2. 程式人生 > >安卓脫殼&&協議分析&&burp輔助分析插件編寫

安卓脫殼&&協議分析&&burp輔助分析插件編寫

阿新 發佈:2018-08-04
自動 ges 程序 ima 到手 插件 無線 gin adb

前言

本文由 本人 首發於 先知安全技術社區: https://xianzhi.aliyun.com/forum/user/5274

本文以一個 app 為例,演示對 app脫殼,然後分析其 協議加密和簽名方法,然後編寫 burp 腳本以方便後面的測試。

文中涉及的文件,脫殼後的 dex 都在:

鏈接: https://pan.baidu.com/s/1nvmUdq5 密碼: isrr

對於 burp 擴展和後面加解密登錄數據包工具的的源碼,直接用 jd-gui 反編譯 jar 包即可。

正文

首先下載目標 apk ,然後拖到 GDA 裏面看看有沒有殼。

技術分享圖片

發現是騰訊加固,可以通過修改 dex2oat 的源碼進行脫殼。

技術分享圖片

具體可以看: https://bbs.pediy.com/thread-210275.htm

脫完殼 dex文件,扔到 jeb 裏面進行分析(GDA分析能力還是不太強,不過速度快)

技術分享圖片

類和方法都出來了,脫殼成功。

首先看看協議抓取,建議自己電腦起一個 ap (熱點), 然後用手機連接熱點,對於 http 的數據包,可以使用 burp 進行抓取(對於 https 還要記得先安裝 burp 的證書),對於 tcp 的數據包,由於我們是連接的 電腦的 wifi 所以我們可以直接用 wireshark 抓取我們網卡的數據包就能抓到手機的數據包。對於筆記本,可以買個無線網卡。

首先看看註冊數據包的抓取,設置好代理,選擇註冊功能,然後去 burp

裏面,可以看到抓取的數據包。

技術分享圖片

對於登錄數據包,點擊登錄功能,去發現 burp 無法抓到數據包, 懷疑使用了 tcp 發送請求數據,於是開啟 wireshark 抓取 手機連接的熱點到的網卡的數據包。抓取時間要短一些,不然找信息就很麻煩了。

技術分享圖片

然後我們一個一個 tcp 數據包查看,看看有沒有什麽特殊的。

技術分享圖片
發現一個數據包裏面有 base64 加密的數據,猜測這個應該就是登陸的數據包。查了一下 ip ,應該就是了。

技術分享圖片

下面針對不同類型的協議加密措施進行分析。

HTTP協議

協議分析關鍵是找到加密解密的函數,可以使用關鍵字搜索定位。為了方便搜索,先把 dex 轉成 smali 然後用文本搜索工具搜索就行了,我使用 android killer

。在這裏可以使用 snverify 等關鍵詞進行搜索,定位關鍵代碼。我選擇了 verify ,因為它搜出的結果較少。

技術分享圖片
函數沒經過混淆,看函數名就可以大概猜出了作用,找到關鍵方法,拿起 jeb 分析之。
先來看看 LoginReg2_ActivityonCreate 方法。

技術分享圖片

獲取手機號進入了 XHttpApi.getVerify 方法,跟進

技術分享圖片
先調用了 XHttpApi.addSnToParams(params) (看名稱估計他就是增加簽名的函數了),然後發送 post 請求。

繼續跟進 XHttpApi.addSnToParams

技術分享圖片
至此簽名方案非常清晰了。

  • 獲取時間戳,新增一個 t 的參數,值為 時間戳
  • md5("AndroidWear65cbcdeef24de25e5ed45338f06a1b37" + time_stamp)sn

由於有時間戳和簽名的存在,而且服務器會檢測時間戳,後續如果我們想測試一些東西,就需要過一段時間就要計算一下 簽名和時間戳,這樣非常麻煩,我們可以使用 burp 編寫插件,自動的修改 時間戳和 簽名,這樣可以大大的減少我們的工作量。

看看關鍵的源代碼

首先註冊一個 HttpListener, 這樣 burp 的流量就會經過我們的擴展。

技術分享圖片
然後看看 processHttpMessage對流經擴展的流量進行處理的邏輯。只處理 http 請求的數據,然後根據域名過濾處理的數據包,只對 wear.readboy.com 進行處理。接著對於數據包中的 t 參數和 sn 參數進行重新計算,並且修改 數據包中的對應值。
技術分享圖片
加載擴展,以後重放數據包,就不用管簽名的問題了。

