Dfa还原某app白盒aes秘钥

最新推荐文章于 2025-05-08 18:25:14 发布
原创 最新推荐文章于 2025-05-08 18:25:14 发布 · 2.7k 阅读 · 31 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安卓逆向

 本期内容是关于某app模拟登录的,涉及的知识点比较多,有unidbg补环境及辅助还原算法,ida中的md5以及白盒aes,fart脱壳,frida反调试

文章老是莫名被某sdn删掉,然后还审核不通过,后面估计发自己博客了

本章所有样本及资料均上传到了123云盘

网盘发不出来,审核过不了

目录

首先抓包

fart脱壳

加密位置定位

frida反调试

unidbg搭架子

补环境

还原算法

DFA还原白盒AES密钥

小坑

md5

完整算法

本文章未经许可禁止转载,禁止任何修改后二次传播,擅自使用本文讲解的技术而导致的任何意外,作者均不负责,若有侵权,请联系作者立即删除!

总结

最后

首先抓包

image-20240301191136716

看login请求,表单和响应都是大长串,猜测是对称加密算法或者是非对称,对称常见的有des和aes,非对称常见的有rsa.

fart脱壳

正常流程下应该是拖到jadx中反编译一下,但是目标app使用了梆梆企业加固

image-20240301191604629

我换了一部由fart脱壳机定制的pixel 4后成功脱壳,后续我会把脱壳的dex放到网盘里,所以对脱壳不了解的可以略过脱壳这个步骤

寒冰的fart脱壳机

把脱下来的dex文件pull到电脑上

image-20240301193322261

对比下脱壳前后的反编译结果

image-20240301200805772

加密位置定位

接下来是定位加密位置了

尝试搜索"sd"

image-20240301200940767

框中的可能性比较大,其他几个类名都是android aliyun google tencent这种系统文件或者第三方厂商的,框中的包含类名以及retrofit框架

这个是目标字段的可能性很大,点进去看看,然后查找用例

image-20240301201431561

右下角框中的有一个decrypt函数,应该是响应的解密逻辑,那上面的应该是加密函数了

image-20240301201639119

点进去然后复制frida片段

function call(){
    Java.perform(function (){
    let CheckCodeUtils = Java.use("com.cloudy.linglingbang.model.request.retrofit2.CheckCodeUtils");
CheckCodeUtils["encrypt"].implementation = function (str, i) {
    console.log(`CheckCodeUtils.encrypt is called: str=${str}, i=${i}`);
    let result = this["encrypt"](str, i);
    console.log(`CheckCodeUtils.encrypt result=${result}`);
    return result;
};
})
}

frida反调试

frida注入 frida -UF -l hook.js

以attach方式启动frida后报错无法附加进程,这里我们使用spwan方式启动即可

image-20240301202447875

换成spwan方式后还是报错了,应该还有检测frida-server

image-20240301203133715

换成葫芦娃形式的试试

image-20240301203415751

image-20240301203520112

成功了,接下来就是发个包看看有没有结果

image-20240301195916886

对比下发现结果差不多就是hook的结果把+改成空格就是sd的值了

image-20240301203709699

接着分析jadx中的函数,checkcode点进去

image-20240301203807990

可以看到目标函数返回null,和hook的结果不一样,并且jadx给出了警告,不知道是脱壳脱的不全还是jadx的问题,后续可以用jeb试试,jeb的反编译能力比jadx强

同时可以看到下面有两个native函数,checkcode,和decheckcode,尝试hook checkcode函数

image-20240301204253358

同样有结果

这两个native函数加载自libencrypt.so

image-20240301204420922

这里我选择32位的so,拖到ida32中搜索java,发现是静态注册(如果是动态注册还可以hook libart.so来找导出函数)

image-20240301204635687

unidbg搭架子

接下来是unidbg模拟执行

搭架子

package com;

import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Module;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.AbstractJni;
import com.github.unidbg.linux.android.dvm.DalvikModule;
import com.github.unidbg.linux.android.dvm.StringObject;
import com.github.unidbg.linux.android.dvm.VM;
import com.github.unidbg.memory.Memory;

import java.io.File;
import java.util.ArrayList;
import java.util.List;

public class demo2 extends AbstractJni {
    private final AndroidEmulator emulator;
    private final VM vm;
    private final Module module;
    private final Memory memory;

