萌新的沪江小D词典app接口破解流程

查看 47|回复 3
作者:uusama   
说明
其实这是今年早些时候弄的,当时为了学日语方便,刚接触移动端逆向,很多东西都还很懵懂,走了很多弯路。这次整理一下整个流程,希望能对和我一样的萌新有帮助,也欢迎和大家交流。
准备工具
  • Android模拟器:逍遥模拟器
  • Anroid抓包代{过}{滤}理软件: Drony 1.3.154
  • PC抓包软件: Fiddler
  • apk反编译工具: jadx 1.3.0
  • Android so库反编译工具:站内有,这儿就不放链接了

    相关工具以及破解的apk包可以通过百度云获取: https://pan.baidu.com/s/1CjdDkXgVGJpMToXuc_8SRQ,提取码uurr。
    沪江小D词典
    首先安装好模拟器,apk包,还有抓包工具。需要在Android配置根证书才能抓HTTPS的包,站内应该有不少抓包的教程,不行我回头补一篇。
    进入沪江小D词典app以后,可以直接点击试用,不用注册。
    沪江小D查单词分两个接口,一个是弹窗快速查询接口/v10/quick/en/cn,一个是搜索栏的查询详情接口/v10/dict/en/cn。


    query-fiddler.png (520.09 KB, 下载次数: 0)
    下载附件
    fiddler抓包
    2024-10-31 15:06 上传

    弹窗快速查询接口/v10/quick/en/cn分析
    在Fiddler右边窗口中点击Composer,然后把请求拖过去可以看到请求的完整结构,包括请求头,请求body。
    首先看/v10/quick/en/cn弹窗查词接口,POST请求,参数就word参数,返回值也很清晰,就是一个json结构。但是注意到请求头中有两个头hujiang-appkey和hujiang-appsign。从名称来开,hujiang-appkey是一个定值,但是hujiang-appsign是一个签名,而且不知道是如何签名的。


    request-quick.png (209.94 KB, 下载次数: 0)
    下载附件
    弹窗查询
    2024-10-31 15:14 上传

    可以通过在postman中构造这个请求,主要填入下面几个关键信息:
  • 请求方式为POST,请求URL为https://dict.hjapi.com/v10/quick/en/cn
  • 请求参数为webForm格式,并且填入参数word=seven
  • 填入两个头hujiang-appkey和hujiang-appsign

    可以得到返回值,并且修改参数word以后,不能获取返回值,那么请求头中的hujiang-appsign签名构造比如包含参数word,而且看签名结构可以大胆假设其就是md5签名,接下来需要弄清楚参与签名的字符串。
    查询详情接口/v10/dict/en/cn分析
    另外看详情查询接口/v10/dict/en/cn,其请求参数包含两个参数word和word_ext,请求头同样有hujiang-appkey和hujiang-appsign。最恶心的是其返回值json的data域是加密过的。


    response-dict.png (184.08 KB, 下载次数: 0)
    下载附件
    查词详情接口
    2024-10-31 15:15 上传

    而且在postman中构造请求时,如果修改word_ext的值,则查不到结果,说明签名参数中还包含了word_ext。
    抓包分析总结
    通过上面的抓包,基本确认了几个点:
  • 单词查询接口没有做特殊的用户限制,没有cookie也可以查询
  • 重要参数为word和word_ext,其含义为待查询的单词
  • 另外参数中的/en/cn表示根据英文查中文,通过切换app可以得到/jp/cn表示根据日文查中文
  • 需要弄清楚请求头中的hujiang-appsign签名规则
  • 需要弄清楚/v10/dict/en/cn接口返回值的解密方式

