一个脚本让你的app自动吐出密钥信息

  • A+
所属分类:移动安全

背景

火线某个私密项目中涉及到一个app的测试,打开一看,证书校验--不让抓包,信息加密-无法篡改,遇到这种情况怎么,正常我这种小菜鸡都是直接放弃了,奈何厂家奖金给的高啊,我还是得想办法搞一搞,虽然到最后低危都没有捡到一个,但是还是分享给没有做过app的大佬参考一下。


一、 frida安装

01

Frida概述


Frida是一款轻量级HOOK框架,可用于多平台上,例如android、windows、ios等。


frida分为两部分,服务端运行在目标机上,通过注入进程的方式来实现劫持应用函数,另一部分运行在系统机器上。


frida上层接口支持js、python、c等。


Frida官方github地址为:


https://github.com/frida


02

Frida安装


1 、安装python3.7并配置好环境变量(官方推荐python3以上版本至少为3.7),python安装包官方下载地址:


https://www.python.org/downloads/


2 、安装frida模块,命令为pip install frida(配置了多个python版本环境的可以使用命令python -m pip install frida防止用pip install frida命令报错)。


一个脚本让你的app自动吐出密钥信息


3、安装frida-tools模块,命令同上,pip install frida-tools或者python -m pip install frida-tools。


一个脚本让你的app自动吐出密钥信息


 4、下载运行在目标机上的frida-sever端


官方下载地址:https://github.com/frida/frida/releases后面可以跟版本14.2.2


下载时要选择对应的版本下载,例如我的机器为arm32为架构,就选择frida-server-14.2.2-android-arm.xz下载。(可以在adb使用命令cat /proc/cpuinfo查询)


一个脚本让你的app自动吐出密钥信息


5、将第四步下载好的文件解压,然后通过命令adb push 你的电脑是存放位置 /data/local/tmp将文件传输到手机中,然后通过adb shell进入手机端,给文件赋权777,并于root权限启动。


一个脚本让你的app自动吐出密钥信息


一个脚本让你的app自动吐出密钥信息


6、做完以上几步后,新开一个命令行输入命令frida-ps -U查看手机进程,如果出现以下结果,则frida安装成功。


一个脚本让你的app自动吐出密钥信息


可以看到进程了


二、使用Frida脚本绕过抓包限制


设置burp证书


先在burp里设置本机代理


访问代理地址并下载burp证书


将下载的burp证书导入到手机中/data/local/tmp目录下,并重命名为cert-der.crt(此名称在接下来的fridascript.js脚本中使用,如果该名字命名为其他则脚本中相对应的地方也需要进行替换)


adb push cacert.der /data/local/tmp/cert-der.crt


模拟器设置代理,在安卓手机设置->wlan选择对应网络设置代理


打开你想抓包的软件,使用frida-ps -U命令列出设备上运行的服务,找到对应的包名


在本地新建一个js文件,并将一下内容写入


/*    Android SSL Re-pinning frida script v0.2 030417-pier 
  $ adb push burpca-cert-der.crt /data/local/tmp/cert-der.crt   $ frida -U -f it.app.mobile -l frida-android-repinning.js --no-pause
  https://techblog.mediaservice.net/2017/07/universal-android-ssl-pinning-bypass-with-frida/     UPDATE 20191605: Fixed undeclared var. Thanks to @oleavr and @ehsanpc9999 !*/
setTimeout(function(){    Java.perform(function (){      console.log("");      console.log("[.] Cert Pinning Bypass/Re-Pinning");
     var CertificateFactory = Java.use("java.security.cert.CertificateFactory");      var FileInputStream = Java.use("java.io.FileInputStream");      var BufferedInputStream = Java.use("java.io.BufferedInputStream");      var X509Certificate = Java.use("java.security.cert.X509Certificate");      var KeyStore = Java.use("java.security.KeyStore");      var TrustManagerFactory = Java.use("javax.net.ssl.TrustManagerFactory");      var SSLContext = Java.use("javax.net.ssl.SSLContext");
     // Load CAs from an InputStream      console.log("[+] Loading our CA...")      var cf = CertificateFactory.getInstance("X.509");            try {        var fileInputStream = FileInputStream.$new("/data/local/tmp/cert-der.crt");      }      catch(err) {        console.log("[o] " + err);      }            var bufferedInputStream = BufferedInputStream.$new(fileInputStream);      var ca = cf.generateCertificate(bufferedInputStream);      bufferedInputStream.close();
   var certInfo = Java.cast(ca, X509Certificate);      console.log("[o] Our CA Info: " + certInfo.getSubjectDN());
     // Create a KeyStore containing our trusted CAs      console.log("[+] Creating a KeyStore for our CA...");      var keyStoreType = KeyStore.getDefaultType();      var keyStore = KeyStore.getInstance(keyStoreType);      keyStore.load(null, null);      keyStore.setCertificateEntry("ca", ca);            // Create a TrustManager that trusts the CAs in our KeyStore      console.log("[+] Creating a TrustManager that trusts the CA in our KeyStore...");      var tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();      var tmf = TrustManagerFactory.getInstance(tmfAlgorithm);      tmf.init(keyStore);      console.log("[+] Our TrustManager is ready...");
     console.log("[+] Hijacking SSLContext methods now...")      console.log("[-] Waiting for the app to invoke SSLContext.init()...")
      SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").implementation = function(a,b,c) {         console.log("[o] App invoked javax.net.ssl.SSLContext.init...");         SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").call(this, a, tmf.getTrustManagers(), c);         console.log("[+] SSLContext initialized with our custom TrustManager!");       }    });},0);


