版本迭代或者是官方故意隱藏,這個引數我們直接在逆向工具上搜索很難搜到,而且用我老師提供的堆疊追蹤法也無法定位,最終得益于神通廣大的網友助力,才讓此引數的研究思路初現端倪,(PS:具體哪篇文章我忘了,如果有侵權煩請告知,)
切入到函式內部
再次定位方法
直接Hook
// code for javascript
let NetworkParams = Java.use("com.bytedance.frameworks.baselib.network.http.NetworkParams");
NetworkParams.tryAddSecurityFactor.overload('java.lang.String', 'java.util.Map').implementation = function (x1, x2){
console.log("【input x1】:", x1);
console.log("【input x2】:", x2);
let result = this.tryAddSecurityFactor(x1, x2);
console.log("【output 】:", result);
return result;
}
})
分析一下:
【input x1】傳入值是網路請求的鏈接
【input x2】應該是一種Java專有的資料型別叫做:HashMap(見識少,勿噴)
【output 】正是我們想要的X-Gorgon加密引數
值得注意的是:x2的傳入值里面有很多密文,這些是App程式對你系統資訊的一些收錄,在之后呼叫的程序中可以模擬出來,不用刻意研究,
0x07 淺談android編輯器用法
關于安卓程式的撰寫,我也是剛學不久,屬于初級菜鳥,如果你對此也感興趣的話,我會在文末給出我老師的知識星球坐標,共勉,至于有什么識訓,你所看到的既是我的識訓,
選擇創建的模塊(不知道這樣叫準不準確,勿噴)
選擇安卓版本
這里需要注意幾點:
1. 你所選擇的android版本要跟SDK版本一一對應上,不然編譯成App時直接報錯,
2.創建App簽名時,一定要選用系統方式創建,不然即使編譯成功也會安裝失敗,
0x08 Xposed撰寫
專案app目錄下
AndroidMainfest.xml檔案中增加幾行代碼
<-- code for android !-->
<meta-data
android:name="xposedmodule"
android:value="true" />
<meta-data
android:name="xposeddescription"
android:value="your defined description" />
<meta-data
android:name="xposedminversion"
android:value="53" />
專案app目錄下
build.gradle檔案增加幾行代碼
dependencies {
...
compileOnly 'de.robv.android.xposed:api:82'
compileOnly 'de.robv.android.xposed:api:82:sources'
}
專案app目錄下
src/main/java/com.example.xxx/目錄中增加Java檔案命名為HookLoader
專案app目錄下
src/main/創建assets檔案夾并在檔案夾創建xposed_init檔案添加一行代碼:com.example.xxx.HookLoader
編譯成App成功后執行adb安裝指令:
adb install -t app-release.apk,然后我們就會發現我們的程式就推送到xposed模板中了
重啟模擬器驗證效果
打開App后列印攔截提示
0x09 搭建android服務
晾曬在檔案開頭的nanohttpd工具終于可以輪到它拋頭露面了,我們把它下載完成后添加到專案app目錄下
libs檔案夾中
再次在專案app目錄下
build.gradle檔案增加一行代碼
compileOnly 'org.nanohttpd:nanohttpd:2.3.1'
重新回到HookLoader檔案中撰寫代碼如何搭建服務,nanohttpd檔案中有詳細介紹我這里就張貼代碼了,見諒
重新編譯App并推送到模擬器中,當模擬器重啟后,打開某某蝦App會發現我們的服務啟動成功了,
執行
adb forward tcp:8889 tcp:8889將埠映射到本地,然后在本地瀏覽器訪問http://127.0.0.1:8889/hello
成功!
