首页
论坛
课程
招聘
[原创]某东签名算法解析(一)
2020-11-14 18:29 9137

[原创]某东签名算法解析(一)

2020-11-14 18:29
9137

一、目标

我们来分析某东的sign签名算法,先搜索一个商品,抓包结果:

 

二、步骤

sign是32位的字符串,从长度上看,很像md5,我们先用jadx全局搜索 sign=


一共十几个结果,一个一个去hook肯定不现实,我们点进去分析代码找到了这个部分:

 


这就简单了,我们在源头拦住,直接hook javax.crypto.spec.SecretKeySpec 相关的函数:

1
2
3
4
5
6
var secretKeySpec = Java.use('javax.crypto.spec.SecretKeySpec');
secretKeySpec.$init.overload('[B','java.lang.String').implementation = function (a,b) {
    var result = this.$init(a, b);
    console.log(">>> 算法名" + b);
    return result;
}

挂上我们心爱的frida跑着,Duang…… 某东app挂了,白屏,偶尔还重启。看来是监测到了被搞了。

 

之前看雪上读到过一篇检测 frida 的文章(参考链接在文末)。这里我们做了如下两步来反检测:

1、更名: 将frida-server改名为fenfeiserver
2、改端口: 手机里面用 fenfeiserver -l 127.0.0.1:8080 来启动; 电脑里面先映射 adb forward tcp:8080 tcp:8080; 然后启动 frida -H 127.0.0.1:8080 -l jd.js com.jingdong.app.mall

输出结果:

1
2
3
4
5
6
>>> 算法名HmacSHA256
mac ======================================
算法名:HmacSHA256
mac ======================================
doFinal参数:yingyan&{"msg":[{"appId":"","clientVersion":"9.2.2","buildCode":"85371","uuid":""}]}&85&android&9.2.2&xiaomi&Redmi 6A&uvReport&8.1.0&lc029&jd_AjVDrKGR&1344*720&27&1605345127514&xx-xx
doFinal结果(hex):3ac0a00ed48d8fffadef281d97b970c13b3c8dec06d685ae0d62615f28c7751b

其实从字面上也能看出这不是我们要的结果,SHA256的结果是64位的字符串,而我们需要的sign是32位的。

 

怎么办? 把jadx里面能搜到的sign hook了遍都没有找到,只好从http请求下手了。

我们hook http请求,找到sign所在的请求,然后打出堆栈信息

1
2
3
4
5
6
7
8
9
10
11
var OkHttpClient = Java.use("okhttp3.OkHttpClient");
 
OkHttpClient.newCall.implementation = function (request) {
    var result = this.newCall(request);
    console.log(request.toString());
 
    var stack = threadinstance.currentThread().getStackTrace();
    console.log("http >>> Full call stack:" + Where(stack));
 
    return result;
};

输出结果

 


很明显这个http请求是我们的目标,但是这个堆栈没有给我们有用的提示,这应该是启动了一个新的线程来做的http请求,所以组装参数的函数没有体现在这里。

下面用一个比较猥琐的办法,hook currentTimeMillis

我们仔细观察一下,请求里面有个 st=1605338355285 换算一下正好是当前的时间戳,那么我们hook java获取当前系统时间函数,然后找到和http请求里面相同的时间,再打印出堆栈,不就可以找到组装参数的地方了嘛

1
2
3
4
5
6
var SystemClass = Java.use('java.lang.System');
SystemClass.currentTimeMillis.implementation = function(){
    var result = this.currentTimeMillis();
    console.log("==== " + result + " ====");
    return result;
}

结果还是令人沮丧,没有和http请求里面的值相同的时间戳,看来要么app并没有用currentTimeMillis函数,要么就是在so层把活偷偷的干了。

在so文件里面搜索 sign=

这次前方传来好消息

 

Binary file ./libjdbitmapkit.so matchse

 

看来有可能是这哥们干的,拖进ida伺候。

 


找到它的调用者 Java_com_jingdong_common_utils_BitmapkitUtils_getSignFromJni,它应该就是目标了,hook之:

1
2
3
4
5
6
var checkHookG = Java.use('com.jingdong.common.utils.BitmapkitUtils');
checkHookG.getSignFromJni.implementation = function(a,b,c,d,e,f){
    var result = this.getSignFromJni(a,b,c,d,e,f);
    console.log(">>> checkHookG = " + b + ' / ' + c + ' / ' + d + ' / ' + d + ' / ' + f + ' \n rc= ' + result);
    return result;
}


逮住了,就是它,收工。

三、总结

sign的查找要多方尝试,除了直接了当的找sign还可以从它的兄弟参数入手。

 

参考链接: https://bbs.pediy.com/thread-217482.htm 多种特征检测 Frida


【公告】欢迎大家踊跃尝试高研班11月试题,挑战自己的极限!