脚本里的30行其中对应的就是burp证书的信息


将fridascript.js注入到目标应用程序中


frida -U -f com.xxxx.app.ui -l C:UsersxxxDesktopfridascript.js --no-pause


-f选项表示强制启动一个应用程序,-l选项表示加载指定脚本,–no-pause选项表示不中断应用程序的启动,如下所示代表运行成功


一个脚本让你的app自动吐出密钥信息


咱们可以看到,已经能抓到包了


一个脚本让你的app自动吐出密钥信息


但是包的内容进行了加密


三、使用Frida脚本让他自己吐出密钥信息


还需要再本地建一个新的js文件,代码如下:


var N_ENCRYPT_MODE = 1var N_DECRYPT_MODE = 2
function showStacks() {    var Exception = Java.use("java.lang.Exception");    var ins = Exception.$new("Exception");    var straces = ins.getStackTrace();
   if (undefined == straces || null == straces) {        return;    }
   console.log("============================= Stack strat=======================");    console.log("");
   for (var i = 0; i < straces.length; i++) {        var str = "   " + straces[i].toString();        console.log(str);    }
   console.log("");    console.log("============================= Stack end=======================rn");    Exception.$dispose();}
//工具相关函数 var base64EncodeChars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/',    base64DecodeChars = new Array((-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), (-1), 62, (-1), (-1), (-1), 63, 52, 53, 54, 55, 56, 57, 58, 59, 60, 61, (-1), (-1), (-1), (-1), (-1), (-1), (-1), 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, (-1), (-1), (-1), (-1), (-1), (-1), 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40, 41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, (-1), (-1), (-1), (-1), (-1));
function stringToBase64(e) {    var r, a, c, h, o, t;    for (c = e.length, a = 0, r = ''; a < c;) {        if (h = 255 & e.charCodeAt(a++), a == c) {            r += base64EncodeChars.charAt(h >> 2),                r += base64EncodeChars.charAt((3 & h) << 4),                r += '==';            break        }        if (o = e.charCodeAt(a++), a == c) {            r += base64EncodeChars.charAt(h >> 2),                r += base64EncodeChars.charAt((3 & h) << 4 | (240 & o) >> 4),                r += base64EncodeChars.charAt((15 & o) << 2),                r += '=';            break        }        t = e.charCodeAt(a++),            r += base64EncodeChars.charAt(h >> 2),            r += base64EncodeChars.charAt((3 & h) << 4 | (240 & o) >> 4),            r += base64EncodeChars.charAt((15 & o) << 2 | (192 & t) >> 6),            r += base64EncodeChars.charAt(63 & t)    }    return r}function base64ToString(e) {    var r, a, c, h, o, t, d;    for (t = e.length, o = 0, d = ''; o < t;) {        do            r = base64DecodeChars[255 & e.charCodeAt(o++)];        while (o < t && r == -1);        if (r == -1)            break;        do            a = base64DecodeChars[255 & e.charCodeAt(o++)];        while (o < t && a == -1);        if (a == -1)            break;        d += String.fromCharCode(r << 2 | (48 & a) >> 4);        do {            if (c = 255 & e.charCodeAt(o++), 61 == c)                return d;            c = base64DecodeChars[c]        } while (o < t && c == -1);        if (c == -1)            break;        d += String.fromCharCode((15 & a) << 4 | (60 & c) >> 2);        do {            if (h = 255 & e.charCodeAt(o++), 61 == h)                return d;            h = base64DecodeChars[h]        } while (o < t && h == -1);        if (h == -1)            break;        d += String.fromCharCode((3 & c) << 6 | h)    }    return d}function hexToBase64(str) {    return base64Encode(String.fromCharCode.apply(null, str.replace(/r|n/g, "").replace(/([da-fA-F]{2}) ?