TCP

對於 tcp 的協議可以通過搜索 端口號,ip 地址等進行定位,這裏搜索 端口號(這裏是8866, 可以在 wireshark 中查看),有一點要註意,程序中可能會用 16 進制或者 10 進制表示端口號為了,保險起見建議兩種表示方式都搜一下。
技術分享圖片

通過搜索 0x22a2886616 進制表示)找到兩個可能的位置。分別檢查發現 第二個沒啥用,在 jeb 中查找交叉引用都沒有,於是忽略之。然後看看第一個。
技術分享圖片
可以看到 jeb 把端口號都轉成了 10 進制數,這裏與服務器進行了連接,沒有什麽有用的信息。於是上下翻翻了這個類裏面的函數發現一個有意思的函數。

技術分享圖片
用於發送數據,裏面還用了另外一個類的方法,一個一個看,找到了加密方法。
技術分享圖片

就是簡單的 rc4 加密,然後在 base64 編碼。
為了測試的方便寫了個圖形化的解密軟件。

技術分享圖片

nc 測試之

技術分享圖片
正確。

總結

不要怕麻煩,一些東西盡早腳本化,自動化,減輕工作量。逆向分析,搜索關鍵字,定位關鍵代碼。

參考

http://www.vuln.cn/6100

http://www.freebuf.com/articles/terminal/106673.html

安卓脫殼&&協議分析&&burp輔助分析插件編寫

相關推薦

&&協議分析&&burp輔助分析編寫

自動 ges 程序 ima 到手 插件 無線 gin adb 前言 本文由 本人 首發於 先知安全技術社區: https://xianzhi.aliyun.com/forum/user/5274 本文以一個 app 為例,演示對 app脫殼,然後分析其 協議加密和簽名方

利用IDA學習一個簡單的

這是看別人的文章學習的,當然還有加點自己的思考,截圖用自己的,這樣的學習才有效果啊 原理篇 dvmDexFileOpenPartial這是函式是關鍵,據說在這下 斷點就可以了,看名字就是虛擬機器去開啟Dexfile的意思,應該那時已經解殼完成了吧 函式原型: in

加密APK Protect分析——…

之前發過一個帖子,是說5種常用的APK保護技術的,詳細可參閱:http://www.apkbus.com/android-138130-1-1.html. 帖子提到過線上加密加殼,也就是APKProtect:http://www.apkprotect.com/.於是我就做了一個測試,看看這個線上加密加殼是否真

逆向學習筆記 (3)- 使用IDA Pro靜態分析so檔案

        安卓應用程式的開發語言是java,但是由於java層的程式碼很容易被反編譯,而反編譯c/c++程式的難度比較大,所以現在很多安卓應用程式的核心部分都使用NDK進行開發。關於NDK的開發知識點,請看這篇部落格:Android之NDK開發。         使

java.net.SocketException(permission denied)端寫的TCP協議軟體報錯 原因是建立的套接字沒有限權對外連線。

安卓端寫的TCP協議軟體報錯 原因是建立的套接字沒有限權對外連線。在AndroidManifest.xml中,加上這一句話,取得許可權。 <uses-permission android:name="android.permission.INTERNET" />

逆向之基於Xposed-ZjDroid

重定位 war fill 沙盒 mar 內存 ces 鼠標 文件加載 http://bbs.pediy.com/thread-218798.htm 前言 之前介紹了普通常見的反編譯模式 但對於使用了 360加固 棒棒 愛加密 等等的加固應用就沒辦法了、 你

Appium移動自動化配置-ios&amp;

andro android 執行c ppi code java_home com 設置 tor Appium安裝 1.安裝nodejs 2.安裝appium iOS側環境安裝 1.安裝xcode 2.安裝Xcode Command Line Tools 安卓側環境安

高傭聯盟app下載官方地址(&amp;蘋果)

聯合 api 直接下載 登錄 特點 sha blog p s 可用   高傭金聯盟app聯合了拼多多商品網購平臺,為你帶來高傭金的網賺體驗,擁有萬千商品,最便捷的購物模式,售賣模式,讓你快速賺錢!PDD高傭聯盟之家這就為您提供高傭聯盟app下載地址。   高傭聯盟app下載

