首页
论坛
课程
招聘
[分享]unidbg-ibox-wtoken-授人以渔不如授人以鱼
2022-5-10 15:12 11170

[分享]unidbg-ibox-wtoken-授人以渔不如授人以鱼

2022-5-10 15:12
11170
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
package ibox;
 
import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Emulator;
import com.github.unidbg.file.FileResult;
import com.github.unidbg.file.IOResolver;
import com.github.unidbg.file.linux.AndroidFileIO;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.array.ByteArray;
import com.github.unidbg.memory.Memory;
import com.github.unidbg.spi.SyscallHandler;
import java.io.File;
import java.io.IOException;
import java.nio.charset.StandardCharsets;
 
 
public class TigerTallyAPI extends AbstractJni implements IOResolver<AndroidFileIO> {
    private final AndroidEmulator emulator;
    private final VM vm;
    public TigerTallyAPI(String apkPath) {
        emulator = AndroidEmulatorBuilder.for64Bit().build();
        SyscallHandler<AndroidFileIO> syscallHandler =
                emulator.getSyscallHandler();
        syscallHandler.setVerbose(true);
        syscallHandler.addIOResolver(this);
        Memory memory = emulator.getMemory();
        memory.setLibraryResolver(new AndroidResolver(23));
        vm = emulator.createDalvikVM(new File(apkPath));
        vm.setJni(this);
        vm.setVerbose(true);
 
    }
    public static void main(String[] args) {
        TigerTallyAPI tigerTallyAPI = new TigerTallyAPI("D:\\apk\\ibox.apk");
        AndroidEmulator emulator = tigerTallyAPI.emulator;
        DalvikModule dalvikModule = tigerTallyAPI.vm.loadLibrary(new File("D:\\apk\\libtiger_tally.so"), true);
        dalvikModule.callJNI_OnLoad(emulator);
        VM vm = tigerTallyAPI.vm;
        DvmClass dvmClass = vm.resolveClass("com/aliyun/TigerTally/TigerTallyAPI");
        dvmClass.callStaticJniMethodObject(emulator,"_genericNt1(I)I",2);
        dvmClass.callStaticJniMethodObject(emulator,"_genericNt2(ILjava/lang/String;)I",2,new StringObject(vm,"EWA40T3eMNVkLmj8Ur9CuQExbcOti8c3yd-I8xDkLhvphNMuRujkY7V6lKbvAtE2qXa4kTWSnXmo0HXfuUXRgyFNXYwhwvvf7yUYQ-DjWjAa34fjA9yJCam4Llddmcu3D8BQKw4gR-nkYzzOx0uGj9OkfgUHoFxF00akZNyeMrs="));
        DvmObject<?> dvmObject = dvmClass.callStaticJniMethodObject(emulator,"_genericNt3(I[B)Ljava/lang/String;",2,new ByteArray(vm,"{\"phoneNumber\":\"18888888888\",\"code\":\"188888\"}".getBytes(StandardCharsets.UTF_8)));
        System.out.println(dvmObject.getValue().toString());
        tigerTallyAPI.destroy();
 
    }
    @Override
    public DvmObject<?> callStaticObjectMethodV(BaseVM vm, DvmClass dvmClass, String signature, VaList vaList) {
        switch (signature){
            case "com/aliyun/TigerTally/A->ct()Landroid/content/Context;":
                return vm.resolveClass("android/app/Application",vm.resolveClass("android/content/ContextWrapper",vm.resolveClass("android/content/Context"))).newObject(signature);
             case "com/aliyun/TigerTally/A->pb(Ljava/lang/String;[B)Ljava/lang/String;":
                 return new StringObject(vm,"wS8O4RYy64fZSJqmsPYWVT3K5+hweouz0YPvsxAs7x1mfWj0mqidyOwOBffV+mDcI9L0i2JLGp3YHbJYhxir0A==");
               }
        return super.callStaticObjectMethodV(vm, dvmClass, signature, vaList);
    }
 
    @Override
    public DvmObject<?> callObjectMethodV(BaseVM vm, DvmObject<?> dvmObject, String signature, VaList vaList) {
        switch (signature){
            case "android/content/pm/PackageManager->getApplicationInfo(Ljava/lang/String;I)Landroid/content/pm/ApplicationInfo;":
                return vm.resolveClass("Landroid/content/pm/ApplicationInfo;").newObject(signature);
            case "android/content/pm/PackageManager->getApplicationLabel(Landroid/content/pm/ApplicationInfo;)Ljava/lang/CharSequence;":
                return new StringObject(vm,"Ljava/lang/CharSequence;");
            case "android/app/Application->getFilesDir()Ljava/io/File;":
                return vm.resolveClass("Ljava/io/File;");
            case "java/lang/String->getAbsolutePath()Ljava/lang/String;":
                return new StringObject(vm,"Ljava/lang/String;");
            case "android/app/Application->getSharedPreferences(Ljava/lang/String;I)Landroid/content/SharedPreferences;":
                return vm.resolveClass("Landroid/content/SharedPreferences;");
            case "java/lang/Class->getAbsolutePath()Ljava/lang/String;":
                return new StringObject(vm,"Ljava/lang/String;");
        }
        return super.callObjectMethodV(vm, dvmObject, signature, vaList);
    }
    @Override
    public DvmObject<?> getStaticObjectField(BaseVM vm, DvmClass dvmClass, String signature) {
        switch (signature){
            case "android/os/Build->BRAND:Ljava/lang/String;":
                return new StringObject(vm,"Ljava/lang/String;");
            case "android/os/Build->MODEL:Ljava/lang/String;":
                return new StringObject(vm,"Ljava/lang/String;");
            case "android/os/Build$VERSION->RELEASE:Ljava/lang/String;":
                return new StringObject(vm,"Ljava/lang/String;");
            case "android/os/Build->DEVICE:Ljava/lang/String;":
                return new StringObject(vm,"Ljava/lang/String;");
        }
        return super.getStaticObjectField(vm,dvmClass,signature);
    }
    public void destroy() {
        try {
            emulator.close();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    @Override
    public FileResult<AndroidFileIO> resolve(Emulator<AndroidFileIO> emulator, String pathname, int oflags) {
        return null;
    }
}

图片描述
图片描述


看雪2022 KCTF 秋季赛 防守篇规则,征题截止日期11月12日!(iPhone 14等你拿!)