    反编译apk
    通过上面的抓包分析,我们还是不能构造和复用沪江的查词接口,换一个词我们就查不了,而且关键的详情查询接口有更多我们需要的数据,但是返回值我们无法解析。
    针对上面这两点,只能通过反编译apk来看代码实现了。
    反编译也很简单,打开jadx软件,首先选择文件 -> 首选项,勾选反混淆,因为apk代码一般是混淆过的,启用反混淆更方便搜索代码。
    反编译之后,可以通过搜索接口来定位关联代码。
    /v10/quick/en/cn反编译代码实现分析
    直接搜索完整的url是没有结果的,说明这个url在代码里面是动态拼接的,尝试搜索/v10/quick,运气很好,只有一个匹配的代码。


    d-jadx-quick.png (63.52 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:16 上传

    双击进入包含/v10/quick所在的代码文件,可以看到这儿是定义了一个常量URL_LINK。


    d-jadx-quick-1.png (160.23 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:16 上传

    继续搜索常量URL_LINK看在哪些地方被调用,找到发送HTTP请求的位置。


    d-jadx-quick-api.png (108.99 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:16 上传

    可以看到搜索结果都是在com.hujiang.supermenu.client.API这个类中,很显然这个类就是HTTP请求的构造类了。点进这个类可以看到常量URL_LINK在两个方法中引用。


    d-jadx-quick-url-link-use.png (159.46 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:16 上传

    public static void translateWord(Context context, String str, String str2, String str3, AbstractC12224a aVar) {
        String format = String.format(getURL() + URL_LINK, str, str2);
        C19398b.m141a("划词API" + format);
        ((C12233h) ((C12233h) ((C12233h) ((C12233h) ((C12233h) new C12233h(context).m32079L(C12189g.f39935o)).m32058d("hujiang-appkey", APP_KEY)).m32058d("hujiang-appsign", getAppSign(str, str2, str3.trim()))).m32047j("word", str3)).m32051g0(format)).m32041p(String.class, aVar);
    }
    /* renamed from: d */
    // 双击this.f40105o可以看到其定义为 protected final Map f40105o = new HashMap();
    public R m32058d(String str, String str2) {
        this.f40105o.put(str, str2);
        return this;
    }
    // 签名函数
    public static String getAppSign(String str, String str2, String str3) {
        return md5(String.format(SIGN, str, str2, str3, "", APP_SECRET));
    }
    public static String md5(String str) {
        try {
            byte[] digest = MessageDigest.getInstance("MD5").digest(str.getBytes("UTF-8"));
            StringBuilder sb = new StringBuilder(digest.length * 2);
            for (byte b : digest) {
                int i = b & 255;
                if (i
    很显然方法translateWord就是构造http请求的地方,而且注意看String.format(getURL() + URL_LINK, str, str2)用于构造url,注意到最后一行代码中反复出现的那个方法,这儿是m32058d(可能反混淆成其他名称),就是往HashMap中加key-value,进而设置hujiang-appkey和hujiang-appsign的请求头。
    注意到其中的m32058d("hujiang-appsign", getAppSign(str, str2, str3.trim())))就是我们想要的签名构造方法。
    先不要急着跳转到getAppSign函数中,我们先弄清楚这儿的三个参数分别是什么。直接看这个函数内部的实现是不能分析三个参数的含义的。
    从URL的构造String.format(getURL() + URL_LINK, str, str2)可以看错,str就是翻译的原语言en,str2是翻译的目标语言cn,从m32047j("word", str3)可以推测str3就是查询的单词。弄清楚参数含义可以点进签名函数getAppSign,其实现很显然是md5,并且签名串构造为SIGN = "FromLang=%s&ToLang=%s&Word=%s&Word_Ext=%s%s"。
    到此就可以弄清楚弹窗查词的整个请求,然后可以写python爬虫实现了。
    import json
    import requests
    def query_hujiang_word(word: str, from_lang='cn', to_lang='jp') -> dict:
        api_url = 'http://dict.hjapi.com/v10/quick/{}/{}'.format(from_lang, to_lang)
        word_ext = ''
        app_secret = '3be65a6f99e98524e21e5dd8f85e2a9b'
        sign_str = 'FromLang={}&ToLang={}&Word={}&Word_Ext={}{}'\
            .format(from_lang, to_lang, word, word_ext, app_secret).encode(encoding='UTF-8')
        response = requests.post(
            api_url,
            data={
                "word": word,
                "word_ext": None
            },
            headers={
                "User-Agent": u_file.COMMON_USER_AGENT,
                "hujiang-appkey": "b458dd683e237054f9a7302235dee675",
                "hujiang-appsign": hashlib.md5(sign_str).hexdigest()
            },
        )
        log.info('end get info from web url: ' + api_url)
        if not (400
    结语:可以说整个分析过程是很简单的,中途也没有遇到其他卡住的难题,我一度以为接下来的分析也会很顺利,然而,令我恐惧的在后面。
    /v10/dict/en/cn反编译代码请求构造实现分析
    和上面一样的流程,同样是jadx反编译后直接搜索关键词/v10/dict,结果很多,但是不用慌,大部分一眼就可以排除掉。


