安卓逆向某生鲜平台app

本文仅作为学习交流，禁止用于商业使用

1.背景

阿里系当前采用的加密版本是6.3，6.2版本的大家几乎都解决了，6.3的网上资料很少，这里讲讲6.3的解密过程

1.阿里系通用这一套加密算法，主要是x-sign，x-sgext，x_mini_wua，x_umt这四个加密参数，解决了其中一个app，其他的比如淘X，咸X等app都相差不大了，改改参数，或者替换不同的方法名称就行；
2. 使用的是frida-rpc主动调用的方法（对加密算法解密的话，难度很高，我没做出来）；
3. 本次做的是阿里系的某生鲜平台app， 仅作为学习交流，禁止用于商业使用

首先我们抓个包先，可以看到，加密版本是6.3，加密参数还是我们常见的这四大参数
这里请求头具体分析就不说了，直接去逆向

讯享网

2.逆向

1.查壳

第一步不用多说，不管什么app，先查壳，查壳工具PKID，基本上满足需求，我们运气好，HM没做什么加壳措施，所以我们直接略过这个步骤；

如果有遇到加壳的，可以用一下几种办法

Frida-Unpack
firda-unpack 原理是利用frida hook libart.so中的OpenMemory方法，拿到内存中dex的地址，计算出dex文件的大小，从内存中将dex导出，我们可以查看项目中的 OpenMemory.js 文件中的代码更清晰直观地了解。

GitHub地址：https://github.com/GuoQiang1993/Frida-Apk-Unpack 

FRIDA-DEXDump
葫芦娃所写，脱壳后的dex文件保存在PC端main.py同一目录下，以包名为文件名

讯享网GitHub地址：https://github.com/hluwa/FRIDA-DEXDump 

frida_dump
会搜索 dex 文件并 dump 下来，保存在 data/data/packageName/files 目录下

GitHub地址：https://github.com/lasting-yang/frida_dump 

Frida_Fart[推荐]
寒冰写的， Frida 版的 Fart, 目前只能在 andorid8 上使用该frida版fart是使用hook的方式实现的函数粒度的脱壳，仅仅是对类中的所有函数进行了加载，但依然可以解决绝大多数的抽取保护

讯享网GitHub地址：https://github.com/hanbinglengyue/FART 

2.反编译

既然app没有做加壳措施，那我们直接上手jadx。

这里反编译工具推荐使用Android Killer，jadx，JEB，当你反编译失败的时候，去尝试另外的工具，会发现结果不同哦。千万别仅使用一个工具；

3.查找加密方法

1.在jadx里面直接全局搜索x-sign吧

我们很容易就找到这个getUnifiedSign函数，仔细分析函数发现是一个接口，那这个函数所在的类mtopsdk.security.InnerSignImpl 就是我们要找的实现类。

这里教你们一个小方法，在jadx里面对这个getUnifiedSign函数直接右击，复制frida代码，我们函数找的对不对，直接hook一下就知道了

写一段调用js的python程序

import frida, sys def on_message(message, data): if message['type'] == 'send': print("[*] {0}".format(message['payload'])) else: print(message) jscode = ''' Java.perform(function(){ / 把该部分替换为刚刚复制的内容即可、 } ) ''' process = frida.get_remote_device().attach('app的包名') script = process.create_script(jscode) script.on('message', on_message) script.load() sys.stdin.read() 

运行程序我们查看一下结果

非常nice，我们hook之后查看输出，这个方法传入了哪些参数，又输出了哪些值，一目了然，x-sign等加密值都在里面，说明我们方法找对了

4.调用方法

这里我们就直接用rpc主动调用的方法获取加密值
方法我们找到了，传入的参数我们也找到了，那用rpc调用也不在话下了
直接上代码

讯享网import frida def on_message(message, data): if message['type'] == 'send': print("[*] {0}".format(message['payload'])) else: print(message) def start_hook(): jscode = ''' rpc.exports = { para: function(a,b,c,d,e,f) { var ret = {}; Java.perform(function() { Java.choose("mtopsdk.security.InnerSignImpl",{ onMatch: function(instance){ var a= ""; var b= ""; var c = ; var d = ; var e = ; var f = ; //这些都是传入的参数，具体传参内容根据实际修改 var res = instance.getUnifiedSign(a, b, c, d, e, f).toString(); //console.log('getUnifiedSign ret value is ' + res); ret["result"] = res; }, onComplete: function(){ //console.log('js load over*') } }) }) return ret; } }; ''' process = frida.get_remote_device().attach('') script = process.create_script(jscode) script.on('message', on_message) script.load() return script result_hook = start_hook().exports.para() # 可传参进去 

我们现在验证一下rpc调用是否可行
1.首先执行rpc调用的代码，打印出其中的部分参数比如时间戳，以及解密后的x-sign

2.于此同时我们查看一下前面部分我们提到的hook这个getUnifiedSign函数，去查看一下结果

我们对比一下，时间戳，x-sign的值都是一样的，说明传入的参数正常，并能够输出加密参数

5.请求数据

6.结果

九月四号更新 wua加密算法

很多人问我wua怎么获取，还是用咱们这一套rpc主动调用，在传入的参数中，有个z参数，需要参入boolen值，当传入false时，不返回wua加密参数 如图

当传入true时，返回wua加密参数

有新的问题可以继续找我，谢谢！