记一次逆向 Android 的经历
作者:王不哈
链接:https://www.jianshu.com/p/d0732c9319b2
声明:本文是 王不哈 原创,转发等请联系原作者授权。
0. 起因
因工作或生活上的某些原因不得不使用某应用,暂且记为A应用把。可 A 应用设计得实在不人性化,一个操作通常需要点击若干次屏幕,点击一次还要 lodaing ,程序员说:不能忍。
于是开始着手改善软件体验
1. 初步计划
初步分析 A 应用实际上是一个 HTTP 客户端,前端后台之间完全通过 HTTP 协议传输数据。可使用 Fiddler 工具抓取数据包分析。
分析发现之前所有那些繁杂的操作(例如签到打卡(虚构)),其实只需要发送一个 HTTP 请求。于是,完全可以使用一段代码,伪装成 A 应用向后端发请求,完成相应的操作。甚至可以将应用内常用的操作全部提取出来,这样在上班的时候突然想起还没签到打卡,直接跑一段程序就 OK,甚至都不需要打开手机。简直美滋滋,我这样想着。
以签到打卡操作为例
实际应用中并不存在签到打卡操作
2. 分析请求
使用 Fiddler 抓取请求如下:
POST http://api.*****.com/v1/****/****/what
// 请求头
headers = {
"Accept-Encoding": "gzip",
"Accept-Language": "zh_CN",
"User-Agent": "Dalvik/2.1.0 (Linux; U; Android 7.0; MI 5 MIUI/8.1.25)",
"Content-Type": "application/x-www-form-urlencoded",
"Welove-UA": "[Device:MI5][OSV:7.0][CV:Android4.0.2][WWAN:0][zh_CN][platform:tencent][WSP:2]"
}
// 请求体(表单)
form = {
"access_token": "562********358-2****************6",
"app_key": "a*************4",
"timestamp":"1522393966",
"sig":"rTRa2PTiGiwkNVQUnSB0n2l6KrA=",
}
使用 Postman 原样发送请求,操作成功。但一旦更改请求的参数,服务端便会返回:
{
"result": 160,
"error_msg": "sig签名错误"
}
操作失败!
回头看一眼请求体中的sig字段,这个值rTRa2PTiGiwkNVQUnSB0n2l6KrA=一看就是一个用于校验的字符串,A应用在构造完请之后,根据URL和请求参数生成一个sig字段,并附加到请求的参数里面,后台接收到请求之后,通过sig字段来校验请求的合法性。这个设计一定程度上阻碍了我们伪装成A应用发请求。
所以我们修改了请求体中的数据之后,必然导致后台校验sig失败。
如何能愉快的玩耍?关键在于窥探A应用如何生成sig字段。
3. Hack It
思路:
(1)反编译应用,静态分析代码,找出生成sig的规则;
(2)若静态分析又困难,尝试动态调试(运行时打印日志等)。
3.1 反编译得到 smali
(1)下载最新版本的 Apktook
(2)获取A应用安装包,命名为t.apk
(3)使用java -jar apktool.jar d t.apk 反编译应用,得到文件夹t,里面便是A应用的全部
文件夹t的目录结构如下:
其中smali开头的文件夹里面,是反编译之后的smali代码(类似汇编代码)。
可是 smali 代码不便于阅读,能不能直接看到 Java 源码呢?
3.2 反编译得到 Java 源码
(1)使用电脑上的压缩软件直接打开t.apk,
(2)解压出压缩包.dex后缀的所有文件,
(3)使用 dex2jar 工具将 dex 文件转化为 jar 文件
(4)使用 jd-gui 工具打开jar文件,即可查看源码
注:使用 Apktool 反编译之后的文件夹t,可使用 Apktool 回编译成apk文件,经签名之后,可再次安装到Android设备上运行。
3.3 定位关键代码
使用 jd-gui 打开 dex2jar 转化之后的 jar 文件,场面大概是这个样子:
反编译的目的是找到 A 应用生成 sig 的规则,可即使我们得到了他的代码,如何能在混淆之后的浩如烟海的代码之中,找到生成 sig 的那几行呢?
在 jd-gui 中搜索 字符串 "sig",经过层层删选,锁定了某个名为 a 类中的 a 方法:
其中关键的是,判断 paramMap中是否包含key为sig的值,若没有,就调用e.a()生成一个,于是,sig的生成规则,就看e.a()这个方法了,
点开一看,事情似乎异常明朗了:
(1)e.a()方法掉用了重载方法来生成 sig
(2)在重载的a方法里面,采用 HmacSHA1 加密算法,密钥为8b5bd1f,
(3)加密之后的内容在通过 Base64 编码,得到最后的 sig。
可加密的内容是什么呢?
