Codeoooo 博客

接着上文，我们发现请求后的结果是加密的状态，我们需要解密成明文看数据。前面提到无法使用frida,直接上xposed.先来在线网站测试一波，呀呀呀。直接就hook出来了？

frida被检测，反调试，我们换xposed试下。需要破解的是这两个参数。查无壳后，直接反编译。美滋滋，结果出来了。

2021年11月1《个人信息保护法》正式施行，标志信息保护进入强监管时代，APP监管被提升到前所未有的高度，数据安全、用户隐私、甚至功能体验等各个方面都出台了相应的规则规范，监管的初衷是：从各个层面保障用户的权益，避免用户的隐私、体验、数据被滥用，甚至威胁国家安全，一旦违规被查处面临的惩罚是非常严厉的，因此产品运营方必须高度重视。另一方面，一旦查出隐患问题，要积极响应，及时整改，否则可能面临工信部通报，甚至全面下架风险，首当其冲的一块是：APP隐私合规。-f ：保存未Excel，默认不保存。

介绍一些查看三方sdk app工具。LibChecker ，com.absinthe.libchecker包名， 但是奉劝大家，不要因为好奇，而使用 apk helper查包工具，来查该app。LibChecker 功能还是很强大，可以查看app的原生库，服务，活动，广播监收器，内容提供器，权限，元数据，DEX等。前一篇介绍了隐私合规，使用frida进行一些权限探测，本篇介绍一些与系统的环境设备指纹相关。标准千万条，合规第一条。应用不合规，老板两行泪。相比起来只是多了个 real 关键词。

Data排序后拼上时间戳的md5 之后再md5，就是sign；看见了有一个sign字段，而且后端会效验该参数；adb shell pm clear 包名。盲猜就是个MD5, 因为长度为32；一行命令搞定一个加密；

首先挂上代理抓个登陆包，结果发现抓不到包，我们直接换个思路，采用vpn转发方式进行抓包；sign, hsign，hext-union 三个参数加密；hsign长度为32，可能为MD5 ， 其他两个未确定；直接上我们的url定位：我直接附加吧是搞出来点东西，看样子有这个MD5, 先个堆栈追踪；打开提示目录中的，URLWithString_.js 文件把咱们万能堆栈加上去；记录下堆栈，砸壳分析一波：砸壳我这里用的是 CrackerXI ，继续往上找吧；

可以使用之前推荐网站，进站指令码和汇编转化后，进行更改hex ， F2保存；找到x9的地址，然后减去基地址也就是首地址，得到便宜地址；hook后地址，我们可以使用keyPath 去更改跳转；先使用 ADRP进站申明后，再清空后几位，进行 ADD；某app砸壳后放到IDA，根据堆栈查到该位置如下；BR 调到后面 x8 x9地址，汇编指令；后面无用指令，直接nop；

sign解密，为header及data中的key-value拼接，并进行前后和盐值拼接，进行MD5加密；本章记录定位的算法位置，方便后续观看；

分析流程：Response:1.base64:3.分段解析：try {return str;”);static {

frida -U -f 包名 --no-pause -l C:\Users\Codeooo\Desktop\hook_aes.js。这个地方，我们知道，参数1为data, 参数2为 长度， 参数3为返回值也就是常说的buffer;接下来我们干分析一波MD5，在上面看到是 MD5sum这个位置发现变动，点进来看一波；返回的响应头：x-xc-proto-res: 进行后续验证处理；好的，饶了一圈回到原点，看下最早我们 sign 怎么生成的吧；这个得 -f spwan去启动，不能用-F 附加了；

X小程序中wsgsig参数解密，从wxpkg包反编译js还原补环境完成, 解密还原（js源码还原python）

reqdata：base64编码。opentime：时间戳。sign 未知，需要解密。有360加固，直接脱壳。