App一般逆向流程记录

最新推荐文章于 2025-11-02 19:13:21 发布
转载 最新推荐文章于 2025-11-02 19:13:21 发布 · 553 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:http://www.phpxs.com/
文章标签:

#android #java #开发语言

1.抓包

使用CharlesPostern,通过VPN代理形式进行抓包,而不是通过给WIFI设置HTTP代理的方式。使用VPN可以同时抓到Http(s)Socket的包。

2.抓取目标用户的用户信息

URLhttps://yapi.haohaozhu.cn/member/getUserInfo

加密参数shawshank,打开jadx搜索shawshank,得知该参数是一个n2类里名为E的常量,接下来搜n2.E,调用的位置锁定位置。

com.hzhu.m.f.b.d.a

关键代码:

    public static String a(TreeMap<String, String> treeMap) {
        String replace = com.hzhu.base.f.x.a.a(com.hzhu.base.f.x.b.a(new Gson().toJson((Object) treeMap), n2.B)).replace("+", com.xiaomi.mipush.sdk.Constants.ACCEPT_TIME_SEPARATOR_SERVER).replace(com.appsflyer.share.Constants.URL_PATH_DELIMITER, "_");
        StringBuilder sb = new StringBuilder();
        sb.append(n2.A);
        sb.append(replace);
        return sb.toString();
    }

使用objection动态调试下

objection -g  com.hzhu.m explore

hook下上面的方法

android hooking watch class_method com.hzh
u.m.f.b.d.a --dump-args --dump-backtrace --dump-return

得到结果

(agent) Attempting to watch class com.hzhu.m.f.b.d and method a.
(agent) Hooking com.hzhu.m.f.b.d.a(java.util.TreeMap)
(agent) Hooking com.hzhu.m.f.b.d.a(boolean)
(agent) Registering job 1408148254974. Type: watch-method for: com.hzhu.m.f.b.d.a

由结果得知他有两个重载方法。

因为通过jadx分析我们知道参数java.util.TreeMap的方法才是我们想要的。所以修改objection代码,在需要hook的方法后面加个空格加上参数类型,可以进一步锁定具体是那个hook方法的。

android hooking watch class_method com.hzh
u.m.f.b.d.a java.util.TreeMap --dump-args --dump-backtrace --dump-return

--dump-args:打印参数

--dump-backtrace: 打印调用栈

--dump-return:打印返回值

然后现在objection处于等待状态,重新点击app上的内容,可以得到下面的内容,其中关键代码

(agent) [0475123810009] Arguments com.hzhu.m.f.b.d.a("<instance: java.util.TreeMap>")
(agent) [0475123810009] Return Value: "qEpcsu2CCkruqxB6h.itrY2p2tx1wchcSiAE5QNgxOMAtH4yGpq4n4C9P3JM9nDz4I23igrYVBNTsiY9eVP5NvV-bE3Su6aspx_z2xZfusGGtETbuehv2g="
(agent) [1408148254974] Called com.hzhu.m.f.b.d.a(boolean)
(agent) [1408148254974] Backtrace:
    com.hzhu.m.f.b.d.a(Native Method)
    com.hzhu.m.f.b.d$b.intercept(HttpInit.java:3)
    okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:10)
    okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:1)
    com.hzhu.m.f.b.c.intercept(HhzExceptionCheckInterceptor.kt:16)
    .....后面的调用栈省略

通过上面的结果 我们知道了返回值

qEpcsu2CCkruqxB6h.itrY2p2tx1wchcSiAE5QNgxOMAtH4yGpq4n4C9P3JM9nDz4I23igrYVBNTsiY9eVP5NvV-bE3Su6aspx_z2xZfusGGtETbuehv2g=就是我们的目标结果,然后参数就不知道是个啥了,只知道是java.util.TreeMap实例, objection对于这种复杂的参数类型是无法打印的,这个时候我们就要借助frida了。

先用objection生成个frida代码模版。

android hooking generate simple com.hzhu.m.f.b.d

结果

Java.perform(function() {
    var clazz = Java.use('com.hzhu.m.f.b.d');
    clazz.a.implementation = function() {

