猿人学APP逆向第一题

已于 2023-03-25 20:14:04 修改
阅读量694 收藏
点赞数
文章标签: javascript 开发语言 ecmascript
于 2023-03-17 15:49:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_49859373/article/details/129620642
版权

一、抓包:加密参数sign

二、静态分析

2.1搜索app1直接直接定位到请求位置,查看用例直接定位到加密位置。可以直接看到Sign().sign()方法就是加密函数。

2.2frida-hook加密函数

一目了然,第一题太简单了就不过多分析,直接扣代码,干加密!

三、加密算法生成

3.1算法生成之后需要看着里补一个数组

3.2继续frida-hook看看传的是什么-发现结果是个固定的盐值乱码,我们直接复制出来即可

    let OooO0O0 = Java.use("o00OO.OooO0O0");
    OooO0O0.OooO0O0.implementation = function(j, strArr){
        console.log('OooO0O0 --入参---',j);
        console.log('OooO0O0 --入参---',strArr);
        let ret = this.OooO0O0(j, strArr);
        console.log('OooO0O0 --生成结果' + ret);
        return ret;
    };

四、本地生成结果

java源码


import java.nio.charset.StandardCharsets;
import java.util.ArrayList;


public class Sign {
    public static void main(String[] args) {
        StringBuilder sb = new StringBuilder();

        sb.append("page=");
        sb.append(2);
        long longValue = 1679037321;
        sb.append(longValue);
        System.out.println(sb);
        String cao = new Sign().sign(sb.toString().getBytes(StandardCharsets.UTF_8));
        System.out.println(cao);



    }
    private static final int A = 1732584193;
    private static final int B = -271733879;
    private static final int C = -1732584194;
    private static final int D = 271733878;

    private static int f(int i, int i2, int i3) {
        return ((~i) & i3) | (i2 & i);
    }

    private static int ff(int i, int i2, int i3, int i4, int i5, int i6) {
        return rotateLeft(i + f(i2, i3, i4) + i5, i6);
    }

    private static int g(int i, int i2, int i3) {
        return (i & i3) | (i & i2) | (i2 & i3);
    }

    private static int gg(int i, int i2, int i3, int i4, int i5, int i6) {
        return rotateLeft(i + g(i2, i3, i4) + i5 + 1518565785, i6);
    }

    private static int h(int i, int i2, int i3) {
        return (i ^ i2) ^ i3;
    }

    private static int hh(int i, int i2, int i3, int i4, int i5, int i6) {
        return rotateLeft(i + h(i2, i3, i4) + i5 + 1859775393, i6);
    }

    private ArrayList<Integer> padding(byte[] bArr) {
        long length = bArr.length * 8;
        ArrayList<Integer> arrayList = new ArrayList<>();
        for (byte b : bArr) {
            arrayList.add(Integer.valueOf(b));
        }
        arrayList.add(128);
        while (((arrayList.size() * 8) + 64) % 512 != 0) {
            arrayList.add(0);
        }
        for (int i = 0; i < 8; i++) {
            arrayList.add(Integer.valueOf((int) ((length >>> (i * 8)) & 255)));
        }
        return arrayList;
    }

    private static int rotateLeft(int i, int i2) {
        return (i >>> (32 - i2)) | (i << i2);
    }

