某音乐App 抓包和signature签名分析
2021-09-24 10:33:24 Author: 91fans.com.cn(查看原文) 阅读量:52 收藏
一、目标

一、目标

李老板:奋飞呀,最近我想下个歌,现在听歌软件都这么顽固了,包都抓不到?

奋飞:抓不到包的原因太多了,咱们得用排除法分析下。

  • 某音乐App 10.8.4

二、步骤

排查协议

李老板也跟我们混了这么多期,所以基本排除抓包环境的问题。

那么另一个可能就是像某手使用的 quic协议 或者某鱼使用的 spdy协议 了。

上jadx搜一下 "quic",如果搜不到还可以直接试试 quic

quic
1:quic

有6个结果,看来我们的猜测是对的,一个一个结果看过来,第三个结果应该有点猫腻。

quicsrc
1:quicsrc

看上去像是传个协议名称进来。

上Objection

有了怀疑对象之后,先不要着急写代码,用Objection批量Hook印证一下,精准定位之后再去写js。

objection -g com.kxxou.android explore -P ~/.objection/plugins
android hooking watch  class 'com.kxxou.common.network.netgate.o'

结果还是不错的,刷新主页面的时候这个类的函数被调用了,虽然没有我们刚才分析的 a(Ljava/lang/String;)I,不过有可能这个函数只在启动的时候调用一次。

(agent) [559860] Called com.kxxou.common.network.netgate.o.a(int, java.lang.String, java.lang.String)
(agent) [559860] Called com.kxxou.common.network.netgate.o.a(java.lang.String, java.lang.String, java.lang.String)
(agent) [559860] Called com.kxxou.common.network.netgate.o.a(int, java.lang.String, java.lang.String)

然后我们可以写js来慢慢分析了。

一个尴尬的故事

正准备分析的时候,发现一个尴尬的事。我能抓到包了……

也许是App启动的时候自动判断了要走http不走quic协议了吧。

根据职场第一守则:老板是不会错的。 我们毫不犹豫的告诉李老板,搞定了,能抓到包了。 手动狗头。

signature分析

在新歌里面随便点一个评论。

sign
1:sign

我们今天的目标是这个 signature

掰指头数了数32位,很有md5的潜质。

jadx搜一下 "signature"

signtext
1:signtext

这个 hashMap.put 应该是重点考察对象。

一路点进去看到了熟悉的 MD5。

继续用 objection 把整个类跟踪一下

objection -g com.kxxou.android explore -P ~/.objection/plugins
android hooking watch  class 'com.kxxou.common.utils.ba'

结果是 a b c这三个函数都有被执行。

(agent) [641383] Called com.kxxou.common.utils.ba.a(byte)
(agent) [641383] Called com.kxxou.common.utils.ba.a(byte)
(agent) [641383] Called com.kxxou.common.utils.ba.a(byte)
(agent) [641383] Called com.kxxou.common.utils.ba.b(java.lang.String)
(agent) [641383] Called com.kxxou.common.utils.ba.c([B)

那就把这三个函数都批量打印下

rc
1:rc

逮住了,再缩小下范围可以定位到 signature 是 b函数算出来的。

可以写js了

var signatureCls = Java.use('com.kxxou.common.utils.ba');
signatureCls.b.overload('java.lang.String').implementation = function(a){
    var retval = this.b(a);
	console.log(">>> signature inStr  = " + a);
    console.log(" >>>  signature rc= " + retval);
    return retval;
}

搞定收工。

三、总结

App里还有个sign的算法,大家可以练练手

多积攒点业内动态,协议这块,大家还是互相学习的居多,纯独创的还是比较少的。

有时候要相信运气,说不定睡一觉起来,就突然可以抓包了。

ffshow
1:ffshow

别动不动说把一切交给时间,时间才懒得收拾你的烂摊子。

100

关注微信公众号,最新技术干货实时推送

100

文章作者 奋飞

上次更新 2021-09-23

许可协议 奋飞安全原创,转载请注明出处。


文章来源: http://91fans.com.cn/post/coolgoone/
如有侵权请联系:admin#unsafe.sh