        //

        return clazz.a.apply(this, arguments);
    }
});

objection只能生成一个大概的框架代码,具体内容还需要自己加,保存下来先运行看看。之后执行代码

frida -U com.hzhu.m -l crack_haohaozhu.js

得到错误提示,我们可以根据错误提示进一步优化代码,这里我们知道了a有两个重载方法。

Error: a(): has more than one overload, use .overload(<signature>) to choose from:
    .overload('java.util.TreeMap')
    .overload('boolean')

Java.perform(function() {
    const gson = Java.use('com.r0ysue.gson.Gson').$new();

    var clazz = Java.use('com.hzhu.m.f.b.d');
    clazz.a.overload('java.util.TreeMap').implementation = function(x) {
        //
        console.log("x:=",x);
        const json_x=gson.toJson(x)
        console.log("json_x",json_x);
        return clazz.a.apply(this, arguments);
    }
});

得到传入的参数为

{"uid":"3171385"}

接下来就是找到算法的位置。将之前静态分析的代码简化

  String replace = com.hzhu.base.f.x.a.a(com.hzhu.base.f.x.b.a(new Gson().toJson((Object) treeMap), null)).replace("+", "-").replace("/", "_");;

首先,

com.hzhu.base.f.x.b.a(new Gson().toJson((Object) treeMap), n2.B)

我们知道他的返回值为byte[] 类型,然后看外层的com.hzhu.base.f.x.a.a

根据jadx上面的提示

/* compiled from: Base64 */

盲猜之后做了一个base64操作(后来证实确实是)。

得到结果replace之后还没完,接下来还有个

     StringBuilder sb = new StringBuilder();
        sb.append(n2.A);
        sb.append(replace);
        return sb.toString();

查看代码得知n2.A是qEpcsu2CCkruqxB6h.itrY2p2tx。

至此到这里就分析完了。

最终的shawshank的结果就是上面的sb.toString()的值。

简单捋一下结果

1.传入目标字符串{"uid":"3171385"},注意是字符串。uid就是用户的id

2.com.hzhu.base.f.x.b.a一顿操作生成byte数组

3.然后做个base64操作,将字节数组转成字符串。

4.在得到的结果前面拼接上n2.A,得到最终加密参数。

以上就是本次分享的所有内容,如果你觉得文章还不错,欢迎关注公众号:Python编程学习圈,每日干货分享,发送“J”还可领取大量学习资料。或是前往编程学习网,了解更多编程技术知识。

