前言

此次是逆向某國(guó)內(nèi)知名健身軟件kxxp（你懂的）還不知道軟件名的可以看下面的代碼，里面有
版本為：6.128.0
現(xiàn)在情況是抓包，請(qǐng)求頭內(nèi)有個(gè)sign。
sign = so方法（md5(請(qǐng)求參字符串)）
—————————————————————————————————————

更新：

此文是邊做邊寫(xiě)的，所以前期設(shè)想跟我最后用的方案有些出入

簡(jiǎn)單靜態(tài)分析

image.png

image.png

image.png

進(jìn)去之后 按F5
右擊入?yún)⒆兞款?lèi)型
點(diǎn)下圖這個(gè)，依次改為JNIEnv *a1, jclass a2, jstring a3，再右擊空白地區(qū)，點(diǎn)Hide casts

image.png

現(xiàn)在就規(guī)整多了

image.png

其中g(shù)etSignhashcode很明顯是簽名驗(yàn)證用的

image.png

方案選型

目前兩種方案
1、使用xposed+sekiro，遠(yuǎn)程調(diào)用手機(jī)生成，（一直用這種，不想用了，想學(xué)點(diǎn)新的）
2、使用unidbg(Unicron封裝，java語(yǔ)言編寫(xiě))，或者AndroidNativeEmu(Unicron封裝，python語(yǔ)言編寫(xiě))。直接在服務(wù)器上運(yùn)行so文件。直接用Unicron應(yīng)該也可以（還沒(méi)用過(guò)不確定）。
相比較而言，第二種麻煩，所以我們就用第二種吧??。
但是這里有個(gè)簽名驗(yàn)證（上一張圖），直接用應(yīng)該過(guò)不掉。所以我們讓那個(gè)判斷直接從！= 改成==就行了。
———————————更新———————————————
其實(shí)這里我之前理解有誤，不需要改so。如果自己開(kāi)發(fā)一個(gè)app調(diào)用這個(gè)so，可以改這個(gè)。后面用unidbg用原so就可以了。但是因?yàn)樾薷囊彩切轮R(shí)就留著了
———————————更新完畢—————————————

修改so

image.png

image.png

image.png

看的有點(diǎn)懵沒(méi)關(guān)系。先看后面。

這里需要另一個(gè)軟件 --> 010Editor

mac下載鏈接https://www.52pojie.cn/thread-847145-1-1.html
↑ 這是個(gè)論壇鏈接，win的自己去論壇搜好了。
mac安裝可能會(huì)有問(wèn)題。
解決方法：
下載回來(lái)解壓，然后拉到應(yīng)用程序目錄下，執(zhí)行：sudo xattr -r -d com.apple.quarantine /Applications/010\ Editor.app ，就可以運(yùn)行了，在10.15.6可以運(yùn)行
打開(kāi)后把so文件拖進(jìn)去就行了。

怎么改，改成什么？

學(xué)習(xí)了這篇文章后
打開(kāi)這個(gè)鏈接https://armconverter.com/?code=BEQ%200xFFFFFF
先BEQ

image.png

image.png

image.png

image.png

使用AndroidNativeEmu調(diào)用

這個(gè)我用了一下，因?yàn)閟o使用了java的方法，我也不太清楚怎么補(bǔ)充這個(gè)環(huán)境，相關(guān)教程也是不多。
所以。。。。

使用unidbg調(diào)用

github：https://github.com/zhkl0228/unidbg
代碼如下： 有詳細(xì)注釋

package com.keep.test;
import com.github.unidbg.*;
import com.github.unidbg.linux.android.AndroidARMEmulator;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.api.Signature;
import com.github.unidbg.linux.android.dvm.array.ArrayObject;
import com.github.unidbg.memory.Memory;
import net.dongliu.apk.parser.bean.CertificateMeta;

import javax.xml.bind.DatatypeConverter;
import java.io.File;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Date;
import java.util.List;

public class MainActivity extends AbstractJni {
    public static void main(String[] args) {
        MainActivity mainActivity = new MainActivity();
        mainActivity.stringFromJNI();
    }

    private final AndroidEmulator emulator;
    private final VM vm;
    private DvmClass cNative;

    private MainActivity() {
        // 貌似查進(jìn)程的時(shí)候用的   這個(gè)不寫(xiě)也沒(méi)事  隨便寫(xiě)的
        emulator = new AndroidARMEmulator("com.gotokeep.keep");
        Memory memory = emulator.getMemory();
        // 設(shè)置 sdk版本 23
        LibraryResolver resolver = new AndroidResolver(23);
        memory.setLibraryResolver(resolver);

        //創(chuàng)建DalvikVM，可以載入apk，也可以為null    如果加載的是apk   會(huì)自動(dòng)讀取apk文件里的簽名加載進(jìn)去  可以過(guò)掉簽名驗(yàn)證
        vm = emulator.createDalvikVM(new File("unidbg-android/src/test/resources/apk/keep.apk"));
//        vm = emulator.createDalvikVM(null);
        vm.setJni(this);
        // 是否打印日志
        vm.setVerbose(true);

