安卓逆向第三篇:破解某狐新聞 frida hook so

app是:

需要base64解碼:
5pCc54uQ5paw6Ze7YXBwNi40LjQ=

遇到問題:

軟件內(nèi)的搜索接口:


請(qǐng)求頭

請(qǐng)求頭有ssig,不帶不行。

解決吧:

jadx

上來先jadx打開apk,看看源碼,搜一下ssig


jadx

image.png

太多了 過

搜url

image.png

image.png

點(diǎn)開之后右擊方法名,點(diǎn)查找用例

image.png

點(diǎn)進(jìn)去
image.png

如果按第一種直接搜ssig都搜不到 我都沒點(diǎn)忽略大小寫
image.png

再繼續(xù)
image.png

so先不管了,先hook java

import frida, sys


def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)


jscode = """


function showStacks() {
    Java.perform(function() {
        send(Java.use("android.util.Log")
            .getStackTraceString(Java.use("java.lang.Exception")
                .$new()));
    });
}
setImmediate(function() {

    console.log("[*] Starting script");

    Java.perform(function() {
        // Function to hook is defined here

        
        var http = Java.use('com.sohu.newsclient.security.b.a');
        var http2 = Java.use('com.sohu.newsclient.securityencrypt.SecurityNativeUtils');
        //var Context = Java.use('android.content.Context');
        http.a.overload("java.lang.String").implementation = function(a1) {
                showStacks();
                send("start");
                send("a參數(shù)1:" + a1);
                var result = this.a(a1);
                send("a結(jié)果:" + result);
                return result;
            };
        http2.getSignatureNative.implementation = function(a1,a2,a3) {
                showStacks();
                send("start");
                send("getSignatureNative參數(shù)1:" + a1);
                send("getSignatureNative參數(shù)2:" + a2);
                send("getSignatureNative參數(shù)3:" + a3);
                var result = this.getSignatureNative(a1,a2,a3);
                send("getSignatureNative參數(shù)3結(jié)果:" + result);
                return result;
            };
    
    });
});
"""
'''

'''

# // send("結(jié)果:"+bytesToString(result));
process = frida.get_usb_device().attach('com.sohu.newsclient')
script = process.create_script(jscode)
script.on('message', on_message)
print('[*] Running CTF')
script.load()
sys.stdin.read()

結(jié)果


image.png

傳的參數(shù)都在抓包的時(shí)候可以看到,下面來搞so文件

IDA

先把這個(gè)apk后綴改為zip,然后解壓,打開文件夾,打開lib文件夾,然后打開到最里面,

找到libsecurity_helper.so 放到ida里,


image.png

這里點(diǎn)開之后應(yīng)該跟我不一樣,因?yàn)槭庆o態(tài)方法,java傳參是3個(gè),這里參數(shù)是5個(gè)。所以第一個(gè)參數(shù)是JNIenv* 第二個(gè)是jclass (如果是動(dòng)態(tài)的就是jobject),然后int不變 ,兩個(gè)string是char*,

具體整理代碼的方法看安卓逆向第一篇http://www.itdecent.cn/p/dfa16d43a1e5

整理完如下圖

image.png

很明顯有個(gè)md5 ,但是傳參并不知道是啥,那就用frida hook它,

frida hook so

這也是我為什么寫這篇文章的原因,frida hook so,

image.png

下面只放了js代碼 圖里的復(fù)制它 粘貼到哪了知道吧

function c(){
        const hooks = Module.load('libsecurity_helper.so');
        var Exports = hooks.enumerateExports();
        for(var i = 0; i < Exports.length; i++) {

            var str;
            Java.perform(function () {
                str = Java.use("java.lang.String");
            });
            // console.log(Exports[i].name)
            if(Exports[i].name=="_Z13md5_calculatePKcS0_"){
                //函數(shù)類型
                console.log("type:",Exports[i].type);
                //函數(shù)名稱
                console.log("name:",Exports[i].name);
                //函數(shù)地址
                console.log("address:",(Exports[i].address));
                Interceptor.attach(Exports[i].address, {
                    onEnter: function (args) {
                        console.log("_______");
                        console.log(Memory.readCString(args[0]));
                        console.log(Memory.readCString(args[1]));
                        // var s3 = Java.cast(args[0], str);
                        // var s5 = Java.cast(args[1], str);
                        // console.log("s3:",s3);
                        // console.log("s5:",s5);
                        // Java.vm.getEnv().GetObjectClass(args[0])
                        // console.log("param1>>>>>>>>>>>>>>>>--------------------------"+Memory.readUtf16String(args[0]));
                    },
                    onLeave: function (retval) {
                        console.log("param1>>>>>>>>>>>>>>>>--------------------------")
                        console.log(Memory.readCString(retval));
                        // var result=Java.vm.getEnv().newStringUtf(retval)
                        // console.log("param result>>>>>>>>>>>>>>>>--------------------------"+Java.cast(retval, str));
                    }
                });
            }
        }
    }
c();

結(jié)果:


image.png

image.png

總結(jié)

最后就是把java層的其中一個(gè)參數(shù),拼接上固定的字符串,md5一下。 其他參數(shù)用不到。


image.png
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

友情鏈接更多精彩內(nèi)容