光说不练假把式,

这里以商业APPX红书APP为例,

分析的开始是用Charles,

先抓一个电话号密码登陆的POST包.

1.png (35.25 KB, 下载次数: 1)

2020-5-8 01:53 上传

2.png (36.85 KB, 下载次数: 2)

2020-5-8 01:53 上传

编写FRIDA HOOK JAVA MAP并输出KEY VALUE的脚本,

把APP停在登陆界面,

随便输一个账号密码但是不点登录,

先运行该脚本,再点击登陆按钮,

等APP出现号码错误的反馈后,

在终端立刻运行exit退出FRIDA,

看输出了什么内容.

直观的就看到了POST包中的各个字段关键字,

虽然没看见SIGN,但仔细看看下面那个xy-common-params,

3.png (61.8 KB, 下载次数: 1)

2020-5-8 01:54 上传

4.png (126.36 KB, 下载次数: 2)

2020-5-8 01:54 上传

5.png (141.49 KB, 下载次数: 2)

2020-5-8 01:54 上传

联想SIGN的生成方式(SIGN==字段组合串的摘要值)

它应该就是SIGN前的字段组合了,这部分调用9999999%会相当的接近SIGN关键代码.

这运气真的不错,一上来就蒙对了(你不蒙对怎么拿他水一贴...)

渐入佳境,开始输出更详细的HOOK信息,

尝试通过查看MAP的调用栈去找SIGN生成的代码.

在上面的FRIDA代码基础上稍微修改一下,

这次把调用栈给打印出来

6.png (68.88 KB, 下载次数: 1)

2020-5-8 01:54 上传

成功输出了详细信息,

但是傻眼了,没完全法看.

得想个办法,把信息保存到本地,格式化再查看它.

7.png (143.6 KB, 下载次数: 3)

2020-5-8 01:54 上传

要写FileStream之类的东西把消息保存到手机吗?

然后再拖到电脑上查看?或者传送到Python?

我知道你们懒,我也很懒,不喜欢学python和别的frida api.

所以这里介绍一个,不写代码直接保存成文件的偷懒方式.

windows上cmder这个终端软件,

可以把所有输出过的命令保存成文件,

按照如图所示勾选log console output选项,

下面填一个日志路径,点保存即可,

这样每次打开一个终端,

就会自动生成一个新的独立的日志文件,

敲过的命令和输出都自动保存在里面.

8.png (112.12 KB, 下载次数: 2)

2020-5-8 01:54 上传

9.png (108.35 KB, 下载次数: 2)

2020-5-8 10:40 上传

用VSCODE打开日志文件,

根据自己显示宽度选换行或不换行,

可以直观的看日志了.

10.png (169.73 KB, 下载次数: 2)

2020-5-8 01:54 上传

stack部分,这换行都没有,还是没法看.

不要慌,下面把stack这部分字符串粘贴出来,

扔进JAVA里,写一句helloworld级别的代码,

就可以看了.

11.png (160.38 KB, 下载次数: 2)

2020-5-8 01:54 上传

12.png (104.88 KB, 下载次数: 2)

2020-5-8 01:54 上传

怎么样?

佩服不佩服我的偷懒技术?

不写代码就把这个调用栈给格式化可视化了.

有水友要问了,费了半天力气,这东西有什么用?

大家不要慌.听我说(手动狗头)

这个SIGN代码, 99999%逃不出这MAP.PUT的调用栈,

别看他栈很深,排除掉那种okttp和java的公共代码,

剩下的用户类没有几个,

挨个翻一下就能找到了,稳住.

13.png (117.74 KB, 下载次数: 3)

2020-5-8 01:54 上传

去掉okhttp 去掉java.util,剩下13个类,

接下来挨个看一遍,就完事了.

什么?要看代码?好难,想偷懒.

知道你们懒,我也很懒...

这里介绍一个不用看代码的方法,

其实只要看代码顶部的导包,

有没有例如

import java.util.LinkedHashMap;

import java.util.Map;

有没有出现map就行了,没有的话直接看下一个.

14.png (52.04 KB, 下载次数: 2)

2020-5-8 01:54 上传

当你感到绝望,却坚持到底,

搜到com.xingin.skynet.g.b.intercept的时候,

会惊声尖叫,谁是最可爱的代码?是他是他就是他.

15.png (51.79 KB, 下载次数: 1)

2020-5-8 01:54 上传

16.png (58.38 KB, 下载次数: 2)

2020-5-8 01:54 上传

17.png (57.4 KB, 下载次数: 3)

2020-5-8 01:54 上传

18.png (56.81 KB, 下载次数: 1)

2020-5-8 01:54 上传

到这里,这个四两拨千斤精准HOOK定位SIGN的实战就结束了,

还有一些要补充下,为什么不在JS里通过代码,把日志文件保存到手机?

其1,因为要介绍点不一样的技巧,

其2,萌新写多了代码会出BUG,不写或者少写就解决问题,美哉.

其3,萌新想偷懒,不想学更多FRIDA_JS_API和Python.

其4,公共API调用频繁,尤其是String等类包,

在大型商业APP中,HOOK几个公共API类以后,

只是输出参数都可能会卡,python send()也很卡.