某音乐App 抓包和signature签名分析

2021-09-24 11:06:23 浏览数 (1)

一、目标

李老板:奋飞呀,最近我想下个歌,现在听歌软件都这么顽固了,包都抓不到?

奋飞:抓不到包的原因太多了,咱们得用排除法分析下。

  • 某音乐App 10.8.4

二、步骤

排查协议

李老板也跟我们混了这么多期,所以基本排除抓包环境的问题。

那么另一个可能就是像某手使用的 quic协议 或者某鱼使用的 spdy协议 了。

上jadx搜一下 "quic",如果搜不到还可以直接试试 quic

quic.pngquic.png

有6个结果,看来我们的猜测是对的,一个一个结果看过来,第三个结果应该有点猫腻。

quicsrc.pngquicsrc.png

看上去像是传个协议名称进来。

上Objection

有了怀疑对象之后,先不要着急写代码,用Objection批量Hook印证一下,精准定位之后再去写js。

代码语言:txt复制
objection -g com.kxxou.android explore -P ~/.objection/plugins
android hooking watch  class 'com.kxxou.common.network.netgate.o'

结果还是不错的,刷新主页面的时候这个类的函数被调用了,虽然没有我们刚才分析的 a(Ljava/lang/String;)I,不过有可能这个函数只在启动的时候调用一次。

代码语言:txt复制
(agent) [559860] Called com.kxxou.common.network.netgate.o.a(int, java.lang.String, java.lang.String)
(agent) [559860] Called com.kxxou.common.network.netgate.o.a(java.lang.String, java.lang.String, java.lang.String)
(agent) [559860] Called com.kxxou.common.network.netgate.o.a(int, java.lang.String, java.lang.String)

然后我们可以写js来慢慢分析了。

一个尴尬的故事

正准备分析的时候,发现一个尴尬的事。我能抓到包了……

也许是App启动的时候自动判断了要走http不走quic协议了吧。

根据职场第一守则:老板是不会错的。 我们毫不犹豫的告诉李老板,搞定了,能抓到包了。 手动狗头。

signature分析

在新歌里面随便点一个评论。

sign.pngsign.png

我们今天的目标是这个 signature

掰指头数了数32位,很有md5的潜质。

jadx搜一下 "signature"

signtext.pngsigntext.png

这个 hashMap.put 应该是重点考察对象。

一路点进去看到了熟悉的 MD5。

继续用 objection 把整个类跟踪一下

代码语言:txt复制
objection -g com.kxxou.android explore -P ~/.objection/plugins
android hooking watch  class 'com.kxxou.common.utils.ba'

结果是 a b c这三个函数都有被执行。

代码语言:txt复制
(agent) [641383] Called com.kxxou.common.utils.ba.a(byte)
(agent) [641383] Called com.kxxou.common.utils.ba.a(byte)
(agent) [641383] Called com.kxxou.common.utils.ba.a(byte)
(agent) [641383] Called com.kxxou.common.utils.ba.b(java.lang.String)
(agent) [641383] Called com.kxxou.common.utils.ba.c([B)

那就把这三个函数都批量打印下

rc.pngrc.png

逮住了,再缩小下范围可以定位到 signature 是 b函数算出来的。

可以写js了

代码语言:txt复制
var signatureCls = Java.use('com.kxxou.common.utils.ba');
signatureCls.b.overload('java.lang.String').implementation = function(a){
    var retval = this.b(a);
	console.log(">>> signature inStr  = "   a);
    console.log(" >>>  signature rc= "   retval);
    return retval;
}

搞定收工。

三、总结

App里还有个sign的算法,大家可以练练手

多积攒点业内动态,协议这块,大家还是互相学习的居多,纯独创的还是比较少的。

有时候要相信运气,说不定睡一觉起来,就突然可以抓包了。

ffshow.pngffshow.png

别动不动说把一切交给时间,时间才懒得收拾你的烂摊子。

TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全,最新技术干货实时推送

0 人点赞