一、目标
李老板: 奋飞呀,你堕落了,也开始玩标题党了?
奋飞: 你懂个锤子,我给你科普下亚洲四大邪术:泰国变性术、韩国整容术、日本化妆术、中华PS术。
锤子: 这个我需要懂吗?
这个就是我们今天的目标。
哦,错了,这三个老兄才是我们的目标。
二、步骤
Jadx搜索 "sig"
先大概分析一下, sig 一眼看上去像是md5的结果,sigTime 必须是时间戳了,sigVersion 就是对应的签名算法版本号了。
老规矩,先搜搜 "sig"
不对劲,才两个结果。
那就再试试 "sig
这次还不错, 应该就是这个 sigVersion
点吧点吧,找到了这个类 com.meixx.secret.SigEntity,大概率是 SigEntity.generatorSigWithFinal 这个函数。
祭出Objection
objection -g com.mx.mxxx.mxxx explore
android hooking watch class 'com.meixx.secret.SigEntity'
逮住了 generatorSigWithFinal
(agent) Registering job 015665. Type: watch-class for: com.meixx.secret.SigEntity
com.mt.mxxx.mxxx on (Xiaomi: 7.0) [usb] # (agent) [015665] Called com.meixx.secret.SigEntity.generatorSig(java.lang.String, [Ljava.lang.String;, java.lang.String, java.lang.Object)
(agent) [015665] Called com.meixx.secret.SigEntity.nativeGeneratorSig(java.lang.String, [[B, java.lang.String, java.lang.Object)
打印下入参和出参
android hooking watch class_method 'com.meixx.secret.SigEntity.generatorSig' --dump-args --dump-return
有点小郁闷,返回值是个Object,看不到咱们要的签名值
(agent) Registering job 818585. Type: watch-method for: com.meixx.secret.SigEntity.generatorSig
com.mt.mxxx.mxxx on (Xiaomi: 7.0) [usb] # (agent) [818585] Called com.meixx.secret.SigEntity.generatorSig(java.lang.String, [Ljava.lang.String;, java.lang.String, java.lang.Object)
(agent) [818585] Arguments com.meixx.secret.SigEntity.generatorSig(channel/pic_timeline.json, 10,413,6790967215779498899,1,135547.1050.21|2|1|2||30000.0|1620478589|1096109|96109$$$6790967215779498899||0||273||80||78||2802||7||1||-1||6790965225653556242||1620478589819||0||1||1||1||1||1||15||9||0||1815992541||0,135547,4,home_tab_formula_hot,xxx,中国,xxx,xxx,1620478621200,,GMT 8,0,2507792916,taobao,MI NOTE Pro,Xiaomi,1440*2560,zh_CN,02:00:00:00:00:00,1089867602,0,512,4.26.33,7.0,0,1,0,wifi,mxxx-9171-Xiaomi-MI NOTE Pro-android-7.0-2cac546a,3710,1,9.1.7.1,0,2.0.0,CN,1,24,0,867302021476314,1,14f8c555ff4500db,1, 6184556633574670337, com.meixx.remote.hotfix.app.RemoteHotfixApplication@94dd584)
(agent) [818585] Return Value: com.meixx.secret.SigEntity@5bbbe0
挂上心爱的Frida
我们先观察一下, generatorSigWithFinal 函数的返回是是一个 SigEntity 类,
这个类的图示的三个成员变量就是我们要打印的结果。
var SigEntityCls = Java.use('com.meixx.secret.SigEntity');
SigEntityCls.generatorSig.overload('java.lang.String', '[Ljava.lang.String;', 'java.lang.String', 'java.lang.Object').implementation = function(a1,a2,a3,a4){
var rc = this.generatorSig(a1,a2,a3,a4);
console.log("a1=" + a1);
console.log("a2=" + a2);
var uRc=Java.cast(rc, Java.use("com.meixx.secret.SigEntity"));
console.log(uRc._sig.value);
console.log("sigTime=" + uRc._sigTime.value);
console.log("sigVersion=" + uRc._sigVersion.value);
return rc;
}
蓝瘦,没有打印出来,报错了
TypeError: cannot read property 'value' of undefined
at <anonymous> (/mtxx.js:60)
at apply (native)
at ne (frida/node_modules/frida-java-bridge/lib/class-factory.js:613)
at <anonymous> (frida/node_modules/frida-java-bridge/lib/class-factory.js:592)
问了下谷哥
如果有一个成员变量和成员函数的名字相同,则在其前面加一个_,如_xx.value = yy
这几个成员变量没有同名的成员函数,所以不用在前面加一个 _
我去,去掉 _
var uRc = Java.cast(rc,SigEntityCls);
console.log("sig=" + uRc.sig.value);
console.log("sigTime=" + uRc.sigTime.value);
console.log("sigVersion=" + uRc.sigVersion.value);
跑一下
太棒了,这就是我们要的结果。
三、总结
除了直接定位sig之外,和他相关的参数也是很有效的指路明灯。比如本例的 sigVersion。
坑踩多了,自然就晋级了。老鸟和菜鸟的区别就是:老鸟犯的错误比较多,居然还没挂。
对于宇宙而言,人的生命并不比一只蚂蚁重要 ----海淀野生仁波切
关注微信公众号,最新技术干货实时推送