APP下载地址:
环境
firda: lamda最新自带版本
ida: mac for 7
逆向目标
列表页接口逆向
接口定位
开启vpn代理流量到我自己电脑,刷新app页面可知列表页接口为 getList

分析参数可知,只有sign,account参数每次请求在变化,所以这也就是我们逆向的目标。
apk脱壳
直接把apk拖到jadx-gui,发现没有什么有用的内容,由此可知apk大概率被加壳,直接用 frida-dexdump 进行脱壳 frida-dexdump脱壳笔记-CSDN博客
静态代码分析
把脱壳后的dex文件再次拖入jadx,搜索关键字,getList , account, sign 可以搜索到一些有用的信息

继续向上寻找引用可以很简单的找到sign生成的位置

由此可见account是每次生成一个随机的uuid,继续跟sign的生成方法

跟到这里发现sign其实是有so实现的,我们只需要把apk改为zip格式解压,在lib目录寻找对应的libwtf.so 文件即可
so文件分析
找到so文件后把文件拖入 ida64中,逆向出的代码如下

这个so看起来还是很简单的,只是调用了 java中 LogShuDown.getAppSign() 获取一个签名再对入参做一些md5,字符串拼接之类的操作。
如果你看不懂可以直接把这段代码复制到claude.ai中进行解析,claude在编码方面还是非常好用的

直接把这段代码复制出来,然后写一段frida脚本hook getSign()方法,对比结果是否一致
我的frida脚本
Java.perform(function () {
let HttpRequestEntity = Java.use("cn.thecover.lib.http.data.entity.HttpRequestEntity");
HttpRequestEntity["getSign"].implementation = function (str, str2, str3) {
console.log(`HttpRequestEntity.getSign is called: str=${str}, str2=${str2}, str3=${str3}`);
let result = this["getSign"](str, str2, str3);
console.log('测试输出:', this["getSign"]('4e4f4b94-2fac-4ee5-b7ae-3d63e0dbecf5', '', '1755763730076'));
console.log(`HttpRequestEntity.getSign result=${result}`);
return result;
};
const target = "cn.thecover.lib.common.utils.LogShutDown";
try {
const LogShutDown = Java.use(target);
// 如果只有一个无参版本,直接用 overload() 即可
// 若存在多个重载,可打印 LogShutDown.getAppSign.overloads.length 查看并逐一处理
if (LogShutDown.getAppSign) {
// 保险起见,处理所有重载(通常就 1 个)
LogShutDown.getAppSign.implementation = function () {
const result = this.getAppSign()
console.log("[+] Hooked " + target + ".getAppSign()", 'result=', result);
return result
}
console.log("[+] Hooked " + target + ".getAppSign()");
} else {
console.log("[-] Method getAppSign not found on " + target);
}
} catch (e) {
console.log("[-] Hook failed:", e);
}
})
对比结果


可以看到这里是一样的,说明这个没有问题
验证
直接写getList的调用,来验证是否正确

2万+

被折叠的 条评论
为什么被折叠?



