原文链接:实战|一次APP密文Hook获取明文数据
在APP测试过程中,可能会遇到各种阻碍,如:那么在遇到这些情况的如何去应对? 目前比较好用的方法是Hook抓包,绕过一些检测校验。(逆向加密算法成本太高,比较费时间,这里加密函数是在native层的。) 本文将讲述APP在密文通信下,通过hook手段看到明文数据。 1.请求包密文参数hook:打开某APP,登入抓包发现数据加密处理了,想办法搞明文: 使用app查看工具查看apk是否加固,最终验证是360加固。 然后使用了脱壳机进行脱壳,脱壳机拖出了很多dex文件,最终目的是想知道 “明文”、“密文”相关的函数在哪个dex文件(仅展示部分文件)。
下一步思考,进行简单的定位,分析请求包的body部分,观察iv参数,很像base64编码。 尝试使用base64解码,解码后的数据为 “5b567f680892474e”,这数据可能是AES算法的IV,十六进制的。 既然body的iv部分使用了base64编码,下一步立马想到对“某APP”进行base64的hook,因为他的request请求体部分肯定调用了base64加密,js代码如下: - Java.perform(function () {
- function showStacks() {
- console.log(
- Java.use('android.util.Log').getStackTraceString(
- Java.use('java.lang.Throwable').$new()
- )
- )
- }
- var base64 = Java.use("android.util.Base64");
- base64.encodeToString.overload('[B', 'int').implementation = function (a,b) {
- showStacks();
- console.log("base64.encodeToString: ", JSON.stringify(a));
- var result = this.encodeToString(a,b);
- console.log("base64.encodeToString: ",result)
- return result;
- };
- });
Hook的结果,确实调用了android内置的base64方法,但是,结果和iv的不一样。进一步分析,他这个的base64是请求体cookie里面部分数据的base64结果,不是body部分的,所以加密和这块无关。 但是这一部分有价值,他的调用栈显示了整个调用过程,分析调用栈有个 “encryption” 字眼,第一印象,这估计就是加密函数,所以,下面根据调用栈的类名,定位脱壳后的dex文件(为什么要定位dex?因为脱壳后的dex文件太多,无法准确定位功能点) 通过上图调用栈,将encryption的类名进行全文搜索,关联到是5856160这个dex文件: 然后用jadx分析这个dex,发现都是方法a的重载 直接用objection批量hook,发现是调用了2个a方法,一个参数是“[object Object]”,另一个是“int, java.util.Map”: 针对上述两个方法进行hook,编写hook脚本: - Java.perform(function () {
- var name = "com.xxx.xx.util.encryption.c";
- var encrypt = Java.use(name);
- encrypt.a.overload('java.util.Map').implementation = function (obj) {
- console.log("parameter is : ", JSON.stringify(obj));
- var retval = this.a(obj);
- console.log("1 return value : ",retval);
- return retval;
- };
- encrypt.a.overload('int', 'java.util.Map').implementation = function (num, map) {
- console.log("first parameter : ",num);
- console.log("second parameter : ",JSON.stringify(map));
- var retval = this.a(num, map);
- console.log("2 return value : ", retval);
- return retval;
- };
- });
然后运行打印,验证一下,一个是明文数据,一个是密文数据:
分析过程到此结束,即可看到明文数据。 2.响应数据hook再进一步分析,然后发现com.xxx.xx.h.a方法有响应内容输出: 进入com.xxx.xx.h.a方法: 然后反编译dex文件,发现response关键字眼,代码中是将内容放入af的c方法中,下面看看af是什么: 发现af好像是kotlin的有一个底层库:(af是混淆后的名字) 然后用objection打印参数查看,确实有响应包的数据,下面直接hook这个kotlin模块: 编写hook脚本: - Java.perform(function () {
- var name = "com.xxx.xx.util.encryption.c";
- var encrypt = Java.use(name);
- encrypt.a.overload('java.util.Map').implementation = function (obj) {
- //console.log("parameter is : ", JSON.stringify(obj));
- var retval = this.a(obj);
- send(retval);
- var tmp;
- var op = recv('python_send', function(value) {
- console.log("修改完的数据:", value.payload);
- tmp=value.payload;
- return value.payload;
- }).wait();
- //console.log("op: ",op);
- return tmp;
- };
- var response = Java.use("kotlin.jvm.internal.af");
- response.c.overload('java.lang.Object', 'java.lang.String').implementation = function (obj, s) {
- var r = s.indexOf("try");
- //console.log("r = ", r);
- if (r!=-1) {
- console.log("result is ",)
- console.log("one param is ", obj);
- //console.log("two param is ", s);
- }
- var retval = this.c(obj,s);
- return retval;
- };
- });
这里hook脚本js和python脚本联合,将请求发送到burpsuite,再通过burpsuite将修改后的数据回调进app进行后序操作,如下图: 正常的请求过程 Hook的过程: 这个过程中需要一个中转服务器,一个和burpsuite通信的脚本:(其中hook的语句写入了通信脚本里面,让其自动加载进去)。最终控制台输出明文数据。 测试截图:
| 
发表于 2023-3-17 22:16:33