第一步,先上GDA,看看有没有壳
image.png (294.83 KB, 下载次数: 0)
下载附件
2024-1-21 15:16 上传
看到是没有壳,而且又得到一个信息,这是Autojs脚本
第二步,安装,看看界面(打码是为了不砸人饭碗,以后可能也在这个圈子混呢,哈哈哈)
image.png (38.68 KB, 下载次数: 0)
下载附件
2024-1-21 15:18 上传
可以看到有卡密,这里有个点要注意下,像一般脚本去卡密到这步,可能要上MT管理器去搜关键字了,当然我也这样做了,但是dex里面根本搜不到什么有用的信息,而且看这个布局,如果写过Autojs脚本的应该可以猜到这个卡密模块是写在js里面的,这里用MT看看js脚本是不是有加密
8dda11ab94b5d931fddbaa168ce688d.jpg (186.15 KB, 下载次数: 0)
下载附件
2024-1-21 16:03 上传
a3409cf784eba18872a0273491b212a.jpg (366.21 KB, 下载次数: 0)
下载附件
2024-1-21 16:04 上传
可以看到是加密了,所以下一步,我们要dump里面的js脚本下来研究了
第三步,上Frida脱脚本
分析脱脚本的文章网上有很多,我也是直接拿的其它人的成果,这里不深入分析
先上代码,把加载的js代码先按照byte数组打印出来
[JavaScript] 纯文本查看 复制代码Java.perform(function(){
function bytesToString(bytes){
var str="{";
for(var i = 0; i
再用python处理转为js
[Python] 纯文本查看 复制代码arr=[39, 117, 105, 39, 59, 13, 10, 13, 10, 105, 109, 112, 111, 114, 116,] # byte数组放这里
with open("jiaoben.js","w",encoding="utf-8") as f:
for s in arr:
f.write(chr(s&0xff))
这里有个坑需要提下,因为这个脱脚本的点是在打开app加载js脚本的时候,网上一些文章说是要先用spawn模式启动frida去hook,再启动app,但是我试了是不行的,这里还有个操作顺序:
1.先启动app,等加载到主界面,不要操作其它
2.电脑上运行命令:frida -U -l hook.js app,
[color=]在手机上
[color=]按返回键返回到桌面,这里很重要
3.点击app启动,这里才算是hook到加载脚本的点,加载了多少脚本这里都会打印出来
image.png (153.36 KB, 下载次数: 0)
下载附件
2024-1-21 15:51 上传
但是........,这里脱下的脚本,main.js里面的字符串没有解开,只能脱下common.js
image.png (47.1 KB, 下载次数: 0)
下载附件
2024-1-21 16:11 上传
所以这里要上第二个脚本,操作步骤和上面一样,这个不需要转换byte,直接就是js代码
[JavaScript] 纯文本查看 复制代码function write_file(full_path, data) {
var f = new File(full_path, 'w')
f.write(data)
f.close()
}
Java.perform(function () {
var ClassName = Java.use('com.stardust.autojs.script.StringScriptSource');
ClassName.$init.overload("java.lang.String","java.lang.String").implementation=function(param_1,param_2){
write_file("/storage/emulated/0/main_dump.js", param_2)
var ret = this.$init(param_1,param_2);
return ret;
}
});
这里就可以脱下完整的main.js脚本了
image.png (39.19 KB, 下载次数: 0)
下载附件
2024-1-21 16:16 上传
第四步,分析
在代码里面,我们先看看卡密这个位置,先看看绑定的逻辑,查找代码定位
image.png (48.02 KB, 下载次数: 0)
下载附件
2024-1-21 16:20 上传
点击的逻辑,触发checkCard
image.png (30.81 KB, 下载次数: 0)
下载附件
2024-1-21 16:20 上传
checkCard的逻辑,这里可以看到这个卡密用的是某云验证
image.png (56.47 KB, 下载次数: 0)
下载附件
2024-1-21 16:22 上传
里面还有个geiapi的方法,我们跟进去看
image.png (47.89 KB, 下载次数: 0)
下载附件
2024-1-21 16:26 上传
base_url?我们找下这是个啥
image.png (23.3 KB, 下载次数: 0)
下载附件
2024-1-21 16:29 上传
第一个地方,最上面初始化了这个变量
image.png (26.05 KB, 下载次数: 0)
下载附件
2024-1-21 16:32 上传
第二个地方,是个try catch里面,这个应该是脚本执行的时候就执行了,在点击卡密绑定的之前就已经获取了,那接着跟着看下面的逻辑呗
我们回到那个get_api的方法,可以看到是为了获取第二个api,这里把卡密和设备id都上传了,应该是作者自己的第二层校验,其实到这里,我们或许可以猜测,这个脚本是不是存在云加载之类的动作,这样来回的获取地址确实可疑
image.png (51.29 KB, 下载次数: 0)
下载附件
2024-1-21 16:41 上传
这里卡密绑定的逻辑就结束了,那获取的第二个api是干嘛用的勒,我们搜下代码里面
main.js里面只有两处,就是一个初始化,一个获取
image.png (13.47 KB, 下载次数: 0)
下载附件
2024-1-21 16:53 上传
common.js里面用到的地方是请求方法这里
image.png (69.8 KB, 下载次数: 0)
下载附件
2024-1-21 16:55 上传
我们在main.js搜索下这个request_server2
image.png (87.79 KB, 下载次数: 0)
下载附件
2024-1-21 16:57 上传
这里是第二个界面里面的功能
image.png (37.92 KB, 下载次数: 0)
下载附件
2024-1-21 16:59 上传
那也就是说,除了卡密验证第一步,这里还有个第二步,让你登录作者的后端。这样的话,那这个卡密其实破了也没有作用,下面还有几个请求我也看了,全部都是请求的作者的后端,都要把卡密还有设备id上传。
到这里可以看到作者把抢单的逻辑都放后端了,这个脚本只是作为前端提交数据交互而已,那最后我们就来抓包看看,交互的都是些啥
最后,抓包
抓包这里我们使用Charles+SocksDroid,小黄鸟试了脚本会闪退,但是代码看了并没有检测proxy的逻辑,感觉是和Autojs里面的逻辑有冲突,这里不纠结
image.png (74.67 KB, 下载次数: 0)
下载附件
2024-1-21 17:23 上传
这是打开app的接口交互数据,卡密那里就不搞了,整个分析过程没有什么亮点,这个也是第一次分析这种Autojs的脚本,仅当记录