    demo2(){
        // 创建模拟器实例,进程名建议依照实际进程名填写,可以规避针对进程名的校验
        emulator = AndroidEmulatorBuilder.for32Bit().setProcessName("com.cloudy.linglingbang").build();
        // 获取模拟器的内存操作接口
        memory = emulator.getMemory();
        // 设置系统类库解析
        memory.setLibraryResolver(new AndroidResolver(23));
        // 创建Android虚拟机,传入APK,Unidbg可以替我们做部分签名校验的工作
        vm = emulator.createDalvikVM(new File("unidbg-android/apks/llb/llb.apk"));
        // 设置JNI
        vm.setJni(this);
        // 打印日志
        vm.setVerbose(true);
        // 加载目标SO
        DalvikModule dm = vm.loadLibrary(new File("unidbg-android/apks/llb/libencrypt.so"), true);
        //获取本SO模块的句柄,后续需要用它
        module = dm.getModule();
        // 调用JNI OnLoad
        dm.callJNI_OnLoad(emulator);
    };
	    public String callByAddress(){
        // args list
        List<Object> list = new ArrayList<>(5);
        // jnienv
        list.add(vm.getJNIEnv());
        // jclazz
        list.add(0);
        // str1
        list.add(vm.addLocalObject(new StringObject(vm, "mobile=13535535353&password=fjfjfjffk&client_id=2019041810222516127&client_secret=c5ad2a4290faa3df39683865c2e10310&state=eu4acofTmb&response_type=token")));
        // int
        list.add(2);
        // str2
        list.add(vm.addLocalObject(new StringObject(vm, "1709100421650")));
        Number number = module.callFunction(emulator, 0x13A19, list.toArray());
        String result = vm.getObject(number.intValue()).getValue().toString();
        System.out.println("======encrypt:"+result);
        return result;
    };
    public static void main(String[] args) {
        demo2 llb = new demo2();
//		llb.callByAddress();
    }
}

补环境

运行报错,currentActivityThread 通常用于一些需要获取全局上下文或执行一些与应用程序状态相关的操作的场景

image-20240301205841135

补上,这里没什么好说的,孰能生巧

@Override
    public DvmObject<?> callStaticObjectMethod(BaseVM vm, DvmClass dvmClass, String signature, VarArg varArg) {
        switch (signature){
            case "android/app/ActivityThread->currentActivityThread()Landroid/app/ActivityThread;":{
                return vm.resolveClass("android/app/ActivityThread").newObject(null);
            }
        }
        return super.callStaticObjectMethod(vm, dvmClass, signature, varArg);
    }

接着运行,SystemProperties中的get像是在获取系统的某个属性

image-20240301210325785

case "android/os/SystemProperties->get(Ljava/lang/String;Ljava/lang/String;)Ljava/lang/String;":{
                String arg = varArg.getObjectArg(0).getValue().toString();
                System.out.println("SystemProperties get arg:"+arg);
            }