IOS APP逆向反编译记录
墨痕诉清风的博客
07-02 864
用终端输入命令class-dump -H [.app文件的路径] -o [输出文件夹路径]文件中的class-dump文件复制到/usr/local/bin。这个版本好像有点问题,使用下面这个版本。显示class-dump的用法和版本。Class-dump官网下载地址。解压后获取 .app文件。到这儿就安装完成了。
app逆向实战:某新闻7.38.0版本加固脱壳和参数分析
九月镇灵将的博客
08-01 1517
app逆向实战:某新闻7.38.0版本加固脱壳和参数分析
Android逆向开发处理unknown文件&AppsFlyer库中classes.jar中的a-,b-资源合并问题
qq_19942717的博客
04-03 4034
多岁的方法
对某APP逆向分析的实战
A1_3_9_7的博客
12-16 2101
如此欲盖弥彰的安全保护,真令破解者狂喜。okhttp工作方式是责任链,也叫管道传输(pipelien),每一环节处理一些事情,比如在发送阶段,第一个pipline是添加基本信息,如设备id,时间戳等等。插入到a()函数返回之前,这样,我们每隔两小时会使用全新的deviceid,对服务端来说好像是新的设备安装了他的app,然后就可以又白嫖两小时的免费时间了。技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。
Android 逆向完全手册:从入门到实战
最新发布
m0_57836225的博客
11-02 2833
静态分析优先用 JADX 搜索关键词,快速定位核心代码;抓包工具(Fiddler/Charles)是验证逆向结果的重要手段;Frida Hook 能直接获取函数的输入输出,避免陷入复杂的加密算法细节;手动复现加密(如 Python 代码)是确认加密逻辑的 “最终验证步骤”。Android 逆向的核心价值,在于 “通过拆解 APP,理解其底层逻辑与安全弱点”—— 对开发者而言,逆向能帮助发现 APP 的安全漏洞,提升产品安全性;对安全研究者而言,逆向是挖掘系统漏洞、维护网络安全的重要手段。
Frida Error: getPackageInfoNoCheck(): has more than one overload的解决方法
fjh1997的博客
08-04 919
网上查看后发现是Frida的组件Frida-Java-Bridge 的bug,虽然在Frida-Java-Bridge v6.2.3里修复了,但是没有集成到frida中,导致没法使用,我研究了半天也没搞懂怎么调用新版的Frida-Java-Bridge。临时的解决方法是加 --no-pause参数然后在出错之后的shell里面输入。参考:https://github.com/frida/frida/issues/2218。这本书里面讲了几乎安卓抓包的所有办法,可以读读看。
01-Frida的安装及使用
qq_39249347的博客
09-09 1139
Frida Frida是一个动态代码执行工具包,通过Frida开源把一段Javascript代码注入到一个进程中去,或者把一个动态库加载到另一个进程中去。 为什么使用 Python API,但使用 JavaScript 调试逻辑? Frida核心引擎是用C写的,并且集成了Google的Javascript引擎V8,把包含V8的代码注入到目标进程之后,通过一个专门的信息通道,目标进程就可以和这个注入进行的Javascript引擎进行通信了,这样通过Javascript代码就可以在目标进程中做很多事情,例
精品连载丨安卓 App 逆向课程之二逆向神器 frida 的介绍
静觅
06-16 2317
“ 阅读本文大概需要 8 分钟。 ”前面我们介绍了精品连载丨安卓 App 逆向课程一之环境配置,下面我们来接着介绍一个安卓 App 逆向大杀器—— frida。前阵子受《Xposed模块...
app逆向学习记录——1
dbhbc的博客
08-10 990
app逆向学习记录
记某APP登录逆向解密过程
A345545108的博客
05-04 1106
查找用例,双击进入,定位到代码位置,我们可以看到密码加密的位置就是SecurityUtil.encodeMD5(str3)最近在学习APP逆向相关的知识,刚好拿到了一个APP目标,该APP登录过程存在加密,所以记录逆向破解的过程。如果此时不确定是否是MD5加密时,可以利用Python代码进行确认,对123456进行加密。手机端应用也使用123456进行登录,查看数据包,发现两个值相同,可以确认时MD5加密。运行hook代码,手机端输入账号密码进行登录,可以看到和我们抓包的结果是一样的。
记录一次得物App H5逆向
jiqiu2021的博客
07-26 3408
在分析过程中,发现大量明文对浏览器环境的监测,防止大家放到node里面一把梭,总的来说是做算法更容易一些。tip]对得物的防护建议:对关键字符串进行加密,此文件中多次出现encrypt关键字,并且AES加密也没有进行隐藏,很容易搜索定位到。建议取消无限debugger的防护,这样给人一种此地无银三百两的感觉,直接定位到了关键加密的函数。
android逆向之frida脚本中overload带的参数.pdf
11-22
该篇文章主要介绍frida脚本hook android app的对象方法以及当方法重载时如何使用。感兴趣的朋友可以下载下来了解了解。
AppsFlyerLib.framework.zip
12-03
超级好用的AF统计工具!!!
Frida常见错误解决方案
全栈工程师
04-06 1356
frida常见错误解决方案
安卓逆向经典案例——XX牛
weixin_63958646的博客
06-09 864
通过抓包,发现点击登录后,才会出现Encrpt加密信息,所以我们通过控件找到对应id:btn_login。
renrenAPP逆向
m0_53851127的博客
07-18 414
