安卓脱壳协议分析burp辅助分析插件编写

前言

本文由 本人 首发于 先知安全技术社区&＃xff1a; https://xianzhi.aliyun.com/forum/user/5274

前言

本文以一个 app 为例&＃xff0c;演示对 app脱壳&＃xff0c;然后分析其 协议加密和签名方法&＃xff0c;然后编写 burp 脚本以方便后面的测试。

文中涉及的文件&＃xff0c;脱壳后的 dex 都在&＃xff1a;

链接: https://pan.baidu.com/s/1nvmUdq5 密码: isrr

对于 burp 扩展和后面加解密登录数据包工具的的源码&＃xff0c;直接用 jd-gui 反编译 jar 包即可。

正文

首先下载目标 apk &＃xff0c;然后拖到 GDA 里面看看有没有壳。

发现是腾讯加固&＃xff0c;可以通过修改 dex2oat 的源码进行脱壳。

具体可以看: https://bbs.pediy.com/thread-210275.htm

脱完壳 dex文件&＃xff0c;扔到 jeb 里面进行分析&＃xff08;GDA分析能力还是不太强&＃xff0c;不过速度快&＃xff09;

类和方法都出来了&＃xff0c;脱壳成功。

首先看看协议抓取&＃xff0c;建议自己电脑起一个 ap &＃xff08;热点&＃xff09;&＃xff0c; 然后用手机连接热点&＃xff0c;对于 http 的数据包&＃xff0c;可以使用 burp 进行抓取&＃xff08;对于 https 还要记得先安装 burp 的证书&＃xff09;&＃xff0c;对于 tcp 的数据包&＃xff0c;由于我们是连接的 电脑的 wifi 所以我们可以直接用 wireshark 抓取我们网卡的数据包就能抓到手机的数据包。对于笔记本&＃xff0c;可以买个无线网卡。

首先看看注册数据包的抓取&＃xff0c;设置好代理&＃xff0c;选择注册功能&＃xff0c;然后去 burp 里面&＃xff0c;可以看到抓取的数据包。

对于登录数据包&＃xff0c;点击登录功能&＃xff0c;去发现 burp 无法抓到数据包&＃xff0c; 怀疑使用了 tcp 发送请求数据&＃xff0c;于是开启 wireshark 抓取 手机连接的热点到的网卡的数据包。抓取时间要短一些&＃xff0c;不然找信息就很麻烦了。

然后我们一个一个 tcp 数据包查看&＃xff0c;看看有没有什么特殊的。

发现一个数据包里面有 base64 加密的数据&＃xff0c;猜测这个应该就是登陆的数据包。查了一下 ip &＃xff0c;应该就是了。

下面针对不同类型的协议加密措施进行分析。

HTTP协议

协议分析关键是找到加密解密的函数&＃xff0c;可以使用关键字搜索定位。为了方便搜索&＃xff0c;先把 dex 转成 smali 然后用文本搜索工具搜索就行了&＃xff0c;我使用 android killer。在这里可以使用 sn &＃xff0c; verify 等关键词进行搜索&＃xff0c;定位关键代码。我选择了 verify &＃xff0c;因为它搜出的结果较少。

函数没经过混淆&＃xff0c;看函数名就可以大概猜出了作用&＃xff0c;找到关键方法&＃xff0c;拿起 jeb 分析之。
先来看看 LoginReg2_Activity 的 onCreate 方法。

获取手机号进入了 XHttpApi.getVerify 方法&＃xff0c;跟进

先调用了 XHttpApi.addSnToParams(params) &＃xff08;看名称估计他就是增加签名的函数了&＃xff09;&＃xff0c;然后发送 post 请求。

继续跟进 XHttpApi.addSnToParams

至此签名方案非常清晰了。

• 获取时间戳,新增一个 t 的参数&＃xff0c;值为 时间戳
• md5("AndroidWear65cbcdeef24de25e5ed45338f06a1b37" &＃43; time_stamp) 为 sn

由于有时间戳和签名的存在&＃xff0c;而且服务器会检测时间戳&＃xff0c;后续如果我们想测试一些东西&＃xff0c;就需要过一段时间就要计算一下 签名和时间戳&＃xff0c;这样非常麻烦&＃xff0c;我们可以使用 burp 编写插件&＃xff0c;自动的修改 时间戳和 签名&＃xff0c;这样可以大大的减少我们的工作量。

看看关键的源代码

首先注册一个 HttpListener, 这样 burp 的流量就会经过我们的扩展。

然后看看 processHttpMessage对流经扩展的流量进行处理的逻辑。只处理 http 请求的数据&＃xff0c;然后根据域名过滤处理的数据包&＃xff0c;只对 wear.readboy.com 进行处理。接着对于数据包中的 t 参数和 sn 参数进行重新计算&＃xff0c;并且修改 数据包中的对应值。

加载扩展&＃xff0c;以后重放数据包&＃xff0c;就不用管签名的问题了。

TCP

对于 tcp 的协议可以通过搜索 端口号&＃xff0c;ip 地址等进行定位&＃xff0c;这里搜索 端口号&＃xff08;这里是8866, 可以在 wireshark 中查看&＃xff09;&＃xff0c;有一点要注意&＃xff0c;程序中可能会用 16 进制或者 10 进制表示端口号为了&＃xff0c;保险起见建议两种表示方式都搜一下。

通过搜索 0x22a2 &＃xff08;8866 的 16 进制表示&＃xff09;找到两个可能的位置。分别检查发现 第二个没啥用&＃xff0c;在 jeb 中查找交叉引用都没有&＃xff0c;于是忽略之。然后看看第一个。

可以看到 jeb 把端口号都转成了 10 进制数&＃xff0c;这里与服务器进行了连接&＃xff0c;没有什么有用的信息。于是上下翻翻了这个类里面的函数发现一个有意思的函数。

用于发送数据&＃xff0c;里面还用了另外一个类的方法&＃xff0c;一个一个看&＃xff0c;找到了加密方法。

就是简单的 rc4 加密&＃xff0c;然后在 base64 编码。
为了测试的方便写了个图形化的解密软件。

用 nc 测试之

正确。

总结

不要怕麻烦&＃xff0c;一些东西尽早脚本化&＃xff0c;自动化&＃xff0c;减轻工作量。逆向分析&＃xff0c;搜索关键字&＃xff0c;定位关键代码。

参考

http://www.vuln.cn/6100

http://www.freebuf.com/articles/terminal/106673.html