image-20240301210629362

获取手机序列号的

image-20240301210845607

adb shell getprop ro.serialno

最低0.47元/天 解锁文章
最新版某手sig3深度算法还原分析
Codeooo 博客
06-28 938
输入明文:urlpath + sig, 进行hmac_sha256算法加密后再进行aes白盒加密,crc32加密后"41512700" + 随机数+"01000000" + crc32_value + 时间戳hex+ "000d00"进行自定义逻辑算法后,生成sig3。
小红书协议算法
2503_90751789的博客
04-16 890
在for循环中 v496 和 v156进行异或处理,才是最终的sig3,而v156是在do while循环中计算出来的,可以看出v156的结果是v496前23个字节的和。用unidbg跑一下,可以快速定位到doCommandNative函数地址在0x46435,doCommandNative函数根据java层传入的指令号,执行相应的逻辑,hook 可以发现sig3对应的指令序号在10418。通过多次hook分析发现,v496的数据组成如上图,其中最复杂的是数据e0c281e3数据的生成。
安卓逆向环境检测--unidbg&unicorn
weixin_44348983的博客
06-27 2141
安卓逆向、检测
白盒AES算法详解
2401_88326655的博客
12-31 1197
这么长的文章终于暂告一断落,密码攻击也是很遥远的事,差分故障攻击是灰盒攻击中的技术,在白盒加密中我们可以使用它来剥离密钥,正如开头所说,该篇文章是做铺垫的,所以讲的尽量详细一些。之后的文章我们将分析白盒算法是如何实现的,以及针对白盒算法我们怎样攻击,最后白盒算法的最终优化又有哪些思路。
龙哥unidbg基础入门
kreas的博客
04-14 9267
龙哥unidbg入门系列
Aes秘钥转原始秘钥
qq_45749226的博客
03-04 466
【代码】Aes秘钥转原始秘钥
白盒AES--从0到1
weixin_73270563的博客
01-19 4085
AES白盒
【android逆向】某咖啡,DFA白盒AES+ollvm混淆
tx123hy的博客
12-26 1139
此次通过hook haskmap 定位了 java 的加密参数的位置。跟踪进入native 层,虽然代码被 ollvm 混淆过。通过个别函数我们也猜测到对应的算法。结合unidbg 下断点找到 DFA攻击的时间点。最终得到了 AES 的key。总体难度适中,适合练手。到此,多谢各位大佬时间。
某某car sd参数分析
最新发布
2503_90751938的博客
05-08 710
这里只说怎么去做,白盒AES我们通常是要找到倒数第二轮(在这里aes-128中是第九轮)的入口处去多次修改我们明文的单个字节,通过修改单个字节得到的加密结果与正常的加密结果进行碰撞就可以确定出部分第十轮子密钥,最后只要增加样本数,就能还原出第十轮的紫秘钥了,然后通过秘钥回推就可以得到初始秘钥了。这样我们就成功的获取到了第十轮的轮秘钥,由于AES加密算法轮秘钥生成的特型,有第i轮的轮秘钥是可以推出i-1轮的轮秘钥,以此类推,可以得到初始秘钥(由于篇幅问题,具体原理这里不再解释,有兴趣的朋友可以自行了解)。
【密码科普】第8期 - 白盒密码技术
翼安研习社的博客
01-29 7574
作者|姜钰 来源|翼安研习社 发布时间|2022-01-28 1. 白盒密码为何成为密码工程与密码理论的研究热点 白盒密码是一个古老的密码研究方向,到今天再度被提及,是因为该技术代表了一种适合当今时代的新理念。 白盒密码基于这样的假设,即敌手能够进入密码系统,并获知密码系统中的所有信息。在这样的假设下设计密码系统并保证密码安全就是白盒密码的主要研究内容。 白盒密码(或者理解为密码系统白盒化)就意味着开放密码系统的体系结构和部分细节,其理由有以下几点: 1.1 保障密码系统体系结构不被人知晓(保密),即.
Android应用的白盒加密简单介绍
Tesi1a的充电桩
05-18 5173
0x00 移动端存储的痛点 在业务中,我们可能需要面对在 Android 本地存储密钥、用户 token、email 等敏感数据。而APP对外暴露的,里面的敏感信息容易被逆向获取。 常见的几种密钥不安全存储的方式: 1、密钥直接硬编码在Java代码中,很容易被逆向成java代码。 2、密钥直接明文存在私有目录的sharedprefs文件中,root机器很容易就导出查看。 3、将密钥分成不同的几段,有的存储在文件中、有的存储在代码中,最后将他们拼接起来,可以将整个操作写的很复杂,这因为还是在java层,逆向
找回消失的密钥 --- DFA分析白盒AES算法
fenfei331的博客
08-17 3470
将密钥进行白盒化处理,融入到整个加密过程中,使密钥无法跟踪还原,保障密钥安全。简单的说,就是你可以明明白白的调试整个算法过程,怎么看都像是AES算法,但却是怎么也找不到密钥在哪里?...
密码学学习记录|aes dfa 练习样本三
女神的脑残粉的博客
04-06 1000
前言 dfa 攻击相关资料,可参考之前的文章 从黑盒攻击模型到白盒攻击模型 样本来自龙哥星球,需要获取可加星球。上述链接有二维码 Tips:这个样本要比前两个复杂很多,主要不是很好定位注入点,所以后面会省略很多 trace 过程,直接贴最终代码 so 先来分析 so 依旧是导出窗口搜索 java,目标函数是 checkcode 打开之后就看到有 ollvm 混淆,真是又臭又长 随便瞄一眼这里看到了 aes 相关的符号 然后到导出窗口里搜索一下 aes 这里有两个加密函数,可以 hook 一下,看
AES算法的DFA攻击方法
m0_74043383的博客
07-11 2013
在针对AES进行DFA分析时,研究者们采取的是先获取轮加密过程中某一轮次的密钥结果,得到轮密钥后根据其与初始提供的密钥之间的数学关系,逆推得到数学模型然后进行初始密钥的破译。进行差分故障攻击时,其原理主要是利用了数学分析方法和AES迭代密码的差分特性。在实施DFA分析时,统计同样的明文信息在正常执行下的输出结果和受攻击注入干扰而错误执行后的异常结果。通过对(CC∗)之间的差分值进行分析,根据此差分值信息进行部分轮密钥信息的猜测运算。下面介绍一种针对AESDFA的具体攻击过程。
使用FModel 提取黑神话悟空模型
aerodancing1984的博客
08-28 7165
FModel是一个开源软件,可以用于查看和提取UE4-5项目中的资产。它支持从.pak文件中提取内容,如3D模型,纹理,音频等。
使用FModel提取游戏资产
热门推荐
paw5zx的博客
08-21 1万+
介绍FModel的使用方法
使用FModel提取《黑神话:悟空》的资产
weixin_41080317的博客
09-13 949
合集 - 随便玩玩(2)1.使用FModel提取UE4/5游戏资产07-162.使用FModel提取《黑神话:悟空》的资产08-21收起 目录前言设置效果展示闲聊可能遇到的问题没有相应的UE引擎版本选项映射文件生成失败 前言 黑神话悟空昨天上线了,解个包looklook。 本文内容比较简洁,仅介绍解包黑神话所需的专项配置,关于FModel的基础使用流程,请见《使用FModel提取UE4/5游戏资...
AES白盒加密解读与实现(Chow方案)
qq_37638441的博客
02-10 6165
chow白盒密码方案中基于表实现的AES,内包含实现代码
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

杨如画.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值