/g, "0x$1 ").replace(/ +$/, "").split(" ")));}function base64ToHex(str) {    for (var i = 0, bin = base64Decode(str.replace(/[ rn]+$/, "")), hex = []; i < bin.length; ++i) {        var tmp = bin.charCodeAt(i).toString(16);        if (tmp.length === 1)            tmp = "0" + tmp;        hex[hex.length] = tmp;    }    return hex.join("");}function hexToBytes(str) {    var pos = 0;    var len = str.length;    if (len % 2 != 0) {        return null;    }    len /= 2;    var hexA = new Array();    for (var i = 0; i < len; i++) {        var s = str.substr(pos, 2);        var v = parseInt(s, 16);        hexA.push(v);        pos += 2;    }    return hexA;}function bytesToHex(arr) {    var str = '';    var k, j;    for (var i = 0; i < arr.length; i++) {        k = arr[i];        j = k;        if (k < 0) {            j = k + 256;        }        if (j < 16) {            str += "0";        }        str += j.toString(16);    }    return str;}function stringToHex(str) {    var val = "";    for (var i = 0; i < str.length; i++) {        if (val == "")            val = str.charCodeAt(i).toString(16);        else            val += str.charCodeAt(i).toString(16);    }    return val}function stringToBytes(str) {    var ch, st, re = [];    for (var i = 0; i < str.length; i++) {        ch = str.charCodeAt(i);        st = [];        do {            st.push(ch & 0xFF);            ch = ch >> 8;        }        while (ch);        re = re.concat(st.reverse());    }    return re;}//将byte[]转成String的方法function bytesToString(arr) {    var str = '';    arr = new Uint8Array(arr);    for (var i in arr) {        str += String.fromCharCode(arr[i]);    }    return str;}function bytesToBase64(e) {    var r, a, c, h, o, t;    for (c = e.length, a = 0, r = ''; a < c;) {        if (h = 255 & e[a++], a == c) {            r += base64EncodeChars.charAt(h >> 2),                r += base64EncodeChars.charAt((3 & h) << 4),                r += '==';            break        }        if (o = e[a++], a == c) {            r += base64EncodeChars.charAt(h >> 2),                r += base64EncodeChars.charAt((3 & h) << 4 | (240 & o) >> 4),                r += base64EncodeChars.charAt((15 & o) << 2),                r += '=';            break        }        t = e[a++],            r += base64EncodeChars.charAt(h >> 2),            r += base64EncodeChars.charAt((3 & h) << 4 | (240 & o) >> 4),            r += base64EncodeChars.charAt((15 & o) << 2 | (192 & t) >> 6),            r += base64EncodeChars.charAt(63 & t)    }    return r}function base64ToBytes(e) {    var r, a, c, h, o, t, d;    for (t = e.length, o = 0, d = []; o < t;) {        do            r = base64DecodeChars[255 & e.charCodeAt(o++)];        while (o < t && r == -1);        if (r == -1)            break;        do            a = base64DecodeChars[255 & e.charCodeAt(o++)];        while (o < t && a == -1);        if (a == -1)            break;        d.push(r << 2 | (48 & a) >> 4);        do {            if (c = 255 & e.charCodeAt(o++), 61 == c)                return d;            c = base64DecodeChars[c]        } while (o < t && c == -1);        if (c == -1)            break;        d.push((15 & a) << 4 | (60 & c) >> 2);        do {            if (h = 255 & e.charCodeAt(o++), 61 == h)                return d;            h = base64DecodeChars[h]        } while (o < t && h == -1);        if (h == -1)            break;        d.push((3 & c) << 6 | h)    }    return d}//stringToBase64 stringToHex stringToBytes//base64ToString base64ToHex base64ToBytes//               hexToBase64  hexToBytes    // bytesToBase64 bytesToHex bytesToString