    d-jadx-dict-search.png (264.31 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:17 上传

    从结果可以很容易找到目标代码,就是截图中那一行,其他的都是别的请求url,我们要找的是拼接路径,很容易排除。
    双击进入目标代码,可见整个目标类都已经被混淆,不像/v10/quick弹窗查词接口那样简单从类名和方法名就可以知道结果。不过也不用急。


    d-jadx-dict-method.png (204.96 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:17 上传

    public static void m40446y(String str, String str2, String str3, String str4, AbstractC12224a aVar) {
        if (str4 != null) {
            String trim = str4.trim();
            if (str.equals("cn")) {
                trim = ZHConverter.convert(trim, 1);
            }
            // hVar是一个HttpClient实例
            C12233h hVar = (C12233h) new C12233h(C11627h.m33736x().m33749k()).m32058d(f31569u, C11132q0.m35609s());
            String d = m40467d(str, str2, trim, str3, "3be65a6f99e98524e21e5dd8f85e2a9b");
            ((C12233h) ((C12233h) ((C12233h) ((C12233h) hVar.m32049h0(C9643a.m40497p(), "/v10/dict/" + str + "/" + str2)).m32058d("hujiang-appkey", "b458dd683e237054f9a7302235dee675")).m32058d("hujiang-appsign", d)).m32047j("word", trim)).m32079L(C12189g.f39935o);
            C11110j.m35802l("getWordDetail", hVar.m32087A());
            long currentTimeMillis = System.currentTimeMillis();
            long abs = Math.abs(new Random().nextLong());
            String valueOf = String.valueOf(abs);
            String hexString = Long.toHexString(abs);
            // m32058d 为设置http的请求头
            hVar.m32058d("X-B3-SpanId", hexString);
            hVar.m32058d("X-B3-TraceId", hexString);
            hVar.m32058d("X-B3-Sampled", "1");
            if (!TextUtils.isEmpty(str3)) {
                hVar.m32047j("word_ext", str3);
            }
            // 参数 aVar 是http回调处理类实例
            ((C12233h) new C9649d(hVar).m40484b()).m32041p(JsonModel.class, new C9670l(valueOf, currentTimeMillis, hVar, aVar));
        }
    }
    // 签名参数构造
    private static String m40467d(String str, String str2, String str3, String str4, String str5) {
        String str6 = "FromLang=" + str + "&ToLang=" + str2 + "&Word=" + str3 + "&Word_Ext=";
        if (!TextUtils.isEmpty(str4)) {
            str6 = str6 + str4;
        }
        return m40466e(str6 + str5);
    }
    可以右键函数或者类名进行改名,也可以添加注释,这样方便分析代码。
    首先分析请求构造方法,其中的C12233h类型可以点进去看,通过父类看到包含一些诸如HTTP请求的参数,显然是一个HttpRequestClient类似的封装。
    m32058d函数是添加请求头的key-value,其中请求头hujiang-appsign签名参数赋值变量d,而d = m40467d(str, str2, trim, str3, "3be65a6f99e98524e21e5dd8f85e2a9b")。此处的str=en,str2=cn,str2=trim是查询单词,并且看上面有个逻辑如果查询的是中文则要转义一下,str3就是word_ext参数。进入签名方法看其实现:
    private static String m40467d(String str, String str2, String str3, String str4, String str5) {
        String str6 = "FromLang=" + str + "&ToLang=" + str2 + "&Word=" + str3 + "&Word_Ext=";
        if (!TextUtils.isEmpty(str4)) {
            str6 = str6 + str4;
        }
        return m40466e(str6 + str5);
    }
    /* renamed from: e */
    private static String m40466e(String str) {
        try {
            return m40471A(MessageDigest.getInstance("MD5").digest(str.getBytes()));
        } catch (NoSuchAlgorithmException e) {
            C11110j.m35811c("", "", e);
            return null;
        }
    }
    显然还是md5算法,并且签名串和v10/quick上面的一致,都是FromLang={}&ToLang={}&Word={}&Word_Ext={}{app_secret}。
    同样用python实现请求,代码和上面的一致,只是url不一样,可以获取到json返回结果,显然请求构造破解完毕。
    接下来就是重头戏,返回值的解密。
    /v10/dict/en/cn反编译代码返回值解密实现分析
    继续看上面定位到的/v10/dict请求构造函数,注意到最后一行((C12233h) new C9649d(hVar).m40484b()).m32041p(JsonModel.class, new C9670l(valueOf, currentTimeMillis, hVar, aVar));。上面已经分析过C12233h是一个HttpRequestClient封装。
