安卓逆向之 某报,非常简单的so逆向

APP下载地址: 

---我叫云新闻,来自彩云之南,是云南日报报业集团倾力打造的媒体深度融合平台。<\br>在云南孕育,从云端发迹,集云岭大成。云既是我的名字,也是标签和印记,更是理念与追求。<\br> <\br>立足“深耕云南、面向全国、辐射两亚(南亚东南亚)、联结世界”定位 ,云新闻旨在打造“中国面向南亚东南亚国际传播的窗口、南亚东南亚国家了解云南的窗口”,建设具有世界眼光、中国情怀、云南味道、时代特征的新闻客户端。https://www.wandoujia.com/apps/6609193/history_v510

环境

firda: lamda最新自带版本

ida: mac for 7

逆向目标

列表页接口逆向

接口定位

开启vpn代理流量到我自己电脑,刷新app页面可知列表页接口为 getList

分析参数可知,只有sign,account参数每次请求在变化,所以这也就是我们逆向的目标。

apk脱壳

直接把apk拖到jadx-gui,发现没有什么有用的内容,由此可知apk大概率被加壳,直接用 frida-dexdump 进行脱壳 frida-dexdump脱壳笔记-CSDN博客

静态代码分析

把脱壳后的dex文件再次拖入jadx,搜索关键字,getList , account, sign 可以搜索到一些有用的信息

继续向上寻找引用可以很简单的找到sign生成的位置

由此可见account是每次生成一个随机的uuid,继续跟sign的生成方法

跟到这里发现sign其实是有so实现的,我们只需要把apk改为zip格式解压,在lib目录寻找对应的libwtf.so 文件即可

so文件分析

找到so文件后把文件拖入 ida64中,逆向出的代码如下

这个so看起来还是很简单的,只是调用了 java中 LogShuDown.getAppSign() 获取一个签名再对入参做一些md5,字符串拼接之类的操作。

如果你看不懂可以直接把这段代码复制到claude.ai中进行解析,claude在编码方面还是非常好用的

直接把这段代码复制出来,然后写一段frida脚本hook getSign()方法,对比结果是否一致

我的frida脚本

Java.perform(function () {
    let HttpRequestEntity = Java.use("cn.thecover.lib.http.data.entity.HttpRequestEntity");
    HttpRequestEntity["getSign"].implementation = function (str, str2, str3) {
        console.log(`HttpRequestEntity.getSign is called: str=${str}, str2=${str2}, str3=${str3}`);
        let result = this["getSign"](str, str2, str3);
        console.log('测试输出:', this["getSign"]('4e4f4b94-2fac-4ee5-b7ae-3d63e0dbecf5', '', '1755763730076'));
        console.log(`HttpRequestEntity.getSign result=${result}`);
        return result;
    };


    const target = "cn.thecover.lib.common.utils.LogShutDown";
    try {
        const LogShutDown = Java.use(target);

        // 如果只有一个无参版本,直接用 overload() 即可
        // 若存在多个重载,可打印 LogShutDown.getAppSign.overloads.length 查看并逐一处理
        if (LogShutDown.getAppSign) {
            // 保险起见,处理所有重载(通常就 1 个)
            LogShutDown.getAppSign.implementation = function () {
                const result = this.getAppSign()
                console.log("[+] Hooked " + target + ".getAppSign()", 'result=', result);
                return result
            }
            console.log("[+] Hooked " + target + ".getAppSign()");
        } else {
            console.log("[-] Method getAppSign not found on " + target);
        }
    } catch (e) {
        console.log("[-] Hook failed:", e);
    }
})

对比结果

可以看到这里是一样的,说明这个没有问题

验证

直接写getList的调用,来验证是否正确

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ifccod

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值