安卓逆向第一篇：破解某新闻app

貌似是啥app不让说，但是要是用心的话应该看图能知道是哪个app。
技术点：

• frida
• jadx(本文还用的1.0版本，推荐1.1.0(贼香)。下载链接)
• ida

首先肯定是抓包：

新闻列表

这里sn为关键点。还不知道怎么来的。应该是用了某种加密算法。

用Frida hook所以加密算法看看行不行

hook的js代码<----点这里看代码。
代码改一下包名就完事，包名获取方法请百度，方法一堆。
然后果然能hook到。（因为刷新获取的，所以值已经变了。）

加密堆栈

然后向上翻堆栈就能找关键的代码。

最后调用的方法

这个时候再用jadx打开apk，直接搜索digest,或者找big.b这个类。

image.png

此时我们再看看传入参是啥就好了。

frida去hook传入参

js code:

# 方法是显示堆栈用的
function showStacks() {
        Java.perform(function () {
            send(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
        });
    }
    Java.perform(function () {
    // Function to hook is defined here
     # 不带包名defpackage，因为带上找不到，而且堆栈那里也不显示他
    var http = Java.use('big');
    # 重载方法所以用overload
    http.b.overload('java.lang.String').implementation = function (a1) {
            send("start");
            send("参数1:"+a1);
            var result = this.b(a1);
            send("结果:"+result);
            send("end");
            return result;
        };
    });

运行后得到：

只有一个是

看到只有一个是，
当然这无所谓，
说明被调用了很多次，只有那一次是刷新的时候用的。
但是发现传入参数有几处一样的。
然后我们找传入参数。

找传入参

右击这个函数点查找用例。

右击函数

是这样的:

查找用例

除了最后一个是本函数，调用的地方还有三处。
看本文第三张图，就是打印堆栈的那个。就知道是那个a.a的是上层调用了。

a函数

点进readMD5key：

so

然后把本apk文件解压或者直接用压缩软件打开。

找so文件

放到IDA之后。

找so函数

长这个样子:

vive-A

然后按F5或者TAB键。一路点确定，如果不行那你就是用了64位的IDA,换成32位的就可以了。

image.png

此时反编译的还不准确。我们加载一下IDAjni.h,其实不加也行。
找教程和点h文件方法，前几篇都可以。

前几篇都可以

然后右击传入参。

image.png

然后改成JNIEnv* a1,就可以了。
至于为什么，你可以这样百度

image.png

此时代码就变成了：

image.png

右击然后点这个

image.png

就好看多了。

image.png

image.png

之后：

image.png

这样就很明了了。
就是获取结尾那个字符串。跟frida那个传入参的结尾一样。
后面也没啥难度了，就看查找用例。然后翻代码就会发现。
sn=md5(版本号+proid+uid+时间戳+随机数+so里的字符串)
结束！