加密的内容是paramString1.doFinal方法的参数,即paramArrayOfByte,追踪一下这个参数,看到b(paramString1,paramString2,paramMap).getBytes()
于是又进入 b 方法:
这个方法做的事情似乎复杂了很多,大致是:
(1)将paramMap中的数据按key排序,并用&连接成一个字符串,
(2)经某种处理之后将 paramString1 和 paramString2 和第一步中的字符串连接,并返回。
由前面的参数跟踪分析可知 paramString2 值是"POST",由此大胆猜测,paramString1是请求地址,paramMap是请求体。
如何验证?
3.4 动态调试代码,彻底搞清楚 sig 的生成规则
思路:在 smali 代码找到 3.3 中关键代码对应的部分,在关键的地方加上打印 log 的代码,然后回编译成 apk,重新运行程序进行操作,便可以在日志看到我们感兴趣的内容。
这里我们 log 一下 b 方法的返回值。
回到 3.1 中得到的 smali 代码,找到 a(String,String,Map) 方法
.method public static a(Ljava/lang/String;Ljava/lang/String;Ljava/util/Map;)Ljava/lang/String;
.locals 1
//...省略了部分代码
//...
//这里调用了 b 方法
invoke-static {p0, p1, p2}, Lcom/xxxx/xxxx/k/e;->b(Ljava/lang/String;Ljava/lang/String;Ljava/util/Map;)Ljava/lang/String;
//方法的返回值赋给 v0 寄存器
move-result-object v0
invoke-virtual {v0}, Ljava/lang/String;->getBytes()[B
move-result-object v0
invoke-static {p0, p1, v0}, Lcom/xxxx/xxxx/k/e;->a(Ljava/lang/String;Ljava/lang/String;[B)Ljava/lang/String;
move-result-object v0
return-object v0
.end method
所以我们在这里加上一段代码打印出 v0 寄存器的值就 ok 了,代码如下。
//这里调用了 b 方法
invoke-static {p0, p1, p2}, Lcom/xxxx/xxxx/k/e;->b(Ljava/lang/String;Ljava/lang/String;Ljava/util/Map;)Ljava/lang/String;
//方法的返回值赋给 v0 寄存器
move-result-object v0
const-string v1, "I got sig"
//打印 v0
invoke-static {v1, v0}, Landroid/util/Log;->i(Ljava/lang/String;Ljava/lang/String;)I
然后回编译:
java -jar apktool.jar b t
然后签名:
"jarsigner.exe" -keystore your_key_store -signedjar t_signed.apk t\dist\t.apk username
然后手机连接电脑,安装签名之后的应用:
adb install t_signed.apk
然后监控手机端日志:
adb logcat | grep "I got sig"
手机运行应用,可以看到有日志输出:
由此得到了 b 方法的返回值,
POST&http%3A%2F%2Fapi.xxxxxxxxx.com%2Fv1%2Fapp%2Fstartup&app_key%3Dac5f34563a4344c4%26imei%3D861945033465836%26mac%3D02%253A00%253A00%253A00%253A00%253A00
解码之后发现和之前的猜想一致:该值由请求方式、请求地址、请求参数拼接而成。
4. sig 的生成规则是什么?
现在可以梳理一下 sig 的生成规则了。
(1)获得请求方式 method,
(2)获得请求地址请求 url,
(3)获得请求参数表 param,
(4)param 按 key 排序,并使用key=value的形式,用&拼接得到字符串paramStr,
(5)将method,url,paramStr进行 url 编码,并用&拼接,得到字符串unsig,
(6)使用HmacSHA1算法,密钥8b5bd1f,对 unsig 加密,得到字节数组dsig,
(7)Base64编码 dsig,得到字符串 sig
5. 为任意请求生成 sig
又能愉快的玩耍了,抄起 Python 写一个为任意请求生成 sig 的方法,便于后续使用:
from hashlib import sha1
import hmac
import base64
from urllib import parse
def sig_gen(method, url, param):
result = method + '&'
result = result + parse.quote(url) + '&'
param_keys = param.keys()
param_keys = sorted(param_keys)
param_str = ''
for i, key in enumerate(param_keys):
param_str = param_str + key + '=' + str(param[key])
if i < len(param_keys) - 1:
param_str = param_str + '&'
result = result + parse.quote(param_str)
result = result.replace('/','%2F')
return sig(result)
def sig(raw):
sign = hmac.new(b'8b5b********d1f',raw.encode('utf-8'),sha1).digest()
return base64.b64encode(sign).decode('utf-8')