    public String sign(byte[] bArr) {
        ArrayList<Integer> padding = padding(bArr);
//        System.out.println();
        int i = A;
        int i2 = B;
        int i3 = C;
        int i4 = D;
        for (int i5 = 0; i5 < padding.size() / 64; i5++) {
            int[] iArr = new int[16];
            for (int i6 = 0; i6 < 16; i6++) {
                int i7 = (i5 * 64) + (i6 * 4);
                iArr[i6] = (padding.get(i7 + 3).intValue() << 24) | padding.get(i7).intValue() | (padding.get(i7 + 1).intValue() << 8) | (padding.get(i7 + 2).intValue() << 16);
            }
            int[] iArr2 = {0, 4, 8, 12};
            int i8 = i;
            int i9 = i2;
            int i10 = i3;
            int i11 = i4;
            int i12 = 0;
            while (i12 < 4) {
                int i13 = iArr2[i12];
                i8 = ff(i8, i9, i10, i11, iArr[i13], 3);
                int ff = ff(i11, i8, i9, i10, iArr[i13 + 1], 7);
                i10 = ff(i10, ff, i8, i9, iArr[i13 + 2], 11);
                i9 = ff(i9, i10, ff, i8, iArr[i13 + 3], 19);
                i12++;
                i11 = ff;
            }
            int[] iArr3 = {0, 1, 2, 3};
            int i14 = i8;
            int i15 = i11;
            for (int i16 = 0; i16 < 4; i16++) {
                int i17 = iArr3[i16];
                i14 = gg(i14, i9, i10, i15, iArr[i17], 3);
                i15 = gg(i15, i14, i9, i10, iArr[i17 + 4], 5);
                i10 = gg(i10, i15, i14, i9, iArr[i17 + 8], 9);
                i9 = gg(i9, i10, i15, i14, iArr[i17 + 12], 13);
            }
            int[] iArr4 = {0, 2, 1, 3};
            int i18 = i14;
            int i19 = 0;
            while (i19 < 4) {
                int i20 = iArr4[i19];
                int hh = hh(i18, i9, i10, i15, iArr[i20], 3);
                i15 = hh(i15, hh, i9, i10, iArr[i20 + 8], 9);
                i10 = hh(i10, i15, hh, i9, iArr[i20 + 4], 11);
                i9 = hh(i9, i10, i15, hh, iArr[i20 + 12], 15);
                i19++;
                i18 = hh;
            }
            i += i18;
            i2 += i9;
            i3 += i10;
            i4 += i15;
        }
        return String.format("%02x%02x%02x%02x", Integer.valueOf(i), Integer.valueOf(i2), Integer.valueOf(i3), Integer.valueOf(i4));
    }