    这个地方注意前面都是类型转换成C12233h,然后调用方法m32041p,这个方法两个参数,第一个参数是一个class类型参数JsonModel.class,第二个参数新建一个实例C9670l。找到这两个关键类型的定义:
    public class JsonModel extends C9645b {
    }
    public class C9645b {
        public static final int STATUS_SUCCESS = 0;
        private T data;
        private String message;
        private int status;
        ...
        ...
    }
    public static class C9670l extends AbstractC12224a {
        /* renamed from: a */
        final /* synthetic */ String f31612a;
        /* renamed from: b */
        final /* synthetic */ long f31613b;
        /* renamed from: c */
        final /* synthetic */ C12233h f31614c;
        /* renamed from: d */
        final /* synthetic */ AbstractC12224a f31615d;
        C9670l(String str, long j, C12233h hVar, AbstractC12224a aVar) {
            this.f31612a = str;
            this.f31613b = j;
            this.f31614c = hVar;
            this.f31615d = aVar;
        }
        /* renamed from: onFail  reason: avoid collision after fix types in other method */
        public void onFail2(int i, JsonModel jsonModel, Map map, boolean z, long j, String str) {
            C9092b.m42463g().mo7827h(C11627h.m33736x().m33749k(), this.f31612a, this.f31613b, System.currentTimeMillis(), this.f31614c.m32087A(), i, "POST", str);
            this.f31615d.onFail(i, jsonModel, map, z, j, str);
        }
        @Override // com.hujiang.restvolley.webapi.AbstractC12224a
        public /* bridge */ /* synthetic */ void onFail(int i, JsonModel jsonModel, Map map, boolean z, long j, String str) {
            onFail2(i, jsonModel, (Map) map, z, j, str);
        }
        /* renamed from: onSuccess  reason: avoid collision after fix types in other method */
        public void onSuccess2(int i, JsonModel jsonModel, Map map, boolean z, long j, String str) {
            C9092b.m42463g().mo7827h(C11627h.m33736x().m33749k(), this.f31612a, this.f31613b, System.currentTimeMillis(), this.f31614c.m32087A(), i, "POST", str);
            this.f31615d.onSuccess(i, jsonModel, map, z, j, str);
        }
        @Override // com.hujiang.restvolley.webapi.AbstractC12224a
        public /* bridge */ /* synthetic */ void onSuccess(int i, JsonModel jsonModel, Map map, boolean z, long j, String str) {
            onSuccess2(i, jsonModel, (Map) map, z, j, str);
        }
    }
    public abstract class AbstractC12224a {
        protected Exception mException;
        public Exception getException() {
            return this.mException;
        }
        public abstract void onFail(int i, T t, Map map, boolean z, long j, String str);
        public void onFinished(AbstractC12235j jVar) {
        }
        public void onStart(AbstractC12235j jVar) {
        }
        public abstract void onSuccess(int i, T t, Map map, boolean z, long j, String str);
        public void setException(Exception exc) {
            this.mException = exc;
        }
    }
    注意到其中的JsonModel继承自C9645b,并且该类C9645b包含data,status,message三个参数,显然就是返回值的json结构。
    另外注意到C9670l的父类AbstractC12224a是一个抽象类,并且定义了onFinished,onSuccess这样的方法,而且包含泛型参数JsonModel,显然是一个HTTP请求的回调处理类。那么就要注意onSuccess方法的实现,其中有对返回值的处理,data的解密就在其中。
    回到实现类C9670l,注意其中的onSuccess方法实现,直接调用了onSuccess2,其中的核心实现为this.f31615d.onSuccess(i, jsonModel, map, z, j, str),调用了this.f31615d的请求成功处理函数,而this.f31615d在C9670l的构造函数中赋值。
    而C9670l的构造在上层中:new C9670l(valueOf, currentTimeMillis, hVar, aVar),比对参数发现this.f31615d就是这儿的aVar,而aVar是由上层传入的。


