安卓逆向第五篇:修改so代码,服务器unidbg直接运行so

前言

此次是逆向某国内知名健身软件kxxp(你懂的)还不知道软件名的可以看下面的代码,里面有
版本为:6.128.0
现在情况是抓包,请求头内有个sign。
sign = so方法(md5(请求参字符串))
—————————————————————————————————————

更新:

此文是边做边写的,所以前期设想跟我最后用的方案有些出入

简单静态分析

image.png

image.png

image.png

进去之后 按F5
右击入参变量类型
点下图这个,依次改为JNIEnv *a1, jclass a2, jstring a3,再右击空白地区,点Hide casts


image.png

现在就规整多了


image.png

其中getSignhashcode很明显是签名验证用的


image.png

方案选型

目前两种方案
1、使用xposed+sekiro,远程调用手机生成,(一直用这种,不想用了,想学点新的)
2、使用unidbg(Unicron封装,java语言编写),或者AndroidNativeEmu(Unicron封装,python语言编写)。直接在服务器上运行so文件。直接用Unicron应该也可以(还没用过不确定)。
相比较而言,第二种麻烦,所以我们就用第二种吧🌝。
但是这里有个签名验证(上一张图),直接用应该过不掉。所以我们让那个判断直接从!= 改成==就行了。
———————————更新———————————————
\color{red}{注意:} 其实这里我之前理解有误,不需要改so。如果自己开发一个app调用这个so,可以改这个。后面用unidbg用原so就可以了。但是因为修改也是新知识就留着了
———————————更新完毕—————————————

修改so

image.png

image.png

image.png

看的有点懵没关系。先看后面。

这里需要另一个软件 --> 010Editor

mac下载链接https://www.52pojie.cn/thread-847145-1-1.html
↑ 这是个论坛链接,win的自己去论坛搜好了。
mac安装可能会有问题。
解决方法:
下载回来解压,然后拉到应用程序目录下,执行:sudo xattr -r -d com.apple.quarantine /Applications/010\ Editor.app ,就可以运行了,在10.15.6可以运行
打开后把so文件拖进去就行了。

怎么改,改成什么?

学习了这篇文章后
打开这个链接https://armconverter.com/?code=BEQ%200xFFFFFF
先BEQ

image.png

再BNE
image.png

看上上上张图,最左边,地址是3680。然后在010Editor找到就好。
image.png

保存之后。再用ida打开。
image.png

已经改好了。

使用AndroidNativeEmu调用

这个我用了一下,因为so使用了java的方法,我也不太清楚怎么补充这个环境,相关教程也是不多。
所以。。。。

使用unidbg调用

github:https://github.com/zhkl0228/unidbg
代码如下: 有详细注释

package com.keep.test;
import com.github.unidbg.*;
import com.github.unidbg.linux.android.AndroidARMEmulator;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.api.Signature;
import com.github.unidbg.linux.android.dvm.array.ArrayObject;
import com.github.unidbg.memory.Memory;
import net.dongliu.apk.parser.bean.CertificateMeta;

import javax.xml.bind.DatatypeConverter;
import java.io.File;
import java.io.IOException;
import java.util.ArrayList;
import java.util.Date;
import java.util.List;

public class MainActivity extends AbstractJni {
    public static void main(String[] args) {
        MainActivity mainActivity = new MainActivity();
        mainActivity.stringFromJNI();
    }

    private final AndroidEmulator emulator;
    private final VM vm;
    private DvmClass cNative;

    private MainActivity() {
        // 貌似查进程的时候用的   这个不写也没事  随便写的
        emulator = new AndroidARMEmulator("com.gotokeep.keep");
        Memory memory = emulator.getMemory();
        // 设置 sdk版本 23
        LibraryResolver resolver = new AndroidResolver(23);
        memory.setLibraryResolver(resolver);

        //创建DalvikVM,可以载入apk,也可以为null    如果加载的是apk   会自动读取apk文件里的签名加载进去  可以过掉签名验证
        vm = emulator.createDalvikVM(new File("unidbg-android/src/test/resources/apk/keep.apk"));
//        vm = emulator.createDalvikVM(null);
        vm.setJni(this);
        // 是否打印日志
        vm.setVerbose(true);

