Python Anti anti-crawl - 5oqW6Z+z V1 getName(0x2)
阿新 • • 發佈:2020-06-24
說在前面的話
本來想只看彙編來一行行的分析的,其實我還學了近半個月的彙編。。。不過看到這個演演算法的彙編程式碼我第一個想法就是放棄,下次吧,(: 說實話這個getName很簡單,本來想從彙編開始分析的。。。但我看到那個排序演演算法我就頭大,這次就放棄吧
正文
先來虛擬碼
char *__fastcall getName(int v25_serverTime,char *params,char *a3)
{
char *v3; // r4
char *v4; // ST14_4
char v9; // [sp+18h] [bp-10h]
std::unique_lock<std::mutex>::unique_lock(&v9,&mtx);
if 第一個引數時間戳 第二引數是拼接後的url引數中的value,不過這裡的這個value有點不同,它拼接的時候
排序過,順序就是按照引數key的順序(a-z)排序的,用python sorted就知道了 第三個引數是個空引數 返回結果就是我們要的東西了 引數結果hook程式碼如下
String.prototype.format = function () {
var values = arguments;
return this.replace(/\{(\d+)\}/g,function (match,index) {
if (values.length > index) {
return values[index];
} else {
return "";
}
});
}
// Memory.readUtf8String
var mru8s = function(addr) {return Memory.readUtf8String(addr)}
// Memory.readPointer
var mrp = function(addr) {return Memory.readPointer(addr)}
// Memory.allocUtf8String
var mau8s = function(addr) {return Memory.allocUtf8String(addr)}
var JNI_OnLoad;
var exports = Module.enumerateExportsSync("libuserinfo.so");
for (var i = 0; i < exports.length; i++) {
var name = exports[i].name;
var addr = exports[i].address;
if (name == 'JNI_OnLoad') {
JNI_OnLoad = addr;
}
}
var BASE_ADDR = parseInt(JNI_OnLoad) - parseInt("0x14504");
var addr = '0x' + parseInt(BASE_ADDR + parseInt('0x11828')).toString(16);
var i = 0;
Interceptor.attach(new NativePointer(addr),{
onEnter: function(args) {
i++;
var msg = '===============' + i + '===============\n' +
'引數1 > {0}\n引數2 > {1}\n引數3 > {2}\n'
.format(args[0],mru8s(args[1]),mru8s(args[2]));
console.log(msg);
},onLeave: function(retval) {
console.log('retval > ',mru8s(retval));
}
});
複製程式碼輸出
[*] Running CTF
===============1===============
引數1 > 0x5dc91e39
引數2 > 1573461562225wifi1128awemewandoujia200Xiaomi69143529399androidMIa8aUD44088263783316zh166ffa82bd3b11065942891080*2029no_retryefc84c17a157346156116628686950355594321661.6.6
引數3 >
retval > a13541cc39834d8e691b33d3509c9dcae1e1
複製程式碼從這個getName虛擬碼中可以看到又呼叫了一個名為getName的方法,其虛擬碼以及不知道我什麼是時候寫的註釋如下
// 這個方法應該是個加密方法
char *__fastcall getName(int serverTime,char *params)
{
signed int i; // [sp+Ch] [bp-1Ch]
signed int j; // [sp+10h] [bp-18h]
signed int k; // [sp+14h] [bp-14h]
signed int l; // [sp+18h] [bp-10h]
if ( (unsigned __int8)inited ^ 1 )
{
as[0] = 0;
}
else if ( params )
{
sprintf(shuffle1,"%08x",serverTime); // 格式化字串,將時間戳轉為16進位制
sprintf(shuffle2,serverTime); // 同上
shuffle((int)shuffle1,(char *)&array1); // 這個是將shuffle1隨機排序,array1=57218436
shuffle((int)shuffle2,(char *)&array2); // 同上,array2=15387264
getMd5(params); // 這裡將url引數進行md5加密,加密的結果是md5_value
if ( serverTime & 1 ) // 這裡是判斷時間戳是不是2的倍數
getMd5(md5_value); // 是的話就再加密一次
as[0] = 97; // 先將as陣列第一位新增字元a
byte_612C5 = version; // 這裡實際是as[1] = version;version=1