        // 載入要執(zhí)行的 so  下面這行是上面不是apk的情況   直接指定so文件   當(dāng)然即使指定了apk  也可以加載自己so
//        DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/libcryp.so"), true);
        //  如果加載的是apk， 使用apk中的so文件   這里光寫(xiě)so文件名就可以  不用寫(xiě)lib
        DalvikModule dm = vm.loadLibrary("cryp", true);
        // 我這個(gè)沒(méi)有JNI_OnLoad方法  所以我這里就不調(diào)用這個(gè)了
//        dm.callJNI_OnLoad(emulator);
//        module = dm.getModule();
    }

    private void stringFromJNI() {
        // Jni調(diào)用的類(lèi)
        cNative = vm.resolveClass("com/gotokeep/keep/common/utils/CrypLib");
        long t = System.currentTimeMillis();
        DvmObject<?> strRc = cNative.callStaticJniMethodObject(emulator,"getEncryptDeviceId(Ljava/lang/String;)Ljava/lang/String;",vm.addLocalObject(new StringObject(vm, "0eeff6dd425d56c286d00348c578c63d")));

        System.out.println("call stringFromJNI rc = " + strRc.getValue());
        // 打印計(jì)算的毫秒數(shù)
        System.out.println(System.currentTimeMillis()-t);
    }
    @Override
    public DvmObject<?> callStaticObjectMethod(BaseVM vm, DvmClass dvmClass, String signature, VarArg varArg) {
        System.out.println("call: " + signature);
        switch (signature) {
            case "com/gotokeep/keep/KApplication->getContext()Landroid/content/Context;":
                return vm.resolveClass("android/content/Context").newObject(signature);

        }

        return super.callStaticObjectMethod(vm, dvmClass, signature, varArg);
    }



    @Override
    public int callIntMethod(BaseVM vm, DvmObject<?> dvmObject, String signature, VarArg varArg) {
        System.out.println("call: " + signature);
        switch (signature) {
            case "android/content/pm/Signature->hashCode()I":
                return 1580769512;
        }

        return super.callIntMethod(vm, dvmObject, signature, varArg);
    }


}

其中還有兩個(gè)方法callStaticObjectMethod和callIntMethod沒(méi)寫(xiě)注釋。
除了這個(gè)還有很多，只是我沒(méi)用到。
寫(xiě)這個(gè)也很簡(jiǎn)單
如果不寫(xiě)的話，會(huì)報(bào)錯(cuò)：

image.png

image.png

python實(shí)現(xiàn)so算法

因?yàn)槭褂胾nidbg，隨意想算就算了。
所以入?yún)⑽覍?xiě)成32個(gè)00000000000000000000000000000000出來(lái)一個(gè)結(jié)果。
再用0000000000000000000000000000001出一個(gè)結(jié)果。
通過(guò)總結(jié)規(guī)律的寫(xiě)法
得出了

def get_int(a1):

    if ord(a1) > 47 and ord(a1) <= 57 :
        return ord(a1) - 48
    if ord(a1) > 96 and ord(a1) <= 102 :
        return ord(a1) - 87
    if ord(a1) <= 64 or ord(a1) > 70 :
        return 0
    return ord(a1) - 55


def keep_so(s):
    shard_list = [[], [], [], []]
    index = 0
    index_w = 0
    for i in s:
        shard_list[index_w].append((get_int(i)))
        index += 1
        if index % 8 == 0 and index != 0:
            index_w += 1
    sum_list = [0, 0, 0, 0, 0, 0, 0, 0]
    for i in range(8):
        for j in shard_list:
            sum_list[i] += j[i]

    tail_list = sum_list[5:]
    carry = int((tail_list[2]+1)/16)
    tail_list[2] = (tail_list[2]+1)%16
    tail_list[1] = tail_list[1]+carry
    middle_num = tail_list[0]*16+tail_list[1]
    middle_num += 235
    middle_num = hex(middle_num).replace("0x","")
    middle_num = middle_num[-2:] if len(middle_num)>2 else middle_num
    sum_list = sum_list[:5]
    sum_list = [k+14 for k in sum_list]
    for i in range(5):
        sum_list[-i - 1] += int(sum_list[-i] / 16)
    sum_list = [(k)%16 for k in sum_list]
    return s+"".join([hex(k).replace("0x","") for k in sum_list])+middle_num+str(tail_list[2])
if __name__ == "__main__":

    n="0eeff6dd425d56c286d00348c578c63d"
    print(ord("a"))
    print(keep_so(n))
    print("----")
    print(keep_so(n)=="0eeff6dd425d56c286d00348c578c63d8c8505d5")