.method public static N6(Ljava/lang/String;Ljava/lang/String;ILjava/lang/String;Ljava/lang/String;Landroid/content/Context;Lcom/renren/mobile/android/loginfree/LoginStatusListener;)V .locals 1 .annotation system Ldalvik/annotation/MethodParameters;...
Frida 学习记录(二)
qq_46113775的博客
11-16 507
这是参考一个外国博主的博客写的,这是他的博客地址,本次大致内容是将一个apk中原有的fun函数进行修改,但如果遇到同名函数,需要注意重新实现时注意函数参数,同时实现调用app实例中定义了但未被调用的函数。使用到了Frida、pyhon、js、adb、jadx、cmd、逍遥模拟器等工具及编程语言。环境配置参考Frida 学习实战记录(一)。
进阶Frida--Android逆向之Hook动态加载dex(三)(下篇)
热门推荐
小猪乔治
07-08 1万+
上篇花了很多篇幅讲了Robust的原理,并以做题的思路去求解了这个示例ctf,其实这是一种思路的启示,当我们在不知道怎么hook动态加载的dex时候,看看代码里面是否存在能够操作动态加载出来的类的方法。当然这不是重点,下篇我会重点给大家分享如何使用frida去hook DexclassLoader,怎么用反射直接调用类的方法,达到跟hook一般类一样的效果。 ...
Keil5报错:error: more than one instance overload function “xx“ has C linkage
qlexcel的专栏
08-01 1283
转自:https://blog.youkuaiyun.com/malloc_luo/article/details/104437926 用Keil编写C、C++混编程序碰到了这个问题 #ifdef __cplusplus extern "C"{ #endif /*__cplusplus*/ //overload void foo(int ,int ); void foo(float ); #ifdef __cplusplus } #endif /*__cplusplus*/ 编译之后报错: more than o
app逆向frida反调试
01-02
### 使用 Frida 实现反调试技术 #### 反调试概述 在逆向工程过程中,目标程序通常会集成各种形式的防调试机制以阻止分析人员深入了解其运行逻辑。这些保护措施可能包括但不限于检测是否附加了调试器、检查进程状态以及监控特定事件的发生等[^1]。 #### 基于Frida实现反调试的具体方法 ##### 1. 阻断常见的调试接口调用 许多移动应用程序会在启动初期执行一系列用于确认环境安全性的验证过程。如果发现有外部工具试图干预,则立即终止自身或其他异常行为作为响应。为了绕过此类限制,可以采用拦截并修改敏感函数返回值的方式: ```javascript Interceptor.attach(Module.findExportByName(null, 'isDebuggerPresent'), { onEnter: function (args) { this.return_value = false; // 修改默认判断结果为未被调试 }, onLeave: function (retval) { retval.replace(this.return_value); // 替换原始输出 } }); ``` 此段脚本展示了怎样利用 `Interceptor` API 来挂钩 Windows 平台下的标准库函数 `IsDebuggerPresent()` ,从而欺骗目标认为当前不存在任何调试活动正在进行中[^4]。 ##### 2. 处理动态加载模块中的隐藏逻辑 对于那些采用了复杂加载策略的应用来说,仅仅依靠静态分析往往难以获得完整的代码路径覆盖度。此时借助像 Frida 这样的注入框架能够实现在内存层面实时跟踪新引入的对象及其关联的操作流。特别是针对经过高度优化甚至加密处理后的二进制文件而言,这种方法尤为有效[^3]。 例如,在面对 Flutter 应用时,由于其独特的编译方式使得传统的字节码解析变得不再适用;而通过上述手段则可以在不解密的前提下获取到更多关于内部组件交互的信息[^2]。 ##### 3. 绕过基于时间戳或计数器的时间差攻击防御 部分软件可能会记录下每次重要操作之间所耗费的实际秒数,并据此推算是否存在人为延缓现象——这通常是手动单步追踪留下的痕迹之一。对此类情况可以通过调整系统时钟读取函数的行为来达到目的: ```javascript var orig_gettime = new NativeFunction(Module.findBaseAddress('libc.so').add(0x7f8), 'int', ['pointer']); function fake_gettime(buffer){ var result = orig_gettime(buffer); Memory.writeUtime(buffer.add(Process.pointerSize), Date.now() / 1e3 | 0); // 设置固定的时间点 return result; } Interceptor.replace(orig_gettime.address, Interceptor.createCallback(fake_gettime)); ``` 这段 JavaScript 脚本实现了对 Linux 系统上常用的 `gettimeofday()` 函数替换,确保无论何时查询都能得到一致的结果,进而规避因时间间隔不正常引发的安全警报。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值