        // 载入要执行的 so  下面这行是上面不是apk的情况   直接指定so文件   当然即使指定了apk  也可以加载自己so
//        DalvikModule dm = vm.loadLibrary(new File("unidbg-android/src/test/resources/example_binaries/libcryp.so"), true);
        //  如果加载的是apk, 使用apk中的so文件   这里光写so文件名就可以  不用写lib
        DalvikModule dm = vm.loadLibrary("cryp", true);
        // 我这个没有JNI_OnLoad方法  所以我这里就不调用这个了
//        dm.callJNI_OnLoad(emulator);
//        module = dm.getModule();
    }

    private void stringFromJNI() {
        // Jni调用的类
        cNative = vm.resolveClass("com/gotokeep/keep/common/utils/CrypLib");
        long t = System.currentTimeMillis();
        DvmObject<?> strRc = cNative.callStaticJniMethodObject(emulator,"getEncryptDeviceId(Ljava/lang/String;)Ljava/lang/String;",vm.addLocalObject(new StringObject(vm, "0eeff6dd425d56c286d00348c578c63d")));

        System.out.println("call stringFromJNI rc = " + strRc.getValue());
        // 打印计算的毫秒数
        System.out.println(System.currentTimeMillis()-t);
    }
    @Override
    public DvmObject<?> callStaticObjectMethod(BaseVM vm, DvmClass dvmClass, String signature, VarArg varArg) {
        System.out.println("call: " + signature);
        switch (signature) {
            case "com/gotokeep/keep/KApplication->getContext()Landroid/content/Context;":
                return vm.resolveClass("android/content/Context").newObject(signature);

        }

        return super.callStaticObjectMethod(vm, dvmClass, signature, varArg);
    }



    @Override
    public int callIntMethod(BaseVM vm, DvmObject<?> dvmObject, String signature, VarArg varArg) {
        System.out.println("call: " + signature);
        switch (signature) {
            case "android/content/pm/Signature->hashCode()I":
                return 1580769512;
        }

        return super.callIntMethod(vm, dvmObject, signature, varArg);
    }


}

其中还有两个方法callStaticObjectMethodcallIntMethod没写注释。
除了这个还有很多,只是我没用到。
写这个也很简单
如果不写的话,会报错:

image.png

image.png

python实现so算法

因为使用unidbg,随意想算就算了。
所以入参我写成32个00000000000000000000000000000000出来一个结果。
再用0000000000000000000000000000001出一个结果。
通过总结规律的写法
得出了

def get_int(a1):

    if ord(a1) > 47 and ord(a1) <= 57 :
        return ord(a1) - 48
    if ord(a1) > 96 and ord(a1) <= 102 :
        return ord(a1) - 87
    if ord(a1) <= 64 or ord(a1) > 70 :
        return 0
    return ord(a1) - 55


def keep_so(s):
    shard_list = [[], [], [], []]
    index = 0
    index_w = 0
    for i in s:
        shard_list[index_w].append((get_int(i)))
        index += 1
        if index % 8 == 0 and index != 0:
            index_w += 1
    sum_list = [0, 0, 0, 0, 0, 0, 0, 0]
    for i in range(8):
        for j in shard_list:
            sum_list[i] += j[i]

    tail_list = sum_list[5:]
    carry = int((tail_list[2]+1)/16)
    tail_list[2] = (tail_list[2]+1)%16
    tail_list[1] = tail_list[1]+carry
    middle_num = tail_list[0]*16+tail_list[1]
    middle_num += 235
    middle_num = hex(middle_num).replace("0x","")
    middle_num = middle_num[-2:] if len(middle_num)>2 else middle_num
    sum_list = sum_list[:5]
    sum_list = [k+14 for k in sum_list]
    for i in range(5):
        sum_list[-i - 1] += int(sum_list[-i] / 16)
    sum_list = [(k)%16 for k in sum_list]
    return s+"".join([hex(k).replace("0x","") for k in sum_list])+middle_num+str(tail_list[2])
if __name__ == "__main__":

    n="0eeff6dd425d56c286d00348c578c63d"
    print(ord("a"))
    print(keep_so(n))
    print("----")
    print(keep_so(n)=="0eeff6dd425d56c286d00348c578c63d8c8505d5")
最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,185评论 6 493
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,445评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 157,684评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,564评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,681评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,874评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,025评论 3 408
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,761评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,217评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,545评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,694评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,351评论 4 332
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,988评论 3 315
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,778评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,007评论 1 266
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,427评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,580评论 2 349

推荐阅读更多精彩内容