    d-jadx-dict-response.png (209.53 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:18 上传

    为了弄清楚aVar的值或者类型,我们搜索m40446y这个方法的调用:


    d-jadx-dict-aVar.png (151.44 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:18 上传

    可以看到除了函数声明外,有三个调用的地方,依次点开。
    首先第一个调用:C9658c.m40446y(localReviewWord.getFromLan(), localReviewWord.getToLan(), str2, localReviewWord.getWord(), new C9810a(localReviewWord));显然aVar= new C9810a(localReviewWord),其中localReviewWord是一个localReviewWord类型,里面是很复杂的词汇结构,显然是app端展示用的已经解密的数据结构。
    再点进C9810a类,这是一个http请求返回值的回调处理类。


    d-jadx-dict-call.png (207.77 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:18 上传

    /* renamed from: onSuccess  reason: avoid collision after fix types in other method */
    public void onSuccess2(int i, JsonModel jsonModel, Map map, boolean z, long j, String str) {
        C11106i.m35822a("OnlineApi.postWordDetail" + this.f32035a.getWordServerRawId(), true);
        if (this.f32035a.getmRememberTimes() != 2) {
            C11110j.m35812b(C9808c.f32015i, "word setDate: " + this.f32035a.getWord());
            if (jsonModel != null && !TextUtils.isEmpty(jsonModel.getData())) {
                String data = jsonModel.getData();
                if (!TextUtils.isEmpty(data)) {
                    try {
                        WordEntryResultDict wordEntryResultDict = (WordEntryResultDict) C11152w.m35489a(C9658c.m40470a(0, data, true), WordEntryResultDict.class);
                        List wordEntries = wordEntryResultDict.getWordEntries();
                        if (wordEntries != null && wordEntries.get(0) != null && wordEntries.get(0).getDict(1) != null) {
                            this.f32035a.setContent(wordEntryResultDict);
                            this.f32035a.setContentFrom(3);
                        }
                    } catch (Exception unused) {
                        C11110j.m35806h(C11155z.f36759w);
                    }
                }
            }
        }
    }
    注意其中的onSuccess2方法显然是http请求成功的回调处理,注意到其中通过jsonModel.getData()获取返回值的data字段,然后通过代码(WordEntryResultDict) C11152w.m35489a(C9658c.m40470a(0, data, true), WordEntryResultDict.class);直接将加密的data字符串转成了WordEntryResultDict词汇详情结构。
    显然解密就是在这句代码实现的,外层的C11152w.m35489a方法实现是把string转成json,点进入C9658c.m40470a方法的实现,显然就是解密函数了。


    d-jadx-dict-unzip.png (204.24 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:19 上传