最后于 2022-5-10 15:15 被猫盾科技编辑 ,原因:
收藏
点赞2
打赏
分享
最新回复 (23)
雪    币: 77
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_cvbohtup 活跃值 2022-5-10 15:18
2
0
大佬666
雪    币: 680
活跃值: 活跃值 (3817)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
猫盾科技 活跃值 2022-5-10 15:19
3
0
mb_cvbohtup 大佬666

其他wtoken同理操作

最后于 2022-5-10 15:20 被猫盾科技编辑 ,原因:
雪    币: 77
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_cvbohtup 活跃值 2022-5-11 08:40
4
0
大佬,我这个环境配置有问题,因为新手
雪    币: 30
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_ajkljcfj 活跃值 2022-5-11 10:25
5
0
大佬,请问下无法抓取ibox网络包怎么解决,弹出请求出错~~
雪    币: 680
活跃值: 活跃值 (3817)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
猫盾科技 活跃值 2022-5-11 11:36
6
0
mb_ajkljcfj 大佬,请问下无法抓取ibox网络包怎么解决,弹出请求出错~~
hook掉证书+转发请求
雪    币: 680
活跃值: 活跃值 (3817)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
猫盾科技 活跃值 2022-5-11 11:36
7
0
mb_cvbohtup 大佬,我这个环境配置有问题,因为新手
github下载最新un
雪    币: 287
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
cheny76 活跃值 2022-5-12 08:20
8
0
牛啊  卧槽 完美运行
雪    币: 77
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_cvbohtup 活跃值 2022-5-12 09:30
9
1
cheny76 牛啊 卧槽 完美运行
能带带吗
雪    币: 77
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_cvbohtup 活跃值 2022-5-12 09:32
10
0
我这边配置一直没配置好,老是说缺啥解析的插件和其他啥的不存在
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
wx_拾_416 活跃值 2022-5-14 17:51
11
0
dvmClass.callStaticJniMethodObject(emulator,"_genericNt1(I)I", 2);  卡着 不动了。。
雪    币: 201
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
kx_nacos 活跃值 2022-5-24 09:13
12
0
2022.5.24  生成的wtoken 不行了,请求一直405
雪    币: 287
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
cheny76 活跃值 2022-5-24 15:58
13
0
kx_nacos 2022.5.24 生成的wtoken 不行了,请求一直405
更新了
雪    币: 36
活跃值: 活跃值 (725)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
番茄西瓜汤 活跃值 2022-5-24 16:57
14
0
cheny76 更新了
新版本的 sdk 貌似更新了,自己改代码
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
git_68162FangPengbo 活跃值 2022-5-24 20:18
15
0
番茄西瓜汤 新版本的 sdk 貌似更新了,自己改代码
知道现在签名的方法改成啥了吗?我脱壳脱不出来
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
git_68162FangPengbo 活跃值 2022-5-24 23:50
16
0
番茄西瓜汤 新版本的 sdk 貌似更新了,自己改代码
拖出来了,_genericNt1变成两个参数了,但是按照签名规则传进去生成的wtoken还是不能用。。
雪    币: 28
活跃值: 活跃值 (72)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
山间清爽的风 活跃值 2022-5-25 14:55
17
0
git_68162FangPengbo 拖出来了,_genericNt1变成两个参数了,但是按照签名规则传进去生成的wtoken还是不能用。。
JNIEnv->FindClass(com/aliyun/TigerTally/NaitveAPI) 
可能加了检测unidbg环境吧
雪    币: 201
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
kx_nacos 活跃值 2022-5-25 17:52
18
0
山间清爽的风 JNIEnv->FindClass(com/aliyun/TigerTally/NaitveAPI) 可能加了检测unidbg环境吧
大佬们,能整个群一起玩吗
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
git_68162FangPengbo 活跃值 2022-5-25 19:49
19
0
山间清爽的风 JNIEnv->FindClass(com/aliyun/TigerTally/NaitveAPI) 可能加了检测unidbg环境吧
意思是unidbg也不行了。。那还有其他办法破解吗
雪    币: 1259
活跃值: 活跃值 (3202)
能力值: ( LV5,RANK:75 )
在线值:
发帖
回帖
粉丝
那年没下雪 活跃值 1 2022-5-29 17:01
21
0

emmm

最后于 2022-5-31 18:12 被那年没下雪编辑 ,原因:
雪    币: 287
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
cheny76 活跃值 2022-5-31 08:46
22
0
git_68162FangPengbo 拖出来了,_genericNt1变成两个参数了,但是按照签名规则传进去生成的wtoken还是不能用。。
确实  改成2个参数后还是不能用的被拦截  吐了
雪    币: 680
活跃值: 活跃值 (3817)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
猫盾科技 活跃值 2022-7-6 10:38
23
0
纯算联系我
雪    币: 1639
活跃值: 活跃值 (1318)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
huangjw 活跃值 2022-7-6 11:22
24
0
what's it.
游客
登录 | 注册 方可回帖
返回