首页 > 编程札记 > 编程

猿人学app安卓比赛第一题sign参数

阅读：评论：0

猿人学app安卓比赛第一题sign参数

一、抓包

1.这里使用的是charles，配置charles抓包

可以看到有三个参数：page、t、sign

2.猜想：sign是不是page和t某种组合方式之后的加密

3.加密方式：

HmacMD5
MD5 32位
UUID

4.那么我们还原sign参数之后，去构建请求1-100页返回的数据只和即可过关

二、分析

1.使用jadx打开猿人学app，将apk拖到jadx即可，可以看到是混淆之后的，但是不要怕

2。根据接口的url，我们搜索 /app1，之后转到这个地方

转到之后是这样的，一看有page、有sign、有t，那就是这里了

然后进到OooO00o里

随便进一个

之后搜索sign，定位到了这

跳到这个sign的声明，右键sign-跳到声明，这里就是我们要找的地方

三、frida hook

找到sign的生成就要开始hook了，这里参考了猿人学-APP大赛-第一题-Frida初试、调用Java代码_猿人学app第一题_银古_1427的博客-CSDN博客

1.分析，参数主要是 sb 转 string 再转 bytes 传入的

2.启动frida，hook这个sign

import frida
import sysdef bytes2str(ascii_lst):'''bytes 列表转字符串'''string = ''.join(map(chr, ascii_lst))print(string)def on_message(message, data):if message["type"] == "send":print(f"send >>> {message['payload']}")bytes2str(message['payload'])else:print(f"log >>> {message}")test = '''
function main(){console.log("脚本加载成功");Java.perform(function() {var clazz = Java.use('com.yuanrenxue.match2022.security.Sign');clazz.sign.implementation = function() {console.log('进入函数内部');console.log("参数为：", arguments[0]);send(arguments[0]);console.log("结果为：",clazz.sign.apply(this, arguments));return clazz.sign.apply(this, arguments);}});
}
setImmediate(main)
'''
# 两种启动方式
# 第一种 启动方式（app已经启动起来）
process = _usb_device(-1).attach('猿人学2022')  # 手机启动的进程名字（包名）
script = ate_script(test)  # js hook代码放进去
('message', on_message)  # 开始hook操作
script.load()
ad()  # 一直挂在这里，python程序不要断掉# 第二种 spawn重启app，可以hook app启动阶段加载流程的application，正在加载阶段的一些，frida版本与手机不匹配可能会闪崩
# device = _usb_device(-1)
# # 通过spawn方式活得进程id，然后去重启这个app
# pid = device.spawn(['com.yuanrenxue.match2022.security'])  # 手机启动的进程名字（包名）
# process = device.attach(pid)

一直没有输出的话，先退出重新启动app，再运行脚本
一直进入不了函数内部的话，可以使用 rpc 的方式
不需要 on_message 也可以打印

这里的hook结果是这样的：

四、编写脚本

这里用的是Frida rpc，参考：猿人学-APP大赛-第一题-Frida初试、调用Java代码_猿人学app第一题_银古_1427的博客-CSDN博客，主要就是把sign函数暴漏出来

# -*- coding:utf-8 -*-
import frida, time, sys
import requests# from requests.packages import urllib3
def on_message(message, data):if message['type'] == 'send':print("[*] {0}".format(message['payload']))else:print(message)def get_url():device = _usb_device(timeout=1000)  # 获取USB设备句柄process = device.attach('猿人学2022')  # 注入进程print(process)with open('第一题.js', encoding='utf-8') as f:jscode = f.read()script = ate_script(jscode)  # 加载js代码('message', on_message)  # 监控任何来自目标进程的消息script.load()print('load js ok')num = 0for i in range(1, 101):url = ''headers = {'Host': 'appmatch.yuanrenxue','accept-language': 'zh-CN,zh;q=0.8','user-agent': 'Mozilla/5.0 (Linux; U; Android 7.1.1; zh-cn; ONEPLUS A3010 Build/NMF26F) AppleWebKit/534.30 (KHTML, like Gecko) Version/4.0 Mobile Safari/534.30','content-type': 'application/x-www-form-urlencoded','cache-control': 'no-cache',}data = {'page': str(i),'t': str(int(time.time())),'token': '你自己的token',}data['sign'] = ports.main('page=' + data['page'] + data['t'])print(data)response = requests.post(url, headers=headers, data=data, verify=False)print(response.json())value_data = response.json()for value in value_data['data']:num += int(value['value'])print(num)time.sleep(1)if __name__ == '__main__':get_url()

第一题.js的代码：

//字符串转字节序列
function stringToByte(str) {var bytes = new Array();var len, c;if (str) {len = str.length;for (var i = 0; i < len; i++) {c = str.charCodeAt(i);if (c >= 0x010000 && c <= 0x10FFFF) {bytes.push(((c >> 18) & 0x07) | 0xF0);bytes.push(((c >> 12) & 0x3F) | 0x80);bytes.push(((c >> 6) & 0x3F) | 0x80);bytes.push((c & 0x3F) | 0x80);} else if (c >= 0x000800 && c <= 0x00FFFF) {bytes.push(((c >> 12) & 0x0F) | 0xE0);bytes.push(((c >> 6) & 0x3F) | 0x80);bytes.push((c & 0x3F) | 0x80);} else if (c >= 0x000080 && c <= 0x0007FF) {bytes.push(((c >> 6) & 0x1F) | 0xC0);bytes.push((c & 0x3F) | 0x80);} else {bytes.push(c & 0xFF);}}}return bytes;
}//主动调用sign函数
var a
var yyfunction main(a) {console.log("Script loded successfully")console.log(a)Java.perform(function () {console.log("Inside java perform function")var Sign = Java.use('com.yuanrenxue.match2022.security.Sign')//对指定的类名动态的获取这个类的JavaScript引用console.log("Java.use.successfully") //定位类var asinn = Sign.$new()   //创建实例yy = asinn.sign(stringToByte(a))console.log(yy) //定位类})return yy
}//入口函数
ports = {main: main
}