【天翼杯題二】 愛加密實戰

encode ask ner 符號 rom fse write 找到 ace 前言 這個apk使用愛加密加密,加密時間是2017.6月。這個題其實就是個脫殼題,脫完立馬見flag。(出題人也太懶了) 題目鏈接:https://gitee.com/hac425/blog_da

dex 通用技術研究(二)

技術 end 所有 art min out 描述 mut ons 0x03 DexHunter代碼分析 DexHunter 實現中,只需要修改一處文件:dalvik\vm\native\dalvik_system_DexFile.cpp 下面是BeyondCompare比對

dex 通用技術研究(一)

注:以下4篇博文中,部分圖片引用自DexHunter作者zyqqyz在slide.pptx中的圖片,版本歸原作者所有; 0x01 背景介紹 安卓 APP 的保護一般分為下列幾個方面: JAVA/C程式碼混淆 dex檔案加殼 .so檔案加殼 反動態除錯技術 其中混淆

蘋果&amp;最新看片神器各種實用功能,幫你一年省下上千塊!

說到看片神器,之前就給大家介紹過很多款,雖然說免費又好用,但是基本上壽命不長,用著用著就陣亡了...... 今天給大家帶來一個最新的軟體的,這個軟體目前還是非常好使的!,目前基本上是沒有什麼問題的,資源多,載入快,視訊清晰度也很高,可以說非常給力了!   這個就是軟體的首

Appium&amp;Python自動化測試-環境搭建之SDK

結果 gree index ase 環境變量配置 模擬器 https 變量 android 一、安裝包工具準備: jdk1.8.0(64 位) installer_r24.4.1-windows-androidSDK 二、JDK的安裝及配置 官方下載地址:htt

Mac&amp;Appium&amp;Python自動化測試-環境搭建之SDK

一、摘要 本博文將詳細講述在Mac環境下的jdk安裝、配置以及環境校驗;安卓sdk安裝、配置以及環境校驗 二、安裝包工具準備: jdk1.8.0(64 位) android-sdk_r24.4.1-mac osx.zip 三、JDK的安裝及配置 官方下載地址:https://www

U3D &amp; AS丨Unity與的互動

本帖為整合貼,學習各部落格方法,從這些方法中完善出一條成功互動的路   Unity與Android的互動方式 首先,我們要知道Unity與Android的互動方式有: 本部落格採用第一種方式進行互動,即將AS(AndroidStudio)匯出的arr包和Andro

逆向實踐7——樂固實戰

待分析應用zxxy拖到Android killer中反編譯: 可以看到是加了樂固殼的。檢視lib目錄下的so檔案為libshella-2.8.so,字尾為a表示基於ARM平臺,x代表x86平臺,這裡的版本是2.8.0版本的樂固殼。要分析如何脫殼,那麼這個l

291.部落格園&amp;蘋果手機客戶端開源專案整理

1.簡介   1.1本貼簡介   本貼主要收集一些部落格園安卓&蘋果端的開源專案,方便園友參與開發和下載,各個風格不同,根據各人審美參與開發和下載使用,歡迎下方留言投稿。   1.2本貼說明   本貼為個人整理,與部落格園官方無關,其中所有觀點看法均為個人看法,不代表部落格園官方和

IDA分析後丟失導入表的PE

alt getc port 資源 rec mut earch 斷點 由於 1. 問題 一些程序經過脫殼後(如用OD的dump插件),一些導入表信息丟失了,導致拖入IDA後看不到API的信息(如右圖所示,第一個紅圈處實際是GetCurrentProcessId),給分析造

如何將TS源流重新封裝並通過P2P協議傳輸在終端和蘋果終端播放

ts p2p 直播 什麽是TS流TS流(TransportStream)即在MPEG-2系統中,由視頻,音頻的ES流和輔助數據復接生成的用於實際傳輸的標準信息流稱為MPEG-2傳送流。根據傳輸媒體的質量不同,MPEG-2中定義了兩種復合信息流:傳送流(TS)和節目流(PS:ProgramStrea

動手分析仿QQ聯系人列表TreeView控

code children cas tail pri bstr abstract viewgroup teset 因項目需要需要用到仿QQ聯系人列表的控件樣式,於是網上找到一個輪子(https://github.com/TealerProg/TreeView)