免脱壳寻找加解密算法 | 技术精选0123
2022-2-16 18:0:0 Author: mp.weixin.qq.com(查看原文) 阅读量:15 收藏
本文约2400字,阅读约需6分钟。
在渗透测试中,我们经常会遇到某些App使用了加密或加签算法。如果我们不知道实际的加密算法,我们将无法对App做进一步的渗透测试。
而在我们对加密算法反编译的过程中,又会遇到如加壳、混淆等问题,增加渗透难度。下文我们介绍一下,如何快速查找加解密算法。
1
前置知识

Xposed框架

Xposed(也被称作Xposed框架、XP框架、Xposedframework),是一个运行于Android操作系统的钩子框架。
其通过替换Android系统的关键文件,可以拦截几乎所有Java函数的调用,并允许通过Xposed模块中的自定义代码,更改调用这些函数时的行为。
因此,Xposed常被用来修改Android系统和应用程序的功能。

Hook

Hook技术又叫做钩子函数,在系统没有调用该函数之前,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,还可以强制结束消息的传递。
这里的Inspeckage插件寻找加解密原理就是Hook加解密的方法,在原来加解密功能基础上增加了输出明文、密文和密钥等到Inspeckage插件上的功能。
这样只要当程序运行特定加密时,相关信息就会输出到日志上。

DES加密

DES是对称加密算法的一种,加密解密使用的是同样的KEY和IV。DES加密算法出自IBM的研究,后来被美国政府正式采用,之后开始广泛流传。
需要注意,DES加密和解密过程中,密钥长度都必须是8的倍数。

Inspeckage

Inspeckage是一个用来动态分析安卓App的Xposed模块。通过HookAndroidAPI的函数,可以轻易获取如加密算法KEY等信息。
同时,Inspeckage对动态分析很多常用的功能进行了汇总且内建一个Webserver,使得整个分析操作可以在友好的Web界面中进行。
Inspeckage下载地址:
https://github.com/ac-pm/Inspeckage
其模块功能介绍:
Logcat
实时查看该App的Logcat输出
Tree View
可以实时浏览App的数据目录并直接下载文件到本地
Package Information
应用基本信息(组件信息、权限信息、共享库信息)
Shared Preferences
Log:App XML文件读写记录;Files:具体XML写入内容
Serialization
反序列化记录
Crypto
常见加解密记录(KEY、IV值)
Hash
常见的哈希算法记录
SQLite
SQLite数据库操作记录
HTTP
HTTP网络请求记录
File System
文件读写记录
Misc.
调用Clipboard,URL.Parse()记录
WebView
调用Webview内容
IPC
进程之间通信记录
Hook+
运行过程中用户自定义Hook记录

使用步骤介绍:

  • 手机/模拟器ROOT

  • 安装好Xposed模块并激活

  • 安装Inspeckage勾选

  • 重启

  • 使用adb连接设备

打开软件会自动监听8008,并选择需要分析的软件:
使用adb转发8008到本地。
"nox_adb.exefoward tcp:8008 tcp:8008"
浏览器访问127.0.0.1:8008即可:
2
示例
打开某个APP抓包,发现请求包和响应包都是加密的:
尝试使用Jadx打开,发现没有东西,估计是加壳了。查壳发现果然如此。
我们必须要找到他的加密算法才能进行渗透。拿出我们的Inspeckage选择App,配置好启动。
打开自动刷新,然后点击登录,这时候再搜索搜索密文。
我们可以看到这个密文和明文以及加密算法密钥等信息。这个APP加密和解密都是使用DES算法(这里我们需要解密数据包还有找到sign算法)。
我们找到了KEY是”w9JtyoYll4=“而IV是”32028092“,加密方法是DES/CBC/PKCS5。
尝试使用DES解密我们收到burp的密文,可以看到我们的猜想是正确的。
还有ign算法。点开hash模块,可以看到sign就是将下面几个字符串做了一个md5:
尝试md5计算试试,结果也是和我们想的一样:
这时候我们有了这个APP的大致加密逻辑,明文做个md5等于sign,明文+sign做个DES加密等于密文,响应包原理也类似。
接下来,又可以继续愉快的做渗透了:
通过Inspeckage,我们可以轻松看到所有的数据。
继续深入过程中,发现有个列表信息居然传递了用户ID。通常这种地方存在越权:
按照原来逻辑,对userid修改然后加签加密发送,果不其然,收获越权漏洞一枚:
接下来,在一个活动详情页面尝试插入恶意语句,随即收获一枚SQL注入:
其实还可以通过burp或titmproxy的加解密插件脚本实现sqlmap自动化检测,不过本文主要讲的是快速查找加解密算法,这里就不深入拓展了。有兴趣的小伙伴可以自行了解。
3
总结
Inspeckage提供Web界面对于小白来说还是非常友好的。但Inspeckage并不是万能的,如果程序使用非标准加解密,默认的crypto模块就无法看到。
除了加解密算法,该工具还集成代理、文件监控和http请求记录等功能。
Inspeckage的运用,可以使在我们渗透测试过程中快速找出App的加密、解密和签名算法。同时,我们也需要对Frida和Xposed等有一定的了解,这样才能更好地使用这个工具去Hook其他函数,寻找更底层复杂的加密算法。

参考链接

https://github.com/ac-pm/Inspeckage
https://la0s.github.io/2018/07/17/Inspeckage/
https://blog.csdn.net/tom__chen/article/details/78216732
https://www.freebuf.com/column/147856.html
- END -
往期推荐

记一次卑微的渗透测试

pwn入门之栈入门

MYSQL另类利用方式

长按下方图片即可关注
点击下方阅读原文,加入社群,读者作者无障碍交流

文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMzYxNzc1OA==&mid=2247498498&idx=1&sn=e7b9bc2fb84e2fb8e2cf49a5bbaa099f&chksm=9b3addb3ac4d54a5599be96ce25f7555d50d9ebc845f15757862fea53e270a6cadb8a79d8221#rd
如有侵权请联系:admin#unsafe.sh