0x10 xposed呼叫
這一步要做的跟frida實作的功能有異曲同工之妙,只不過frida對內部函式進行攔截用于我們分析,而這一步我們使用xposed對內部函式進行呼叫,據為己用
處理請求
//code for java
@Override
public Response serve(String uri, Method method, Map<String, String> headers, Map<String, String> parms, Map<String, String> files) {
log(uri);
//register Class
Class<?> clazzPPx = null;
String postData = files.get("postData");
log("postData=" + postData);
// direct return error
if (StringUtils.isEmpty(postData)) {
return newFixedLengthResponse("postData is null.");
}
//
if (StringUtils.containsIgnoreCase(uri, "get-queries")) {
try {
clazzPPx = lpparam.classLoader.loadClass("com.bytedance.frameworks.encryptor.EncryptorUtil");
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
return getQueries(clazzPPx, postData);
} else if (StringUtils.containsIgnoreCase(uri, "get-gorgon")) {
try {
clazzPPx = lpparam.classLoader.loadClass("com.bytedance.frameworks.baselib.network.http.NetworkParams");
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
try {
JSONObject json = new JSONObject(postData);
log("json------------------" + json);
String str = (String) json.get("uri");
log("uri------------------" + uri);
JSONObject params = new JSONObject((String) json.get("params"));
log("params-------------- " + params);
HashMap hashMap = (HashMap) Utils.jsonToMap(params);
log("hashMap-------------" + hashMap);
return getGorgon(clazzPPx, str, hashMap);
} catch (JSONException e) {
e.printStackTrace();
return newFixedLengthResponse("invalid json type.");
}
}
return super.serve(uri, method, headers, parms, files);
}
處理回應以及xposed呼叫
// code for java
// get x-ss-queries function
public Response getQueries(Class<?> classUse, String strData) {
// get bytes
byte[] dataBuf = strData.getBytes();
// get bytes length
int length = dataBuf.length;
// callback native ttEncrypt function
byte[] dataEnc = (byte[]) XposedHelpers.callStaticMethod(classUse, "ttEncrypt", dataBuf, length);
// base64 encode
String dataBase64 = Base64.encodeToString(dataEnc, 2);
// url encode
String dataUrlEncode = null;
try {
dataUrlEncode = URLEncoder.encode(dataBase64, "UTF-8");
} catch (UnsupportedEncodingException e) {
e.printStackTrace();
}
log("X-SS-QUERIES:" + dataUrlEncode);
return newFixedLengthResponse(dataUrlEncode);
}
// get x-gorgon function
public Response getGorgon(Class<?> classUse, String str, Map<String, List<String>> map) {
log("getGorgon uri=" + str);
log("getGorgon map=" + map);
Map<String, String> mapGorgon = (Map<String, String>)XposedHelpers.callStaticMethod(classUse,"tryAddSecurityFactor", str, map);
log("Map gorgon=" + mapGorgon);
String gorgon = mapGorgon.get("X-Gorgon");
log("gorgon=" + gorgon);
return newFixedLengthResponse(gorgon);
}
使用python模擬請求
import requests
import json
# code for python
uri = "http://127.0.0.1:8889"
def get_queries_params():
queries_uri = f"{uri}/get-queries"
postData = "cell_id=7006574890992015629&count=2&api_version=1&iid=2524899796857758&device_id=61993742510055&ac" \
"=wifi&mac_address=08%3A00%3A27%3AE4%3AE3%3AB1&channel=store_tengxun_wzl&aid=1319&app_name=super" \
"&version_code=300&version_name=3.0.0&device_platform=android&ssmix=a&device_type=MI+6&device_brand" \