}
学狙人。
关注
猿人2022年App逆向--第一 java层加密
qq_38759383的博客
05-22 774
第六,先搞个unidbg看能不能跑起来 加载so是没问的,动态注册函数地址能跑出来,然鹅调用getDeviceId函数就无穷无尽的报错,patch了半天,先放弃这个方法,转成用frida分析,找到核心加密函数再说 so文件扔进ida,简单过一下分析 快捷键g,输入0x49ff4 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Qlh8LezR-1653216943046)(D:\youdaoyun\qqBF5B470D9BE5B28E891CBD790EE637AD\926
猿人App逆向 第二 so层加密
qq_38759383的博客
06-05 1134
安卓逆向,so层加密 具体so层实操参考:https://blog.youkuaiyun.com/tjcwt2011/article/details/122079661 4.然后按F5,就可以将汇编代码转换为C代码 为什么下面的sign函数有三个传参? 很多同就有疑惑,java层sign函数有一个传参,为什么这边有三个传参,以第三个参数为标准传参,前面两个有可能是JNIEnv、j......
猿人APP第一
weixin_43250623的博客
12-15 996
Frida三板斧搞定猿人APP第一
Android逆向猿人2022年app比赛第一(步步验证)
qq_41866988的博客
05-23 1017
再启动一次,可以看到这次恢复正常了,参数就是page=11684850913,sign是d8fde916979aeb58d3398ea0c0e455c7和我们之前分析的参数是差不多的结果。跟进去可以大概看出,这是一个加密操作的函数,也跟到了底部,我们这里先不对该函数内部逻辑进行研究,先hook一下这个函数,看看返回的是不是和抓包的结果一致。可以看到成功hook上了,并且和抓包内容一致,但是这个传入的bArr是一个byte[]类型的数据,没有办法很直观的看到传入的是什么参数。
猿人-第一-逆向分享
最新发布
qq_67590525的博客
06-02 861
其中主要的点在,oo0O0(_0x2268f9['\x74\x6f\x53\x74\x72' + '\x69\x6e\x67']()) + window['\x66']这里。注意,进入到这个函数后,很容易被断开,所以直接将这个函数扣出来。这里需要补的一些参数,补完后就可以构建生成m的方法了。这里的 window['\x66']这个,需要你跟进oo0O0这个参数才能找出来。这里有无限debugger,直接打断点过掉,或者使用debugger脚本。到了这一步后,我们发现数据在window['\x66']这里。
猿人2022年App逆向--第七 quic
qq_38759383的博客
06-10 717
QUIC (Quick UDP Internet Connections)是由 Google 从 2013 年开始研究的基于 UDP 的可靠传输协议,它最早的原型是 SPDY + QUIC-Crypto + Reliable UDP,后来经历了 SPDY 转型为 2015 年 5 月 IETF 正式发布的 HTTP/2.0,以及 2016 年 TLS/1.3 的正式发布。2016 年成立,IETF 的 QUIC 标准化工作组启动,考虑到 HTTP/2.0 和 TLS/1.3 的发布,它的核心协议族逐步进化为
猿人2022APP逆向--第四 grpc
qq_38759383的博客
06-07 665
安卓逆向,grpc,那么grpc是什么呢?
猿人2022APP逆向--第五 双向认证
qq_38759383的博客
06-09 849
2022猿人第五app逆向,双向认证
猿人2022安卓逆向对抗比赛第一分析
Steven的杂货铺
07-08 1421
通过 GDA 可以 了解到 app 没有任何的壳 防止app 有可能不走代理,所以通过 charles + postern 进行 sock转发通过 注册后 进入 第一** 计算1~100页所有数字之和**Charles 中 可以看到 post 请求 有三个参数 ,请求的结果为 每页需要计算的数字第一个是 page 页数 很明显第二个是 sign 值 为加密流程第三个 是 t 可以通过 上面的time 请求 了解到是时间戳那么整体就是分析sign值 是如何产生的 ,是否和page页数和t时间戳相关...
js代码-猿人第一js
07-14
js代码-猿人第一js
猿人第1(一天搞一个)
m0_37881731的博客
02-22 1352
文章目录前言1. 加密方法1.1 加密寻找1.2 加密内容2. 代码实现2.1 完整版代码2.2 python函数总结2.3 注意 前言 前言已无需多言,干就完事儿了。 今日拿下猿人第1(一天搞一个)js混淆-源码乱码。 不睡也要完成。 1. 加密方法 1.1 加密寻找 F12直接打开,傻眼。 1.2 加密内容 2. 代码实现 2.1 完整版代码 2.2 python函数总结 2.3 注意 ...
猿人-APP大赛-第一-Frida初试、调用Java代码
qq_40734108的博客
10-03 876
参考:https://www.cnblogs.com/JKding233/p/16649489.html 原理就不多介绍了,主要是把sign函数暴露出来。进入 sign 函数内部,只引入了一个依赖,可以考虑扣 java代码,觉得麻烦的话就直接用rpc,这里两个方案的实现都写一下。参考:https://mp.weixin.qq.com/s/NCAVgqICxDjNIIGeaqs7bA。整个逆向过程花费的时间挺多的,不过总算搞懂了 frida的使用,以后要逆向其他的app就方便多了 😁✨👌。
猿人WEB目专解】猿人第1
user_from_future的博客
04-05 9628
第一 js混淆源码乱码 - 猿人
猿人APP逆向习 demo-01
u014685598的博客
02-22 652
猿人APP逆向习 demo-01 1. 抓包: 2. 分析 抓包看来就是一个sign加上一个翻页参数。这个sign看着像32位md5,遗憾的是自吐MD5并没有什么结果, 3.
猿人_第01
君子以阅川的博客
09-06 348
猿人_第01
猿人-第一
a1980054932的博客
01-22 1615
F12进去 可以看见数据都是get请求得到的,观察它们之间的网址,m就是加密参数 跟栈进去 看见debugger,设置条件断点为false,就直接过了 定位到这个js,在request下打上断点 随便跳转到一页,让它重新发一次请求,发现在断点处断住了, 发现这个_0x5d83a3['\x6d']就是m的值,看看代码,混淆了 在自己家里解混淆,再回去看看参数 这里有一个oo0o0的方法,跟进去看看 进去后发现是一段html,而且还不...
猿人第一
weixin_42072632的博客
12-19 1310
** 猿人系列保姆及教程 ** 第一* 链接:http://match.yuanrenxue.com/match/1 1 分析所需参数请求来源及获取请求索要参数 上图我们可以分析出我们所需数据请求的url为http://match.yuanrenxue.com/api/match/1?m=e1c053a7e2130d440b11196035803350%E4%B8%A81608486311其中m是我们需要分析的参数.那么接下来我们分析m来源 2 首先进行全局搜索,如下图我们发现搜不到参数 3 既然
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值