    这儿用android.util.Base64进行解密,其中的参数0表示没有wrap,查询其源码可知。然后调用了OfflinewordAPI.decodeAndUnzip静态方法,然而这是一个native库方法,我们知道Android可以通过JNI NDK来实现这种native的方法,而其代码已经编译到so动态链接库中。


    d-jadx-dict-native.png (183.44 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:19 上传

    事情开始变得麻烦了!
    反编译so获取解密密钥和实现
    native的方法是通过JNI实现,只能去so库中寻找了,然而so是动态链接库,很多人会在这儿放弃吧,然而已经花了这么多时间看混淆代码,怎么可以轻言放弃!
    继续看OfflinewordAPI这个类,可以看到上面有加载so库的代码System.loadLibrary("decodermarker"),看so库的名称,猜测解密函数的实现在decodermarker这个库中,还原路径就是apk包中的lib/libdecodermarker.so文件。


    d-jadx-dict-so.png (190.1 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:19 上传

    可以通过下面的方式提取到这个so文件:
    [ol]
  • 将apk包后置名改为zip然后解压
  • 使用apktool工具解压
    [ol]
  • 点击apktool页面直接另存为apktool.bat
  • 点击页面下载最新版本的jar包并重命名为apktool.jar
  • 将上面两个文件放在同一个文件加
  • 可以选择配置刚才的文件夹为环境变量,或者直接在该文件夹下cmd打开控制台
  • 执行命令apktool b hujiang-dict.apk解压
    [/ol]
  • 直接jadx另存项目提取文件
  • 其他工具解压
    [/ol]
    这儿直接取armeabe-v7a架构下的libdecodermarker.so文件。
    拿到so文件以后,打开下载好的IDA,不要打开IDA64.exe,64位版不支持将汇编反编译为C语言,不方便阅读源码。
    打开时选择Load File ELF for ARM(Shared object)。其他的配置可以不用修改。


    d-ida-function.png (286.95 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:20 上传

    这个so文件不大,打开后首先看最左侧的Function一栏,可以看到AES_CBC的一些函数,可以大胆猜测使用了AES_CBC的解密方式,如果是用这种解密方式,就要找到key和iv了。不过先不急。
    首先在左侧Function Window按Ctrl+F搜索native方法decodeAndUnzip找到其入口。native方法绑定的方式是包名称加方法名,很容易定位到,然后按F5可以将汇编反编译为C语言。
    通过Option -> General -> Auto Comments可以打开汇编指令自动注解功能。


    d-ida-function-search.png (75.1 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:20 上传

    可见Java_com_hujiang_offlineword_OfflinewordAPI_decodeAndUnzip这个方法的实现,点击return语句中调用的方法,一路嵌套下来:
    j_j_decodeAndUnzip_0 -> j_decodeAndUnzip -> off_16DB8
    到off_16DB8这个地址标记位置:


    d-ida-function-off.png (117.37 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:20 上传

    双击其中的函数decodeAndUnzip然后按F5反编译为C语言。


    d-ida-function-c.png (162.19 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:20 上传

    这个函数就是解密实现的核心逻辑了,注意到其中的函数调用HJCryptoManager::decryptAndInflate,双击跳转到该函数地址。
    其中是一个嵌套函数,一直跟着函数地址跳转。
    HJCryptoManager::decryptAndInflate -> off_16DC4 -> _ZN15HJCryptoManager17decryptAndInflateEiPhiPS0_Pii+1 -> F5
    可以看到调用解密函数。


    d-ida-function-decrypt.png (111.18 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:21 上传