"=Xiaomi&language=zh&os_api=23&os_version=6.0.1&uuid=300000000218617&openudid=ab925ec9fb32a36d" \
"&manifest_version_code=300&resolution=810*1440&dpi=270&update_version_code=30050&_rticket" \
"=1631346727236&cdid=6eb9b3b7-4651-4038-a48e-107dc0f75c71&app_region=CN&sys_region=CN&time_zone=Asia" \
"%2FShanghai&app_language=ZH&carrier_region=&last_channel=&last_update_version_code=0 "
res = requests.post(url=queries_uri, data=postData)
if res.status_code == 200:
return res.text
def get_gorgon_params(x_ss_queries):
gorgon_uri = f"{uri}/get-gorgon"
hashMap = {
"accept-encoding": "gzip",
"cookie": "odin_tt=1c9cb7f29b113286bcf3ddd0e7a3d117cc88da5926f098f4fa09c1bc690efeffff835ecaf4fa53c35158071f87239f1f74a1545586d7acd74917405bc034b92f; passport_csrf_token_default=6237903143a1db30225c2f7e60e76afc; install_id=2524899796857758; ttreq=1$a5fa436781e70b00229f4e96ba6aa97fa8471fc1",
"sdk-version": "1",
"user-agent": "ttnet okhttp/3.10.0.2",
"x-ss-queries": x_ss_queries,
"x-ss-req-ticket": "1631346727238"
}
postData = {
"uri": "https://i.snssdk.com/bds/cell/immersion_comment/?cell_type=1&cell_id=7006574890992015629&count=2"
"&api_version=1&iid=2524899796857758&device_id=61993742510055&ac=wifi&mac_address=08%3A00%3A27%3AE4"
"%3AE3%3AB1&channel=store_tengxun_wzl&aid=1319&app_name=super&version_code=300&version_name=3.0.0"
"&device_platform=android&ssmix=a&device_type=MI+6&device_brand=Xiaomi&language=zh&os_api=23"
"&os_version=6.0.1&uuid=300000000218617&openudid=ab925ec9fb32a36d&manifest_version_code=300&resolution"
"=810*1440&dpi=270&update_version_code=30050&_rticket=1631346727236&cdid=6eb9b3b7-4651-4038-a48e"
"-107dc0f75c71&app_region=CN&sys_region=CN&time_zone=Asia%2FShanghai&app_language=ZH&carrier_region"
"=&last_channel=&last_update_version_code=0&ts=1631346727&as=a111111111111111111111&cp"
"=a000000000000000000000&mas=01950e0f880e41b17ece8e51d3ddfbe6a08c8c8c8c8c8c8c8c8c8c ",
"params": json.dumps(hashMap)
}
res = requests.post(url=gorgon_uri, data=json.dumps(postData))
if res.status_code == 200:
print(f"X-Gorgon 請求成功:", res.text)
def main():
x_ss_queries = get_queries_params()
print(f"X-SS-Queries 請求成功{x_ss_queries}")
get_gorgon_params(x_ss_queries)
if __name__ == '__main__':
main()
完美!!!
差點忘了,鑒于python沒有HashMap的資料型別,在向服務端請求的時候,我只用使用json去傳遞資料,Java端需要把我傳遞的json資料轉成HashMap型別, 這里是轉換的方法:
// code for java
import org.json.JSONException;
import org.json.JSONObject;
import java.util.Iterator;
import java.util.Map;
import java.util.HashMap;
import java.util.ArrayList;
public class Utils {
public static Map jsonToMap(JSONObject json) throws JSONException {
HashMap hashMap = new HashMap();
JSONObject items = new JSONObject();
Iterator<String > it = json.keys();
while (it.hasNext()){
String key = it.next();
items.put(key, new ArrayList<>());;
ArrayList itemArr = (ArrayList) items.get(key);
itemArr.add(json.get(key));
hashMap.put(key, itemArr);
}
return hashMap;
}
}
0x11 結語
這是本人一次嘗試寫技術博客,如果有錯誤之處還望大家多多評判指正,因為這樣的話,我就能明白自己的臉皮到底有多厚,最后,如果大家想學習這項技術的話,我推薦一個星球給大家,星主不光對這方面有很深得造詣,而且人長得還很帥,
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/299375.html
標籤:其他
上一篇:面試騰訊Android高級開發崗位被血虐!到底具有怎樣的技術才算高級水平?
下一篇:2021-9-10 Unity Remote5, 發布到Android手機平臺上的unity測驗必備使用教程(親身示范,真機測驗)