上传的附件:
  • jd.js (7.04kb,133次下载)
收藏
点赞0
打赏
分享
最新回复 (12)
雪    币: 612
活跃值: 活跃值 (593)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
mb_foyotena 活跃值 2020-11-14 19:04
2
1
直接还原过,这个sign和apk签名关联,不同签名算出结果不一样
雪    币: 647
活跃值: 活跃值 (138)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
SniperOB 活跃值 2021-1-14 16:18
3
0
大佬您好,目前我也有相同的问题,但是想要直接调用getSignFromJNI这个函数;
Frida的话不知道第一个参数Context如何获取;
现在正在尝试自己写一个简单的安卓APP来调用这个so库。
所以想请教下,如果用Frida的话如何获取第一个Context参数呢。
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
lastdinner 活跃值 2021-2-20 23:01
4
0
请问如何在SO文件中进行搜索?是要到linux 操作系统下 grep么?
雪    币: 25
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
wx_TLLB 活跃值 2021-3-29 14:57
5
0
SniperOB 大佬您好,目前我也有相同的问题,但是想要直接调用getSignFromJNI这个函数; Frida的话不知道第一个参数Context如何获取; 现在正在尝试自己写一个简单的安卓APP来调用这个so ...
我也卡在这个了 我去new一个直接APP报错了就
雪    币: 2321
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
独钓天台 活跃值 2021-4-1 19:34
6
0
这个多年前就搞过
雪    币: 494
活跃值: 活跃值 (1077)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
fenfei331 活跃值 2021-4-9 14:02
7
0
SniperOB 大佬您好,目前我也有相同的问题,但是想要直接调用getSignFromJNI这个函数; Frida的话不知道第一个参数Context如何获取; 现在正在尝试自己写一个简单的安卓APP来调用这个so ...
public static Context applicationContext ;

try  {
                Class<?>  ContextClass  =   XposedHelpers.findClass("android.content.ContextWrapper",  loadPackageParam.classLoader);
                XposedHelpers.findAndHookMethod(ContextClass,  "getApplicationContext",  new  XC_MethodHook()  {
                    @Override
                    protected  void  afterHookedMethod(MethodHookParam  param)  throws  Throwable  {
                        super.afterHookedMethod(param);
                        if  (applicationContext  !=  null)
                            return;
                        applicationContext  =  (Context)  param.getResult();
                        log(" -->得到Context");
                    }
                });
            }  catch  (Throwable  t)  {
                log("-->获取Context出错");
                // XposedBridge.log(t);
            }

xposed下我是hook getApplicationContext 来得到的。  frida应该也可以hook这个
雪    币: 20
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
万里星河 活跃值 2021-4-11 23:33
8
0
SniperOB 大佬您好,目前我也有相同的问题,但是想要直接调用getSignFromJNI这个函数; Frida的话不知道第一个参数Context如何获取; 现在正在尝试自己写一个简单的安卓APP来调用这个so ...
应该可以从ActivityThread里拿
雪    币: 647
活跃值: 活跃值 (138)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
SniperOB 活跃值 2021-4-12 14:32
9
0
fenfei331 public static Context applicationContext ; try { Class ContextClass = Xpose ...
感谢大佬~
雪    币: 647
活跃值: 活跃值 (138)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
SniperOB 活跃值 2021-4-12 14:32
10
0
对,是可以的,能拿到这个数据
雪    币: 24
活跃值: 活跃值 (154)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
DAndV 活跃值 2021-4-14 14:52
11
0
SniperOB 大佬您好,目前我也有相同的问题,但是想要直接调用getSignFromJNI这个函数; Frida的话不知道第一个参数Context如何获取; 现在正在尝试自己写一个简单的安卓APP来调用这个so ...
context的方法是固定的

 var currentApplication = Java.use('android.app.ActivityThread').currentApplication();
 var context = currentApplication.getApplicationContext();
雪    币: 647
活跃值: 活跃值 (138)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
SniperOB 活跃值 2021-4-16 10:49
12
0
mb_fozeycxb context的方法是固定的 var currentApplication = Java.use('android.app.ActivityThread').currentApplicatio ...
非常感谢。我通过看奋飞大佬的帖子,解决掉了这个问题,Thanks ~
雪    币: 30
活跃值: 活跃值 (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
独步雨林 活跃值 2021-10-30 15:47
13
0
[Remote::com.jingdong.app.mall]-> Process terminated
游客
登录 | 注册 方可回帖
返回