安卓逆向5,脱壳实战,模拟器安装使用,Xposed安装使用,fdex2脱壳,app抓包,找到接口参数加密的地方,逆向出来,引力播app
####
模拟器的安装和使用
1,本来是想在mac上使用mumu模拟器,但是安装Xposed一直失败,
2,我尝试使用真机来进行脱壳,但是Xposed可以安装,
电脑adb连接真机的方法:
首先真机打开开发者模式,进入设置,打开关于手机,找到版本号,一直点击版本号,在点击过程中会提示“还有×次,直到打开“开发人员选项”。并且打开usb调试开关,这样adb就能看到设备了
然后使用adb命令,在真机安装fdex2,命令,adb install fdex2.apk
然后进入真机的Xposed,这个app里面--进入模块,-点击fdex2,激活一下,
但是fdex2不支持安卓8,气人!我又不想对这个真机刷机,
3,我尝试在mac上面安装一个虚拟机,运行win10系统,在上面装一个雷电或者夜神模拟器,但是安装上之后非常的慢,根本无法使用,
4,我最后使用了genymotion
这个模拟器,适合开发者使用的一款比较快的Android模拟器,这个比那些夜神模拟器,要好,因为那些模拟器开发出来主要是为了玩游戏的,
第一步,VirtualBox的安装,Genymotion的运行需要依赖狱VirtualBox,所以需要先安装VirtualBox。
第二步,Genymotion的安装,到官网下载https://www.genymotion.com/download/,这个模拟器能再Linux-Ubuntu,mac,还有Windows,都可以安装使用,很强大,
第三步,创建Android模拟器,点击上面的加号Add,弹出一个创建模拟器的窗口。 按下图中的步骤创建一个GoogleNexus5 -6.0.0-API123模拟器。安装速度可能会有点稍慢。耐心等待下就好。
下载安装完成后就会在Genymotion主界面看到刚创建好的Android模拟器。点击start就可以运行这个模拟器了,
我下载的是Google nexus6p手机,安卓6.0版本,
5,当然如果有app开发能力,最好使用Android studio 自带的模拟器,更好
#####
Xposed的安装和脱壳使用
1,在genymotion安装了Xposed,
2,安装了fdex2,使用这个工具要先安装Xposed,这两个都是apk,
3,进入Xposed,这个app里面--点击左上角,进入模块,-点击fdex2,激活一下,
打钩说明这个fdex2,激活了,
4,使用fdex2,这个工具脱壳,
点击这个fdex2,进入这个apk里面,里面会列出你安装的所有app,
然后点击其中一个你要脱壳的app,提示了dex的输出目录,还有就是需要再次打开app,
5,再次打开app,使用adb,进入dex输出目录,看看是否是脱壳出来了,
adb devices,查看一下模拟器目录,如果没有看到尝试adb kill-server ,adb start-server,重新启动一下adb,
adb shell,进入这个模拟器里面,
cd /data/user/0/com.iCitySuzhou.suzhou001,进入这个目录就可以看到dex文件,如果没有就卸载app,安装app,但是不要打开这个app,再重新脱壳一次试试,
adb pull /data/user/0/com.iCitySuzhou.suzhou001 /Users/liqian/Desktop 把这个从模拟器里面pull出来到电脑桌面,
把apk脱壳之后,就会有导出的dex文件,会有好几个dex文件,
然后使用jadx,打开就是源代码了,怎么确定是哪一个dex文件,每一个都打开,搜索MyApplication,看看有没有这个文件, 有就对了
因为这个myapplication是不能被混淆的,要用这个名字做事情的,
大部分都可以使用这个工具脱壳,
使用,jadx-gui,打开这个jadx工具,打开脱壳的dex文件, 看到源码,
至此,整个的脱壳就完成了,
下一步就是开始分析这个脱壳之后的源码了,我们可以看到代码是被混淆的,下一步更重要的是看懂代码,
是不是很简单,那意义在哪里?方法虽然简单,但是你要知道这种方法并不是100%能把一个app脱壳出来,还需要其他更高级的脱壳手段,
这个工具还是要掌握的,因为这个工具可以把大部分的app都脱壳,
#####
实战:我们把引力播app,里面的新闻抓取下来,
安卓逆向第一步:app抓包
首先是要抓包,
使用Charles,进行app抓包,具体的抓包设置网络上都有,
主要的一步是在手机的wifi上面进行设置代理ip和端口,https://www.cnblogs.com/andy0816/p/15146008.html
抓包之后,我们可以发现这个接口里面有一个signature是变化的,
这个字段就是访问api的加密字段,
有的app,接口调用的时候,有一个参数sign,要携带上请求接口才行,这个是变动的,你不知道,所以就不能调用通接口,
可以通过重放来确定这个参数是不是动态的,
下一步就是找到这个signature,然后看他怎么加密的,然后携带上这个signature,才可以请求这个api,
安卓逆向第二步:找到接口参数加密的地方,逆向出来
我们多抓几次包,就会发现这个signature是每次变化的,另外就是每一个接口都有这个signature,
所以我们判断这个是一个公共的部分定义了这个signature,
怎么办?
你需要找到app里面哪里生成的这个sign,是怎么生成的,然后你自己用python写出来,然后携带请求接口就行了,
怎么着这个生成的地方?
