一、目标

某PS App sig签名分析-LMLPHP

这个就是我们今天的目标。

二、步骤

Jadx搜索 "sig"

先大概分析一下, sig 一眼看上去像是md5的结果,sigTime 必须是时间戳了,sigVersion 就是对应的签名算法版本号了。

老规矩,先搜搜 "sig"

不对劲,才两个结果。

那就再试试 "sig

某PS App sig签名分析-LMLPHP 这次还不错, 应该就是这个 sigVersion

点吧点吧,找到了这个类 com.meixx.secret.SigEntity,大概率是 SigEntity.generatorSigWithFinal这个函数。

祭出Objection

objection -g com.mx.mxxx.mxxx explore
android hooking watch class 'com.meixx.secret.SigEntity'

逮住了 generatorSigWithFinal

(agent) Registering job 015665. Type: watch-class for: com.meixx.secret.SigEntity
com.mt.mxxx.mxxx on (Xiaomi: 7.0) [usb] # (agent) [015665] Called com.meixx.secret.SigEntity.generatorSig(java.lang.String, [Ljava.lang.String;, java.lang.String, java.lang.Object)
(agent) [015665] Called com.meixx.secret.SigEntity.nativeGeneratorSig(java.lang.String, [[B, java.lang.String, java.lang.Object)

打印下入参和出参

android hooking watch class_method 'com.meixx.secret.SigEntity.generatorSig'  --dump-args --dump-return

有点小郁闷,返回值是个Object,看不到咱们要的签名值

(agent) Registering job 818585. Type: watch-method for: com.meixx.secret.SigEntity.generatorSig
com.mt.mxxx.mxxx on (Xiaomi: 7.0) [usb] # (agent) [818585] Called com.meixx.secret.SigEntity.generatorSig(java.lang.String, [Ljava.lang.String;, java.lang.String, java.lang.Object)
(agent) [818585] Arguments com.meixx.secret.SigEntity.generatorSig(channel/pic_timeline.json, 10,413,6790967215779498899,1,135547.1050.21|2|1|2||30000.0|1620478589|1096109|96109$$$6790967215779498899||0||273||80||78||2802||7||1||-1||6790965225653556242||1620478589819||0||1||1||1||1||1||15||9||0||1815992541||0,135547,4,home_tab_formula_hot,xxx,中国,xxx,xxx,1620478621200,,GMT 8,0,2507792916,taobao,MI NOTE Pro,Xiaomi,1440*2560,zh_CN,02:00:00:00:00:00,1089867602,0,512,4.26.33,7.0,0,1,0,wifi,mxxx-9171-Xiaomi-MI NOTE Pro-android-7.0-2cac546a,3710,1,9.1.7.1,0,2.0.0,CN,1,24,0,867302021476314,1,14f8c555ff4500db,1, 6184556633574670337, com.meixx.remote.hotfix.app.RemoteHotfixApplication@94dd584)
(agent) [818585] Return Value: com.meixx.secret.SigEntity@5bbbe0

挂上心爱的Frida

我们先观察一下, generatorSigWithFinal 函数的返回是是一个 SigEntity 类,

某PS App sig签名分析-LMLPHP 这个类的图示的三个成员变量就是我们要打印的结果。

var SigEntityCls = Java.use('com.meixx.secret.SigEntity');
SigEntityCls.generatorSig.overload('java.lang.String', '[Ljava.lang.String;', 'java.lang.String', 'java.lang.Object').implementation = function(a1,a2,a3,a4){
      var rc = this.generatorSig(a1,a2,a3,a4);
       console.log("a1=" + a1);
       console.log("a2=" + a2);

		var uRc=Java.cast(rc, Java.use("com.meixx.secret.SigEntity"));
		console.log(uRc._sig.value);
		console.log("sigTime=" + uRc._sigTime.value);
		console.log("sigVersion=" + uRc._sigVersion.value);

    return rc;
}

蓝瘦,没有打印出来,报错了

TypeError: cannot read property 'value' of undefined
    at <anonymous> (/mtxx.js:60)
    at apply (native)
    at ne (frida/node_modules/frida-java-bridge/lib/class-factory.js:613)
    at <anonymous> (frida/node_modules/frida-java-bridge/lib/class-factory.js:592)

问了下谷哥

如果有一个成员变量和成员函数的名字相同,则在其前面加一个_,如_xx.value = yy

这几个成员变量没有同名的成员函数,所以不用在前面加一个 _

我去,去掉 _

var uRc = Java.cast(rc,SigEntityCls);
console.log("sig=" + uRc.sig.value);
console.log("sigTime=" + uRc.sigTime.value);
console.log("sigVersion=" + uRc.sigVersion.value);

跑一下

某PS App sig签名分析-LMLPHP 太棒了,这就是我们要的结果。

三、总结

除了直接定位sig之外,和他相关的参数也是很有效的指路明灯。比如本例的 sigVersion

坑踩多了,自然就晋级了。老鸟和菜鸟的区别就是:老鸟犯的错误比较多,居然还没挂。

某PS App sig签名分析-LMLPHP

对于宇宙而言,人的生命并不比一只蚂蚁重要 ----海淀野生仁波切

TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全,最新技术干货实时推送

05-25 22:04