    我寻寻觅觅,在汇编海洋中逐渐迷失了,根本找不到密钥在哪儿!!
    换一种思路,比如动态调试,现在我不是已经知道函数入口了吗?能不能在Python种调用so库函数呢?模拟Android环境。
    查了一下,还真有,有一个python库,AndroidNativeEmu,支持在python中调用so库中的方法,整个完全模拟Android环境,文档参考:https://github.com/P4nda0s/AndroidNativeEmu/blob/master/README_cn.md。
    激动啊!
    赶紧把代码clone到本地,照着文档中的方法,本地的python是3.7版本和文档匹配,直接安装依赖pip install -r requirements.txt,本来一切正常,但是到keystone-engine这个库的时候好像有报错。不过后面好像成功安装了,先不管了。
    将项目导入到Pycharm中后,提示androidemu包找不到,只需要右键项目,选择Mark Directory as Source Root即可。
    直接运行samples中的示例,结果肯定是运行不了。没办法,只能重新安装keystone-engine,仔细看了下报错,好像是版本的问题。
    尝试着先把已经按照的库删掉pip uninstall keystone-engine,然后再重新安装pip install keystone-engine,居然没报错成功了!谢天谢地!
    重新运行samples下的示例,居然跑起来!!!LUCKY!!
    好的,接下来把我们的库移动进去,然后改一下example_douyin.py代码,首先定义一个目标类OfflinewordAPI对应上JNI里面的类,然后加载库。
    import logging
    import posixpath
    import sys
    from unicorn import UcError, UC_HOOK_CODE, UC_HOOK_MEM_UNMAPPED
    from unicorn.arm_const import *
    from androidemu.emulator import Emulator
    from androidemu.java.java_class_def import JavaClassDef
    from androidemu.java.java_method_def import java_method_def
    from samples import debug_utils
    class OfflinewordAPI(metaclass=JavaClassDef, jvm_name='com/hujiang/offlineword/OfflinewordAPI'):
        def __init__(self):
            pass
        @java_method_def(name='leviathan', signature='(I[B)[B', native=True)
        def decodeAndUnzip(self, mu):
            pass
    emulator.load_library("example_binaries/libdecodermarker.so")
    先运行一下有没有问题,结果库加载不了,总是报各种莫名奇妙的问题,有可能是这个so库有问题,或者架构不兼容,或者其他的,而且定义OfflinewordAPI的时候,方法里面的signature也不知道写啥。
    查了半天文档,找不到任何的线索,而且这个项目貌似star也不多,可能不行吧,放弃此路吧,还是找到密钥更爽。
    劝劝自己,还是回去看汇编代码吧!继续下去!不能半途而废啊!它这个so库也没加壳没做安全处理,应该很容易找到的。
    所以,又回到了IDA。这一次仔细研究了一下IDA的功能,首先是最上面的工具栏,能看到Structures,Enums,Imports,Exports等。然后之前在查资料的时候又看到,反编译so时,先看看export。


    d-ida-export.png (164.1 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:21 上传

    点开export窗口,里面有导出的函数名,变量等,仔细找可以发现导出的key和iv。
    等等!难道!我知道我脸上的笑容已经开始逐渐放肆!
    别激动,稳一手!深呼吸两口气,然后双击其中的key,进入代码地址。
    这儿的DCB是指开辟两个字节的存储空间。


    d-ida-function-key.png (158.91 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:21 上传

