Yoo趣儿

Yoo趣儿 操作系统 Android 某东到家 app so signkeyV1 参数分析

某东到家 app so signkeyV1 参数分析

查看 114|回复 11
作者:qinless   
前言

京东到家 app signKeyv1 参数分析,版本 8.14.0

charles 抓包


1636696957152-0.png (78.98 KB, 下载次数: 0)
下载附件
2021-11-12 14:04 上传

就是 djencrypt 这个参数,是一个加密串,分析一下
java 层分析


1636696957152-1.png (78.08 KB, 下载次数: 0)
下载附件
2021-11-12 14:04 上传

全局搜索定位到这个函数 base.net.volley.BaseStringRequest.getParams,跟进 DaojiaAesUtil.encrypt 看看


1636696957152-2.png (94.38 KB, 下载次数: 0)
下载附件
2021-11-12 14:04 上传

在跟进 AesCbcCrypto.encrypt 这个函数


1636696957152-3.png (533.02 KB, 下载次数: 0)
下载附件
2021-11-12 14:04 上传

里面写的还是比较清楚的,加密方式是 AES/CBC/PKCS5Padding 使用 cyberchef 解密试试


1636696957152-4.png (690.4 KB, 下载次数: 0)
下载附件
2021-11-12 14:04 上传

解密成功,主要是分析这个 signKeyV1 参数,看长度是 64,猜测是 sha256 加密,分析一下


1636696957152-5.png (590.27 KB, 下载次数: 0)
下载附件
2021-11-12 14:04 上传

全局搜索定位到这里,调用 k2 native 函数获取的,在 libjdpdj.so 文件里


1636696957152-6.png (205.04 KB, 下载次数: 0)
下载附件
2021-11-12 14:04 上传

打开 so 进入 JNI_OnLoad 函数,这里是动态注册的,点击 off_117004


1636696957152-7.png (577.59 KB, 下载次数: 0)
下载附件
2021-11-12 14:04 上传

这里看到,函数注册列表,点进 gk2 函数


1636696957152-8.png (108.18 KB, 下载次数: 0)
下载附件
2021-11-12 14:05 上传

前面是一些数据处理,下面有个 j_hmac_sha256 函数,可以确实是用的 hmac sha256 算法


1636696957152-9.png (417.61 KB, 下载次数: 0)
下载附件
2021-11-12 14:05 上传

这里的符号都没去掉,init update final 函数都能看到,这里应该是标准的算法,因为使用的是 openssl 库,先写个 frida hook 一下
frida hook
function hook() {
    var javaString = Java.use('java.lang.String');
    var zCls = Java.use('jd.net.z');
    zCls.k2.implementation = function (a) {
        console.log('zCls.k2.a: ', javaString.$new(a));
        var res = this.k2(a);
        console.log('zCls.k2.res: ', res);
        return res;
    }
}
这里 hook java k2 函数的输入输出
function hookSo1() {
    var hmac_sha256 = Module.findExportByName('libjdpdj.so', 'hmac_sha256')
    var HMAC_CTX_init = Module.findExportByName('libjdpdj.so', 'HMAC_CTX_init')
    var HMAC_Update = Module.findExportByName('libjdpdj.so', 'HMAC_Update')
    var HMAC_Init_ex = Module.findExportByName('libjdpdj.so', 'HMAC_Init_ex')
    Interceptor.attach(hmac_sha256, {
        onEnter: function (args) {
            console.log('hmac_sha256 参数 1: ', hexdump(args[0]));
            console.log('hmac_sha256 参数 2: ', hexdump(args[1]));
            console.log('hmac_sha256 参数 3: ', hexdump(args[2]));
            console.log('hmac_sha256 参数 4: ', hexdump(args[3]));
        },
        onLeave: function (retValue) {
        }
    })
    Interceptor.attach(HMAC_CTX_init, {
        onEnter: function (args) {
            console.log('HMAC_CTX_init 参数 1: ', hexdump(args[0]));
        },
        onLeave: function (retValue) {
        }
    })
    Interceptor.attach(HMAC_Update, {
        onEnter: function (args) {
            console.log('HMAC_Update 参数 1: ', hexdump(args[0]));
            console.log('HMAC_Update 参数 2: ', hexdump(args[1], {length: 1200}));
            console.log('HMAC_Update 参数 3: ', hexdump(args[2]));
        },
        onLeave: function (retValue) {
        }
    })
    Interceptor.attach(HMAC_Init_ex, {
        onEnter: function (args) {
            console.log('HMAC_Init_ex 参数 1: ', hexdump(args[0]));
            console.log('HMAC_Init_ex 参数 2: ', hexdump(args[1]));
            console.log('HMAC_Init_ex 参数 3: ', hexdump(args[2]));
            console.log('HMAC_Init_ex 参数 4: ', hexdump(args[3]));
            console.log('HMAC_Init_ex 参数 5: ', hexdump(args[4]));
        },
        onLeave: function (retValue) {
        }
    })
}
这里在 hook 一些 so 函数,hamc 会有个 key 一般在 init 的时候初始化
function main() {
    Java.perform(function () {
        hook();
        hookSo1();
    })
}
启动脚本 frida -UF -l hook.js | tee hook.log


1636696957152-10.png (388.27 KB, 下载次数: 0)
下载附件
2021-11-12 14:05 上传

k2 函数的输入是请求参数


1636696957152-11.png (354.65 KB, 下载次数: 0)
下载附件
2021-11-12 14:05 上传

HMAC_Init_ex so 函数的参数二,长度 32 猜测是 hamc key


1636696957152-12.png (709.41 KB, 下载次数: 0)
下载附件
2021-11-12 14:05 上传

HMAC_Update 函数是请求参数


1636696957152-13.png (44.49 KB, 下载次数: 0)
下载附件
2021-11-12 14:05 上传

最后的加密结果 ae07cde50402ef91660dea93dc196f7f82e7bc04322baf4022dc2879434f3fae 是这个,来验证一下


