【ibox app逆向之生成wtoken】
整体思路介绍
要实现对这款app数据的爬取,有个关键的环节,就是实现wtoken这个加密参数的生成,而wtoken这个参数是由阿里云的WAF的防护模块控制的,具体实现放在so层,安全系数很高。逆向的思路有2个,一是通过反汇编so层,进而破解其生成逻辑,难度系数大;二是黑盒调用so层逻辑,不管其加密逻辑如何复杂,黑盒调用即可;
本文介绍的是第2种方案,采用AndServer RPC的方式实现,具体来说就是自己开发个app,只实现ibox中wtoken的生成逻辑,将该app安装在真机上,并且对外提供生成wtoken的http服务,然后用python代码脱机实现爬取逻辑即可。
本文的方式可以生成wtoken,但在发起请求后并不能拿到有效数据。在此抛砖引玉,希望知晓的同学不吝赐教。
逆向步骤
1.app脱壳
逆向分析时将app安装在已经root的真机上,真机是个荣耀的古董机,安卓版本7.0,通过数据线跟电脑连接,并且在电脑端可以执行adb命令来操控手机。电脑端执行adb devices命令后可以看到连接的手机设备就了~
app启动后直接提示 您的手机存在root风险,无法进入主页面。所以第一步就是想办法绕过root检测,只能分析内部判断逻辑,需要先把apk给反编译了。
使用JADX反编译后,发现是个加密的apk,360加固的一代壳。
使用frida_dump工具进行脱壳,项目地址:https://github.com/lasting-yang/frida_dump,项目下载后直接运行以下命令即可。获取到脱壳后的dex,大概会有10多个,再拖入JADX进行反编译即可。
frida -U --no-pause -f com.box.art -l dump_dex.js
注意:前提需要安装好Frida环境,电脑端和手机端都需要安装,并且版本一致。
Frida是基于python和JavaScript的Hook与调试框架,可以把代码插入原生app的内存空间,然后动态的监视和修改其行为。不论是Java层还是Native层逻辑它都可以Hook,在这点上Xposed是甘拜下风的。Frida官网地址:https://github.com/frida/frida。
2.绕过root检测
脱完壳后在JADX中根据关键字 您的手机存在root风险 定位到root判断逻辑,如下:
顺着AppConfig这个腾我们可以梳理出其root判断逻辑这个瓜,具体的就不介绍了。接下来还是使用Frida在内存中修改AppConfig.i这个变量的值为false,绕过root检测。
hook_root_check.js 如下:
Java.perform(() => {
/**
* hook root检测逻结果,绕过root检测
*/
let appConfig = Java.use('com.ibox.libs.common.config.AppConfig')
appConfig.i.value = false
}
)
hook_root_check.py 如下。启动app后执行该python脚本,app进入主页面,成功绕过root检测。
import frida
import sys
CODE = open('hook_root_check.js', encoding='utf-8').read()
# 注意这里的进程名不是包名!
# 要用frida-ps -U查看进程名,如果用adb shell中的ps查询进程名不行!!!
PROCESS_NAME = 'iBox'
def on_message(message, data):
print(message)
process = frida.get_usb_device(1000).attach(PROCESS_NAME)
script = process.create_script(CODE)
script.on('message', on_message)
script.load()
sys.stdin.read()
3.Charles抓包
接下来进行抓包分析,发现请求Header中存在wtoken这个加密的数据,每次请求都会变,直接重新发起请求后会直接返回405报错,甚至有些请求直接返回405,并提示该请求异常,请求的其他参数都没有什么特殊之处,所以问题出在这个wtoken上,接下来盘它!
4.wtoken生成逻辑分析
在JADX中根据关键字定位到相关逻辑,分析后发现这里使用的是阿里云的WAF防护模块。相关介绍可以看这里,这个模块把wtoken的生成逻辑放在so层,由C/C++实现,通过Java的JNI调用native加密函数。这种实现方式的好处是安全性更高,因为反编译后是看不到加密逻辑的,需要反汇编才行,而C/C++代码反汇编后的可读性很差,并且这里的native函数动态注册,反汇编后也不能根据Java层的函数名定位到对应的函数,所以逆向破解的难度就很大。
接下来按照黑盒调用的思路入口。
根据阿里云的WAF模块文档,可以发现这个so模块还可以识别设备特征异常,以下几种方式都可以被检测到,这也就能够解释为什么绕过了root检测后,有些请求还是返回了405被拒绝。
同样,这也意味着采用unidbg的这种黑盒调用方式也行不通了……
5.AndServer生成wtoken
也许可以试试AndServer RPC,项目地址:https://github.com/yanzhenjie/AndServer,通过它我们可以开发一个实现了以上so逻辑的app,所以我们把这个app安装在真机上(非root/非hook/非代理/非模拟器……),进而绕过so层的各种检测,把它生成的wtoken通过http服务暴露出来,在电脑上通过python进行调用,完美~
通过对wtoken的生成逻辑和阿里云的接入文档分析,可以发现需要有AliTigerTally.aar和libtiger_tally.so这2个文件,前者用于初始化libtiger_tally.so的运行环境,不过这个包购买阿里云的服务后才下发的,网上是没有这个资源包,好在这是个Java的jar包,可以反编译后获取内容,至于libtiger_tally.so就更好办了,JADX反编译后的文件中可以直接找到。
5.1 补环境
接下来启动Android Studio开搞,没有什么开发量,就是把原始app中涉及到的类copy过来就行,缺什么类就补什么,环境补通了后运行,发现就可以正常生成wtoken了。
5.2启动Android RPC服务
按照官网的文档进行接入,启动一个HTTP服务。
启动成功后,在手机端访问 http://localhost:8080//encrypt?reqbody=123,就可以获取到wtoken了。不过在电脑上通过python调用还是不行的,因为andserver是运行在手机上的,只有手机能够通过localhost访问,而脚本是在电脑上运行的,配置下端口转发就行。
adb forward tcp:8080 tcp:8080,执行这个命令后,电脑的8080端口接收到请求后就会被转发到手机的8080端口。
接下来,大家就可以试试了~
说明:在这里可能会遇到 the resource [xxxx] not found这个问题,andserver升级到最新版,并且jdk升级到11版本,就可以了。具体原因可以看下这个项目的issue。(完)