我们发现每一个接口都有这个signature,所以应该是一个功能的地方生成的,
第一步,先用jadx打开dex文件,先搜索试试
在源代码里面搜索这个关键词signature,找到对应的代码,可能会有很多的结果,耐心找找
这里面有很多,需要你去分辨,左右是对应的,可以打开文件看,
每一个都看一下,就会给你更多的启发,
这一行就会给我们启发,因为我们请求接口的时候,也有这个字段,
我们双击进入,看就是这个文件,
找到之后可能是混淆过的,可以用工具做反混淆,使用的是jadx-工具里面的一个反混淆,
这样反混淆之后再去查看源代码,这个反混淆不是彻底的,只是把一个名字变成唯一的, 否则你搜索一个a,b,c,会有几千个出来,
找到一个方法实现的地方,可以右键
###
你找到了加密生成的代码之后,你还需要看懂,所以你还是需要java的功底的
这就是生成signature的地方,
但是你看不懂怎么办,可以打包成为一个java文件,让python调用,具体怎么实现呢?
####
安卓逆向第三步:怎么把java代码打包,让python调用?
第一点,你要安装java环境,
第二点,制作java文件,
这个是java加密参数的源码:
####
网上有在线的java执行工具,可以把这段java代码拿出来,然后去执行一下,方便调试java代码,https://tool.lu/coderunner/
import java.security.MessageDigest; /* renamed from: com.hualong.framework.b.a */ public class MySig { /* renamed from: a */ public static String get_sig(String str) { if (str == null) { return null; } StringBuffer stringBuffer = new StringBuffer(); try { MessageDigest instance = MessageDigest.getInstance("MD5"); instance.update(str.getBytes()); byte[] digest = instance.digest(); for (byte b : digest) { stringBuffer.append(Integer.toString((b >>> 4) & 15, 16)).append(Integer.toString(b & 15, 16)); } } catch (Exception e) { } return stringBuffer.toString(); } // public static void main(String args[]){ // System.out.println("hello world"); // } }
把文件编译成为class文件,通过命令,javac xxx.java,
###
第三步,把class文件打包成jar包,通过命令,jar cvf xxx.jar
第四步,通过jpype 这个python的第三方库,调用这个jar,就可以实现python调java了,
这个jpype需要安装一下这个包,pip install jpype1,
###
import jpype import requests import time uuid = "IMEI867686023834169-IMSI460NNNNNNNNNNNN" time = str(int(time.time())) ori_sig = uuid + "&&" + time + "&&" + "f1190aca-d08e-4041-8666-29931cd89dde" # ①、使用jpype开启虚拟机(在开启jvm之前要加载类路径) # 加载刚才打包的jar文件 jarpath = "/Users/liqian/PycharmProjects/spider/java/MySig.jar" # 获取jvm.dll 的文件路径 jvmPath = jpype.getDefaultJVMPath() # 开启jvm jpype.startJVM(jvmPath, "-ea", "-Djava.class.path=%s" % (jarpath)) # ②、加载java类(参数是java的长类名) javaClass = jpype.JClass("MySig") # 实例化java对象 javaInstance = javaClass() encry_sig = javaInstance.get_sig(ori_sig) # java.lang.System.out.println(encry_sig) print(encry_sig) # ③、调用java方法,由于我写的是静态方法,直接使用类名就可以调用方法 # javaClass.show() # ④、关闭jvm jpype.shutdownJVM()
###
从jvmpath就是jpype库的用法了,
startJVM 是开启一个Java虚拟机,
JClass("MySig"),这是调用一个java方法,
我们可以看到是要传递一个字符串进入,这个字符串的格式就是uuid设备id,时间戳,还有一串固定字符串,三部分通过&&组成的,
最终python代码:
import jpype import requests import time import urllib3 urllib3.disable_warnings() udid = "IMEI867686023834169-IMSI460NNNNNNNNNNNN" time = str(int(time.time())) ori_sig = udid + "&&" + time + "&&" + "f1190aca-d08e-4041-8666-29931cd89dde" # ①、使用jpype开启虚拟机(在开启jvm之前要加载类路径) # 加载刚才打包的jar文件 jarpath = "/Users/liqian/PycharmProjects/spider/java/MySig.jar" # 获取jvm.dll 的文件路径 jvmPath = jpype.getDefaultJVMPath() # 开启jvm jpype.startJVM(jvmPath, "-ea", "-Djava.class.path=%s" % (jarpath)) # ②、加载java类(参数是java的长类名) javaClass = jpype.JClass("MySig") # 实例化java对象 javaInstance = javaClass() encry_sig = javaInstance.get_sig(ori_sig) # java.lang.System.out.println(encry_sig) print(encry_sig) # ③、调用java方法,由于我写的是静态方法,直接使用类名就可以调用方法 # javaClass.show() url = "https://app.suzhou-news.cn/api/v1/appNews/getBannerNewsList7?page=1&bannerID=11" headers = { "sys": "Android", "sysversion": "8.1.0", "appversion": "8.2", "appversioncode": "54", "udid": udid, "clienttype": "android", "timestamp": "1632747791", "signature": "850196b383f11879ebb2c232d04d3b47", "accept-encoding": "gzip", "user-agent": "okhttp/3.9.0", "Accept": "*/*", "Postman-Token": "3c95da01-208f-4d15-895d-3a3230654863", "Host": "app.suzhou-news.cn", "Connection": "keep-alive", } # resp = requests.get(url, verify=False) # {"code":3,"message":"请求失败,缺少必要参数"} resp = requests.get(url, headers=headers,verify=False) print(resp.text) # ④、关闭jvm jpype.shutdownJVM()
这样用这个python代码,就可以成功通过接口获取到数据了,
###
但是这种把java拿过来直接python调用的方法,
不是任何时候都适用的,
因为有时候,这段java代码可能是有很多的依赖的包,你运行的时候,就会缺少很多的包,
这样就很麻烦,所以用python调用java的情况,这段代码最好不要有太多的依赖,
如果加密的程序,依赖别的文件比较少,可以使用这种方法,但是如果太复杂,依赖比较多,这个还是需要自己使用python实现,这个就是比较难的地方,
###
####
