编程语言
首页 > 编程语言> > frida辅助分析xx牛登录算法

frida辅助分析xx牛登录算法

作者:互联网

frida辅助分析xx牛登录算法

本教程只用于学习探讨,不允许任何人使用技术进行违法操作,阅读教程即表示同意!

前言

上文:https://blog.csdn.net/tianyi19/article/details/121745356?spm=1001.2014.3001.5501

上文浅浅的使用了一下frida和简单的hook了一下xx牛的执行流程。

本次就接着上次继续搞,看看如何实现自动登录。

流程分析

login

  1. login->requestNetwork->实例化JsonRequest->调用JsonRequest对象的addRequestMap

    如果只看第一层的话,大概是这个流程。

在这里插入图片描述

最后调用的是addRequestMap,点进去看看addRequestMap都干了什么。

addRequestMap

addRequestMap就比较简单了,不过是RequestUtil.paraMap的返回值当作了 RequestUtil.encodeDesMap的参数。

在这里插入图片描述

甚至你还可以发现,竟然出现了Encrypt,不就是请求里面的关键字吗,wc。

在这里插入图片描述

RequestUtil.paraMap

查看RequestUtil.paraMap的详细内容,可以发现调用了md5,并且最后返回值都字母全部大写。

在这里插入图片描述

md5

这就是一个普通的md5。

在这里插入图片描述

RequestUtil.encodeDesMap

分析完了RequestUtil.paraMap继续来看RequestUtil.encodeDesMap把,他需要三个参数。

在这里插入图片描述

这个this.desKeythis.desIV是啥呢?

经过寻找

this.desKey = 65102933
this.desIV = 32028092

在这里插入图片描述

继续看逻辑,看一下encodeDesMap的详情,里面又实例化了DesSecurity类,并且调用了encrypt64方法。

在这里插入图片描述

DesSecurity

在这里插入图片描述

这里是一个DES/CBC算法。

他的逻辑大概是把传入的desKey通过md5哈希一下,然后当作DES的key。

传进来的desIV当作iv向量,最后加密的结果base64一下。

frida验证流程

经过静态分析,理论上大概是上面的流程,但是。,到底对不对呢?来hook一下不就知道了!!!

代码

Java.perform(function () {
    let jsonRequest = Java.use("com.dodonew.online.http.JsonRequest");
    jsonRequest.addRequestMap.overload('java.util.Map', 'int').implementation = function (addMap, a) {
        console.log("==== jsonRequest.addRequestMap 被调用了");
        console.log("addMap:", addMap);
        console.log("a:", a);
        return this.addRequestMap(addMap, a);
    }

    let requestUtil = Java.use("com.dodonew.online.http.RequestUtil");
    requestUtil.paraMap.overload('java.util.Map', 'java.lang.String', 'java.lang.String').implementation = function (addMap, append, sign) {
        console.log("==== requestUtil.paraMap 被调用了");
        console.log("addMap:", addMap);
        console.log("append:", append);
        console.log("sign:", sign);
        return this.paraMap(addMap, append, sign);
    }

    let utils = Java.use("com.dodonew.online.util.Utils");
    utils.md5.implementation = function (string) {
        console.log("==== utils.md5 被调用了");
        console.log("string:", string);
        return this.md5(string);
    }

    requestUtil.encodeDesMap.overload('java.lang.String', 'java.lang.String', 'java.lang.String').implementation = function (data, desKey, desIV) {
        console.log("==== requestUtil.encodeDesMap 被调用了");
        console.log("data:", data);
        console.log("desKey:", desKey);
        console.log("desIV:", desIV);
        return this.encodeDesMap(data, desKey, desIV);
    }

})

效果

在这里插入图片描述

综上所述,我们分析的是没问题的,当然,如果你发现没有hook到,那就废了,再次尝试即可。

关于算法复现

本次通过js来完成算法复现,因为js写完之后,基本能被任何语言调用,更通用,本次使用的是CryptoJS库。

获取sign

其实经过研究发现,并不是所有参数都是随机的。

只有那一俩参数是固定的,所以只需要把那几个参数构造好就可以了。

通过观察,在第一次得时候,数据都汇聚到了md5这,所以先hook md5,看一下传入得参数和返回值。

在这里插入图片描述

hook md5代码

Java.perform(function () {
	let utils = Java.use("com.dodonew.online.util.Utils");
    utils.md5.implementation = function (string) {
        console.log("==== utils.md5 被调用了");
        console.log("string:", string);
        let ret = this.md5(string);
        console.log("return:",ret);
        return ret;
    }
})

传入的参数和返回值

在这里插入图片描述

js代码

function getSign(user, pass, time) {
    var signStr = "equtype=ANDROID&loginImei=Androidnull&timeStamp=" + time + "&userPwd=" + pass + "&username=" + user + "&key=sdlkjsdljf0j2fsjk";
    return CryptoJS.MD5(signStr).toString().toUpperCase();
}

获取encrypt

第一层的RequestUtil.paraMap执行完了,当作第二层RequestUtil.encodeDesMap的第一个参数

所以现在hook一下RequestUtil.encodeDesMap看一下参数和返回值

hook代码

在这里插入图片描述

js代码

ok,知道了动态变量,那就写一下代码吧。

function getSign(user, pass, time) {
    var signStr = "equtype=ANDROID&loginImei=Androidnull&timeStamp=" + time + "&userPwd=" + pass + "&username=" + user + "&key=sdlkjsdljf0j2fsjk";
    return CryptoJS.MD5(signStr).toString().toUpperCase();
}

function encrypt(user, pass) {
    var time = '1624379089014';
    var sign = getSign(user, pass, time);
    var plainText = '{"equtype":"ANDROID","loginImei":"Androidnull","sign":"' + sign
        + '","timeStamp":"' + time + '","userPwd":"' + pass + '","username":"' + user + '"}';
    var key = CryptoJS.enc.Hex.parse(CryptoJS.MD5("65102933").toString());
    var iv = CryptoJS.enc.Utf8.parse("32028092");
    var result = CryptoJS.DES.encrypt(plainText, key, {
        iv: iv,
        mode: CryptoJS.mode.CBC,
        padding: CryptoJS.pad.Pkcs7
    }).toString();
    return result;
}

完整代码

xxn.js

运行结果

在这里插入图片描述

总结

本次带着走了一下静态分析和hook静态分析的代码,很庆幸,是正确的。

当然,也可能不正确,所以就要多hook,多尝试。

算法复现这一块,尽量使用js,因为相对而言更通用。

人低为王,水低为海,加油!

如果在操作过程中有任何问题,记得下面留言,我们看到会第一时间解决问题。

越努力,越幸运。

我是码农星期八,如果觉得还不错,记得动手点赞一下哈。

感谢你的观看。

标签:function,console,log,算法,return,xx,RequestUtil,frida,md5
来源: https://blog.csdn.net/tianyi19/article/details/121756548