    显然这就是苦苦寻找的AES_CBC解密的key和iv了!可给找到了啊!你们哥俩!
    还不能确定,先在python中用这两个参数解密试试看。
    python已经有现有的库实现了AES_CBC解密,windows安装pycryptodome库即可,之前爬取hlsv解密时用过。
    解密函数的代码如下:
    import base64
    from Crypto.Cipher import AES
    def hujiang_des_cbc_decrypt(encode_data):
        """
        沪江小D单词详情查询接口返回的 data 是加密的,需要解密,AES_CBC解密
        :param encode_data: 加密数据
        :return: 解密后的json数据
        """
        key = 'ceh[Een,3d3o9neg}fH+Jx4XiA0,D1cT'.encode('UTF-8')
        iv = 'K+\\~d4,Ir)b$=paf'.encode('UTF-8')
        cipher = AES.new(key, AES.MODE_CBC, iv)
        # 注意不要遗漏调用的 android.util.Base64
        decode_data = base64.decodebytes(encode_data.encode('UTF-8'))
        decode_data = cipher.decrypt(decode_data)
        print(decode_data)
    找一个抓包到的加密data传进去验证一下,解密应该能得到一个json字符串才对。
    激动人心的时候到了。Run!
    怎么结果是b'\x1f\x8b\x08\x00\x00\x00\x00.....这样的乱码。要遭啊!
    这可咋搞?!难道提取的key和iv是错的?但是这个key和iv一个是32位,一个是16位,很显然是对的啊。或者解密算法还有其他的参数?
    于是吭哧吭哧打开在线AES解密网站,把参数填进去,选择不同的填充方式,什么no padding啊,什么pkcs7padding啊都试过了,就是不能解密。
    难道一切要重新开始来吗?
    等等!!!
    \x1f\x8b\x08这个不是压缩文件的开头标识吗?会不会解密的结果被压缩过了!
    试一试!
    加上decode_data = gzip.decompress(decode_data)的解压缩代码。
    运行!
    然而。。。报错了。
    OSError: Not a gzipped file (b'\x0f\x0f')
    这个\x0f是什么鬼东西?回头检查解压前的数据,搜索这两个字节码。
    怎么回事!?怎么解密后的数据后面全是\x0f,这不对啊!
    找资料,发现AES_CBC解密时,还需要去掉末尾填充的字符。
    加上代码decode_data = decode_data[:-decode_data[-1]]
    运行!
    最后居然成功了,熟悉的json字符串出来了!想不到终于成功了!!!


    ci-field-decode.png (291.29 KB, 下载次数: 0)
    下载附件
    2024-10-31 15:22 上传

    最后的完整解密代码如下:
    import gzip
    import base64
    from Crypto.Cipher import AES
    def hujiang_des_cbc_decrypt(encode_data):
        """
        沪江小D单词详情查询接口返回的 data 是加密的,需要解密,AES_CBC解密
        :param encode_data: 加密数据
        :return: 解密后的json数据
        """
        key = 'ceh[Een,3d3o9neg}fH+Jx4XiA0,D1cT'.encode('UTF-8')
        iv = 'K+\\~d4,Ir)b$=paf'.encode('UTF-8')
        cipher = AES.new(key, AES.MODE_CBC, iv)
        # 解密之前还需要 base64解码
        decode_data = base64.decodebytes(encode_data.encode('UTF-8'))
        decode_data = cipher.decrypt(decode_data)
        # 注意需要去掉尾部的填充字符,复杂解压失败
        print(decode_data)
        decode_data = decode_data[:-decode_data[-1]]
        print(decode_data)
        decode_data = gzip.decompress(decode_data)
        print(decode_data)
        decode_data = json.loads(decode_data.decode('UTF-8'))
        print(decode_data)
        return decode_data
    结语
    其实很辛运,对方做的安全措施也不是很严格。
  • 代码没有加固,没有加壳
  • 混淆也没那么恐怖
  • url直接明文写,其实可以把url拆分,或者写成ascii吗收不到
  • so库没有加壳,也没有混淆
  • key和iv没有做特殊运算,直接写死的字符串

    不过如果做了这些的话,可能需要动态调试,或者其他方法吧。
    其实后面也对沪江开心词场等其他几个词典的APP接口进行了破解,方法都类似。

    下载次数, 代码

  • harbor2003yw   

    简直太棒了
    p297615   

    感谢分享
    zlzx01   

    萌新这么牛,那牛人是什么级别!
    您需要登录后才可以回帖 登录 | 立即注册

    返回顶部