多图预警,流量提醒
某鱼上面接了个单子,关于安卓手游逆向分析的.本来不想搞的,今天客户又联系我说看下,好吧,看在money的份上那就分析看看
1.png (29.52 KB, 下载次数: 0)
下载附件
2023-5-11 21:45 上传
2.png (35.07 KB, 下载次数: 0)
下载附件
2023-5-11 21:45 上传
初步分析下载安装app,没啥说的.像这种手游类型的,一般都是TCP的封包协议,有的是websocket,有的是纯粹的TCP,
那么就先抓包看看,我用的是pixel3,配置抓包环境就不详细展开了.打开charles,发现到登录服务器的时候会提示连接不上服务器.那就换httpcanary试试,
3.png (371.13 KB, 下载次数: 0)
下载附件
2023-5-11 21:46 上传
4.png (76.07 KB, 下载次数: 0)
下载附件
2023-5-11 21:46 上传
可以明显看到是websocket的协议,先打开看看是否是明文显示的.
5.png (68.36 KB, 下载次数: 0)
下载附件
2023-5-11 21:46 上传
6.png (55.42 KB, 下载次数: 0)
下载附件
2023-5-11 21:46 上传
可以看到发送包部分明文,再看看接收的包
7.png (92.45 KB, 下载次数: 0)
下载附件
2023-5-11 21:46 上传
8.png (35.62 KB, 下载次数: 0)
下载附件
2023-5-11 21:47 上传
有的有明文,有的却都是乱码,且乱码部分的数据都比较大.初步判断有做压缩传输.APP分析接下来就要去看下app里面的构造了,首先游戏类的app,因为要频繁更新,所以一般不存在加固加壳的情况,用压缩软件打开app目录,可以看到
8-1.png (10.09 KB, 下载次数: 0)
下载附件
2023-5-11 21:46 上传
99.png (26.9 KB, 下载次数: 0)
下载附件
2023-5-11 21:48 上传
cocos2d jsc文件,并且在lib目录看到了cocos2djs.so,确定这个游戏主要的逻辑应该都在这个jsc文件里面.
根据经验直接用mt管理器以十六进制文本打开cocos2djs.so,然后搜索ASCII字符main.js,
10.png (42.71 KB, 下载次数: 0)
下载附件
2023-5-11 21:48 上传
11.png (26.95 KB, 下载次数: 0)
下载附件
2023-5-11 21:48 上传
12.png (112.8 KB, 下载次数: 0)
下载附件
2023-5-11 21:49 上传
这个格式的 0ed68e2d-8b2f-4a就是jsc的解密密钥key尝试解密https://bbs.kanxue.com/thread-267920.htm#msg_header_h2_1
根据这篇大佬的分析里面有提到的jsc解密v1.44工具,下载打开,输入key,然后拖入
project.jsc,运气不错,顺利的解开了.(ps:文件有点大,可能会卡一会儿,耐心等待)
13.png (52.93 KB, 下载次数: 0)
下载附件
2023-5-11 21:49 上传
接下来就找个工具把js代码格式化一下.然后关键词大法搜索一下"ws://","send","sendmessage","encrypt","encode",之类的.
顺利的定位到发包前的编码代码位置,先上编码的图
14.png (68.12 KB, 下载次数: 0)
下载附件
2023-5-11 21:49 上传
然后是解码的
15.png (67.11 KB, 下载次数: 0)
下载附件
2023-5-11 21:49 上传
编码的和解码的差不多,只是多了个HashCode,应该是服务器接收到客户端的数据后会根据这个hashcode来判断数据
是否是合法提交.代码分析算法分析重点看下解码的代码,
先读取前4个字节作为headerFlag来判断数据是否被压缩,如果是压缩的需要执行解压缩inflate操作
再读取4个字节是数据的长度,(ps:注意要做字节集反转,大小端网络字节序的转换)
然后一个字节作为moduleEnum
再一个字节作为cmdEnum
再两个字节作为statusCode
然后从下个字节开始到尾部刚好是与数据长度相等,那么这最后读取出来的readBytes就是最终的数据了.算法还原解析数据接下来根据前面的分析,来通过代码实现数据的解析,看看服务器返回的数据明文是什么东东
16.png (126.88 KB, 下载次数: 0)
下载附件
2023-5-11 21:49 上传
图上第一个包是发送的包,因为没有做hashcode的判断,导致前面多了两个字节,后面丢了两个字节
不过接收的包是可以看到完整信息的.至此封包分析结束,发送的包只要按照相同的逻辑做组包即可,记得带上hashcode.总结1.逆向分析的过程,上文取巧通过搜索main.js来直接定位到了key的位置.如果做适当的加密混淆可以避免这种情况,
那么就得像上贴大佬的方式去ida定位xxtea,然后frida来hook关键的位置提取key值.
2.这个游戏只是对数据做了压缩,且短数据直接没有做处理,没有做加密或者序列号的处理,不过考虑到游戏类对通讯的低延时要求,不做评价.
3.最后在附件贴上游戏文件,如有侵权,联系删除.好了,到这里基本的分析记录也已经结束了,谈不上教程,只是把自己的学习分析过程记录一下.大家有什么好的方法和见解也欢迎交流,谢谢大家。最后的最后,客户放我鸽子了,这也是这篇帖子会出现的原因,大家再见!
17.png (147.93 KB, 下载次数: 0)
下载附件
2023-5-11 21:50 上传
分析记录.zip
(731 Bytes, 下载次数: 6)
2023-5-11 21:50 上传
点击文件名下载附件
下载积分: 吾爱币 -1 CB