1636696957152-14.png (321.28 KB, 下载次数: 0)
下载附件
2021-11-12 14:05 上传

使用 cyberchef 加密,结果一样,正是 hmac sha256
Tips: 下面在使用 unidbg 跑起来,毕竟多掌握一些工具总有用处
unidbg
package com.xiayu.jingdongdaojia;
import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.LibraryResolver;
import com.github.unidbg.Module;
import com.github.unidbg.debugger.Debugger;
import com.github.unidbg.debugger.DebuggerType;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.array.ByteArray;
import com.github.unidbg.memory.Memory;
import java.io.File;
import java.io.IOException;
public class SignKeyV1Test extends AbstractJni {
    private final AndroidEmulator emulator;
    private final Module module;
    private final VM vm;
    public String apkPath = "apk path";
    public String soPath = "so path";
    private static LibraryResolver createLibraryResolver() {
        return new AndroidResolver(23);
    }
    private static AndroidEmulator createARMEmulator() {
        return AndroidEmulatorBuilder.for32Bit().build();
    }
    public SignKeyV1Test() {
        emulator = createARMEmulator();
        final Memory memory = emulator.getMemory();
        memory.setLibraryResolver(createLibraryResolver());
        vm = emulator.createDalvikVM(new File(apkPath));
        vm.setVerbose(true);
        DalvikModule dm = vm.loadLibrary(new File(soPath), false);
        vm.setJni(this);
        dm.callJNI_OnLoad(emulator);
        module = dm.getModule();
    }
    public void callGetSignKeyV1() {
        DvmClass zClass = vm.resolveClass("jd/net/z");
        DvmObject strRc = zClass.callStaticJniMethodObject(
                emulator,
                "k2([B)Ljava/lang/String;",
                new ByteArray(vm, "参数".getBytes())
        );
        System.out.println("callGetSignKeyV1: " + strRc.getValue());
    }
    public static void main(String[] args) throws IOException {
        SignKeyV1Test signKeyV1 = new SignKeyV1Test();
        signKeyV1.callGetSignKeyV1();
        signKeyV1.destroy();
    }
    private void destroy() throws IOException {
        emulator.close();
    }
}
代码写完跑起来


1636696957152-15.png (190.44 KB, 下载次数: 0)
下载附件
2021-11-12 14:05 上传

这报错了,缺少函数 jd/utils/StatisticsReportUtil->getSign()Ljava/lang/String; 调用的是京东到家 apk 的 java 代码


1636696957152-16.png (268 KB, 下载次数: 0)
下载附件
2021-11-12 14:05 上传

点进来看一下,打开逻辑是获取 apk 的签名之类的,这里的依赖比较多,不是很好补,一般签名啥的都是固定,直接 frida call 一下,获取返回值
function callGetSign() {
    var StatisticsReportUtil = Java.use('jd.utils.StatisticsReportUtil');
    var res = StatisticsReportUtil.getSign();
    console.log(res)
}
运行成功,获取返回值


1636696957152-17.png (130.82 KB, 下载次数: 0)
下载附件
2021-11-12 14:05 上传

unidbg 补一下,直接写死字符串


1636696957152-18.png (68.34 KB, 下载次数: 0)
下载附件
2021-11-12 14:05 上传

再次运行结果出来了,结果相同
Tips: 后面在打算学习学习 ida gdb 动态调试,暂时留空
IDA 动态调试
// TODO
GDB 动态调试
// TODO

下载次数, 参数

相关帖子

ccb0429   

看到一个也是原创的  图片都一模一样   如果是一个人 当我没说   支持分享
https://bbs.pediy.com/thread-270228.htm
qinless
OP
  


GeekPwn 发表于 2021-11-13 16:37
最近正在与研究这个
老哥有啥问题一起交流哈
qinless
OP
  


Hmily 发表于 2021-11-17 15:47
@qinless 看雪这个帖子是本人发的吗?
对,是的
qinless
OP
  


Jack150 发表于 2021-11-12 21:55
能用 frida和 Unidbg 两个工具搞出来,厉害。。  如果可以出个能够更详细的分析so文件的就更好了。
目前本人还很菜,只能分析这种简单没啥对抗的 so,遇到有对抗的就歇菜了,大佬如果有兴趣可以看看个人博客,会定期分享一些学习成果,https://www.qinless.com
qinless
OP
  

初次发帖,没注意图片顺序搞反了,管理组看到麻烦帮忙删了,稍后重新发帖
Jack150   

能用 frida和 Unidbg 两个工具搞出来,厉害。。  如果可以出个能够更详细的分析so文件的就更好了。
qinless
OP
  


ccb0429 发表于 2021-11-12 20:04
看到一个也是原创的  图片都一模一样   如果是一个人 当我没说   支持分享
https://bbs.pediy.com/thread- ...
谢谢大佬支持
ysy2001   

只能膜拜大佬,谢谢。
dazhujianhui   

膜拜  真的是看不懂  
下一页 »
12下一页
返回列表
您需要登录后才可以回帖 登录 | 立即注册

AD1

热门主题

热门板块

问与答分享发现分享创造奇思妙想分享邀请码商业推广优惠信息PythonPHPJavaJavaScriptNode.jsGo语言C++HTML

公告

标签|小黑屋|Yoo趣儿

GMT+8, 2024-11-30 00:43 , Processed in 0.020912 second(s), 13 queries , Gzip On, MemCached On.

Powered by Discuz! X3.2

The happiest thing in the world is to strive for an ideal.

返回顶部