某APP逆向算法学习与分析

前言

第一次来到CSDN写文章,有不对的地方欢迎大家批评指正


提示:此文章仅供学习使用,切勿用于非法用途,产生的其他责任与本人无关

一、首先利用Charles对APP登录动作进行抓包

有关Charles的使用与原理不在此赘述,可以自行搜索查阅相关文章。抓到的数据包如下所示:

{"Encrypt":"NIszaqFPos1vd0pFqKlB42Np5itPxaNH\/\/FDsRnlBfgL4lcVxjXii02ggCULFNaeKJcVfQ4ZwO+z\njx3xNK\/ZxWPffP5uqGkOPedVtE\/H3fhw3BnLxDuQZ\/YvKbhpYGZCAHtsGFR47RlqEJ9tNZnvph0x\n8mdrufJZm8fALwUFnqQavFGitoMgvwQvnqPwRRNc7Jiia\/s1tBRpnXgdfJ4qLREHwtrU1\/tBGH\/N\n8He7QBU=\n"}
url:http://xxx.xxx.com/api/user/login

二、使用Jadx对代码进行反编译,并对其进行算法分析

1.查找关键语句

利用Jadx自带的搜索功能对抓到数据包的链接地址与关键词"Encrypt进行搜索,
根据先对原生代码进行分析、不分析或少分析框架自带的函数的原则,找到两处可疑点,我们随机选择一处进行分析,经验证这两处都可以找到正确算法。(我们选择第二条分析)
我们选择第二条进行分析

2.算法分析

我们进入以后代码如下:

 private void paraMap(Map<String, String> addMap) {
        String encrypt;
        String time = System.currentTimeMillis() + "";
        if (addMap == null) {
            addMap = new HashMap<>();
        }
        if (this.useDes) {
            addMap.put("timeStamp", time);
            if (DodonewOnlineApplication.loginUser != null) {
                addMap.put("userId", DodonewOnlineApplication.loginUser.getUserId());
                if (TextUtils.isEmpty(DodonewOnlineApplication.devId)) {
                    DodonewOnlineApplication.devId = Utils.getDevId(DodonewOnlineApplication.getAppContext());
                }
                addMap.put("imei", "Android" + DodonewOnlineApplication.devId);
            }
            encrypt = RequestUtil.encodeDesMap(RequestUtil.paraMap(addMap, Config.BASE_APPEND, "sign"), this.desKey, this.desIV);
        } else {
            encrypt = this.mGson.toJson(addMap);
        }
        JSONObject obj = new JSONObject();
        try {
            obj.put("Encrypt", encrypt);
            this.mRequestBody = obj + "";
        } catch (JSONException e) {
            e.printStackTrace();
        }
    }

我们发现encodeDesMap这个函数非常可疑,他New了一个Jsonobject,并把一堆变量例如包含Imei、UserId以及日期时间戳的addMap传给了函数内部,最后将Encrypt之后的值放到了这个Obj内部,不管三七二十几,我们先Hook再说。
Hook.js文件如下:

Java.perform(function () {
    var RequestUtil = Java.use("com.dodonew.online.http.RequestUtil");
    RequestUtil.encodeDesMap.implementation=function (data, desKey, desIV) {
        console.log("sunci",data,desKey,desIV);
        var encode = this.encodeDesMap(data,desKey,desIV);
        console.log(encode)
        return encode;
    }
})

本想能看看里面是个啥了,结果报错了,原来这个encodeDesMap有多个重载函数,那么我们声明下到底Hook哪个函数

Java.perform(function () {
    var RequestUtil = Java.use("com.dodonew.online.http.RequestUtil");
    RequestUtil.encodeDesMap.overload('java.lang.String', 'java.lang.String', 'java.lang.String').implementation=function (data, desKey, desIV) {
        console.log("sunci",data,desKey,desIV);
        var encode = this.encodeDesMap(data,desKey,desIV);
        console.log(encode)
        return encode;
    }
})
sunci {"equtype":"ANDROID","loginImei":"Android352689081159760","sign":"AB0EAC82D85583B3BE075D72C1A2344B","timeStamp":"1627526246732","userPwd":"fgdhfjff","username":"15165096666"} 65102933 32028092

不出所料,这里就是关键代码,第一项是加密的值,第二项是DesKey,第三项是IV偏移量。但是里面还有个值看起来很扎眼,sign,这是个啥玩意,那么既然Des加密要用到他,那么sign的位置离Des加密的位置不会太远,果然在Des加密中调用了paraMap这个函数,最后返回了sign,Hook看看。

Java.perform(function () {
    var RequestUtil = Java.use("com.dodonew.online.http.RequestUtil");
    var utils = Java.use("com.dodonew.online.util.Utils");
    utils.md5.implementation=function (a){
        console.log(a);
        var ss = this.md5(a);
        console.log(ss);
        return ss;

    }
    RequestUtil.encodeDesMap.overload('java.lang.String', 'java.lang.String', 'java.lang.String').implementation=function (data, desKey, desIV) {
        console.log("sunci",data,desKey,desIV);
        var encode = this.encodeDesMap(data,desKey,desIV);
        console.log(encode)
        return encode;
    }
   
})
equtype=ANDROID&loginImei=Android352689081159760&timeStamp=1627542188579&userPwd=fgdhfjff&username=15165096666&key=sdlkjsdljf0j2fsjk

sign的问题也解决了,就是一个普通的md5,算法复现明天写,今天累了,拜拜了您内


总结

提示:这里对文章进行总结:
例如:以上就是今天要讲的内容,本文仅仅简单介绍了pandas的使用,而pandas提供了大量能使我们快速便捷地处理数据的函数和方法。

你可能感兴趣的:(逆运算)