for ( i = 0; i <= 7; ++i ) // 接著迴圈7次,將md5加密後的params的前7個字元新增到as字元陣列,as中存放不是依次存放,以2*(i+1)索引存放
as[2 * (i + 1)] = md5_value[i];
for ( j = 0; j <= 7; ++j ) // 將第二次隨機排序後的時間戳前7位取出,以(2*j+3)索引存放到as字元陣列中
as[2 * j + 3] = shuffle2[j];
byte_612D6 = 0;
for ( k = 0; k <= 7; ++k ) // 將第一次隨機排序後的時間戳前7位取出,以(2*k)索引存放到cp字元陣列中
cp[2 * k] = shuffle1[k];
for ( l = 0; l <= 7; ++l ) // 將md5加密後的params按索引l+24取出,以(2*l+1)索引存放到cp字元陣列
cp[2 * l + 1] = md5_value[l + 24];
byte_6139C = 101; // cp[16] = 0x65;0x65十進位制101,在ascii中是字元e
byte_6139D = version; // cp[17] = version;version=1
byte_6139E = 0; // cp[18] = 0
strncpy(&byte_612D6,cp,0x12u); // 將字元陣列cp的前18位也就是複製到byte_612D6所在的地址
}
else
{
as[0] = 0;
}
return as;
}
複製程式碼這裡我們只需要看那個排序方法shuffle
// 字串隨機排序
int __fastcall shuffle(int result,char *a2)
{
byte_60123 = *(_BYTE *)(result + 7);
byte_6011E = *(_BYTE *)(result + 2);
byte_60120 = *(_BYTE *)(result + 4);
byte_60122 = *(_BYTE *)(result + 6);
byte_6011F = *(_BYTE *)(result + 3);
byte_60121 = *(_BYTE *)(result + 5);
byte_6011D = *(_BYTE *)(result + 1);
tmp[0] = *(_BYTE *)result;
*(_BYTE *)result = tmp[(unsigned __int8)*a2 - 49];
*(_BYTE *)(result + 2) = tmp[(unsigned __int8)a2[2] - 49];
*(_BYTE *)(result + 4) = tmp[(unsigned __int8)a2[4] - 49];
*(_BYTE *)(result + 6) = tmp[(unsigned __int8)a2[6] - 49];
*(_BYTE *)(result + 5) = tmp[(unsigned __int8)a2[5] - 49];
*(_BYTE *)(result + 3) = tmp[(unsigned __int8)a2[3] - 49];
*(_BYTE *)(result + 1) = tmp[(unsigned __int8)a2[1] - 49];
*(_BYTE *)(result + 7) = tmp[(unsigned __int8)a2[7] - 49];
*(_BYTE *)(result + 8) = 0; // 這裡不是數字0,這是結束符號\0
return result;
}
複製程式碼排序方法對應python程式碼
def shuffle(result,array):
ret = ['0','0','0']
ret[2] = result[ord(array[2]) - 49]
ret[4] = result[ord(array[4]) - 49]
ret[6] = result[ord(array[6]) - 49]
ret[5] = result[ord(array[5]) - 49]
ret[3] = result[ord(array[3]) - 49]
ret[1] = result[ord(array[1]) - 49]
ret[7] = result[ord(array[7]) - 49]
ret[0] = result[ord(array[0]) - 49]
return ''.join(ret)
複製程式碼getName對應python程式碼
def get_name(server_time,params):
_as = ['0','0']
_cp = ['0','0']
shuffle1 = hex(server_time)[2:]
shuffle2 = hex(server_time)[2:]
shuffle1 = shuffle(shuffle1,'57218436')
shuffle2 = shuffle(shuffle2,'15387264')
params_md5 = hashlib.md5(params.encode('utf-8')).hexdigest()
if server_time & 1:
params_md5 = hashlib.md5(params_md5.encode('utf-8')).hexdigest()
_as[0] = chr(97)
_as[1] = chr(49)
for i in range(8):
_as[2*(i+1)] = params_md5[i]
for j in range(8):
_as[2*j+3] = shuffle2[j]
for k in range(8):
_cp[2*k] = shuffle1[k]
for l in range(8):
_cp[2*l+1] = params_md5[l+24]
_cp[16] = chr(101)
_cp[17] = chr(49)
return ''.join(_as + _cp)
複製程式碼我已經測試了很多次了,和hook到的結果一毛一樣,當然不信的話可以用上面hook到的結果測試
最後
emmm,這個最後獲取結果好像就這些了吧(好敷衍呀),等我啥時候想起來要補充的再新增吧,太餓了。。。。