最近公司用上了阿里的钉钉,BAT 出品,得研究学习一下,先看看数据安全。下载安装后,用 RE 进入
/data/data/com.alibaba.android.rimet/database 查看:
不错,encrypt , 看来是加密了。直接点了一下,提示无法打开,果然是加密了。
那就反编译看代码吧,上apktool , jadx, 在lib目录下发现这个东西
猜测加密就是用它了, google 这个库名,看有啥资料没有,
还真有,进去看了一下,大概说的是阿里的数据库加密一般都是用这个库,采用AES 加密, 加密有的key 是java 层设置进去的,可以用hook so 库 里的aes_encrypt库 得到key 。 用ida 看了一下libdatabase_sqlcrypto 库
的确有这个函数, 这么容易就搞定了。上网搜了一下,adbi hook native 比较方便 ,试了下用它 hook aes_decrypt, 然而不知道这adbi 的问题,还是我操作有问题,显示hook 成功了,然而对app 进行操作却并没有任何反应.(理论上应该有打印) hook 函数如下 :
unsigned int my_aes_decrypt(int a1, int a2, int a3)
{
unsigned int (*orig_aes_decrypt)(int a1, int a2, int a3);
char szHex_key[250] = { 0 };
unsigned char* pTemp_key = (unsigned char*) a3;
int i = 0;
log("my_aes_ hook!\n");
orig_aes_decrypt = (void*)eph.orig;
hook_precall(&eph);
for (i = 0; i < 0x10; ++i) {
/* code */
char szTemp_key[10] = { 0 };
sprintf(szTemp_key, "%02x ", pTemp_key[i]);
strcat(szHex_key, szTemp_key);
}
log("Tips: key=a3===%s\n", szHex_key);
if (counter) {
hook_postcall(&eph);
log("epoll_wait() called\n");
counter--;
if (!counter)
log("removing hook for epoll_wait()\n");
}
return orig_aes_decrypt(a1,a2,a3);
}
哪个大神指点一下,为啥不行呢。
没办法了,只能自己看代码了,具体过程略,直接说结论,
在 SQLiteConnection 中有个 open 函数里面调用了setEncryptKey, 这个函数里面又调用了 Excute
private void setEncryptKey() {
..........................
execute("PRAGMA key='" + password + "';", null, null);
那么问题就简单了, 有excute 里加打印, 重新编译,运行,得到如下打印结果:
32位,莫非用了AES-256? 验证一下,写个aes 解密程序, 把databases 全部push 下来。结果。。。 还是不行,阿里的猿猿们有两下子嘛!只好又去ida 看了看汇编 ,希望能发现啥。然而功力不够,看来看去也没有发现有价值的东西。
良久,脑袋里闪出过一道光,不会是还是用的AES128, key 是从32 位里面选16 位吧。 先试试前16 位,果然。。。
解密后的数据库,sqlite 打开, 这个似乎是离线打卡数据.
ok , 完结。
奖励看完这篇文章的人,重点放在最后说:
1. 考勤打卡用的是高德地图, 所以嘛,你懂的(hook, 反编译修改随便搞)
2. 上面的图是离线打卡数据。所以嘛。。。。