Java.perform(function () {    var secretKeySpec = Java.use('javax.crypto.spec.SecretKeySpec');    secretKeySpec.$init.overload('[B', 'java.lang.String').implementation = function (a, b) {        showStacks();        var result = this.$init(a, b);        console.log("======================================");        console.log("算法名:" + b + "|str密钥:" + bytesToString(a));        console.log("算法名:" + b + "|Hex密钥:" + bytesToHex(a));        return result;    }
   var DESKeySpec = Java.use('javax.crypto.spec.DESKeySpec');    DESKeySpec.$init.overload('[B').implementation = function (a) {        showStacks();        var result = this.$init(a);        console.log("======================================");        var bytes_key_des = this.getKey();        console.log("des密钥  |str " + bytesToString(bytes_key_des));        console.log("des密钥  |hex " + bytesToHex(bytes_key_des));        return result;    }
   DESKeySpec.$init.overload('[B', 'int').implementation = function (a, b) {        showStacks();        var result = this.$init(a, b);        console.log("======================================");        var bytes_key_des = this.getKey();        console.log("des密钥  |str " + bytesToString(bytes_key_des));        console.log("des密钥  |hex " + bytesToHex(bytes_key_des));        return result;    }
   var mac = Java.use('javax.crypto.Mac');    mac.getInstance.overload('java.lang.String').implementation = function (a) {        showStacks();        var result = this.getInstance(a);        console.log("======================================");        console.log("算法名:" + a);        return result;    }    mac.update.overload('[B').implementation = function (a) {        //showStacks();        this.update(a);        console.log("======================================");        console.log("update:" + bytesToString(a))    }    mac.update.overload('[B', 'int', 'int').implementation = function (a, b, c) {        //showStacks();        this.update(a, b, c)        console.log("======================================");        console.log("update:" + bytesToString(a) + "|" + b + "|" + c);    }    mac.doFinal.overload().implementation = function () {        //showStacks();        var result = this.doFinal();        console.log("======================================");        console.log("doFinal结果: |str  :"     + bytesToString(result));        console.log("doFinal结果: |hex  :"     + bytesToHex(result));        console.log("doFinal结果: |base64  :"  + bytesToBase64(result));        return result;    }    mac.doFinal.overload('[B').implementation = function (a) {        //showStacks();        var result = this.doFinal(a);        console.log("======================================");        console.log("doFinal参数: |str  :"     + bytesToString(a));        console.log("doFinal参数: |hex  :"     + bytesToHex(a));        console.log("doFinal结果: |str  :"     + bytesToString(result));        console.log("doFinal结果: |hex  :"     + bytesToHex(result));        console.log("doFinal结果: |base64  :"  + bytesToBase64(result));        return result;    }
   var md = Java.use('java.security.MessageDigest');    md.getInstance.overload('java.lang.String', 'java.lang.String').implementation = function (a, b) {        //showStacks();        console.log("======================================");        console.log("算法名:" + a);        return this.getInstance(a, b);    }    md.getInstance.overload('java.lang.String').implementation = function (a) {        //showStacks();        console.log("======================================");        console.log("算法名:" + a);        return this.getInstance(a);    }    md.update.overload('[B').implementation = function (a) {        //showStacks();        console.log("======================================");        console.log("update:" + bytesToString(a))        return this.update(a);    }    md.update.overload('[B', 'int', 'int').implementation = function (a, b, c) {        //showStacks();        console.log("======================================");        console.log("update:" + bytesToString(a) + "|" + b + "|" + c);        return this.update(a, b, c);    }    md.digest.overload().implementation = function () {        //showStacks();        console.log("======================================");        var result = this.digest();        console.log("digest结果 |hex:" + bytesToHex(result));        console.log("digest结果 |base64:" + bytesToBase64(result));        return result;    }    md.digest.overload('[B').implementation = function (a) {        //showStacks();        console.log("======================================");        console.log("digest参数 |str:" + bytesToString(a));        console.log("digest参数 |hex:" + bytesToHex(a));        var result = this.digest(a);        console.log("digest结果: |hex" + bytesToHex(result));        console.log("digest结果: |base64" + bytesToBase64(result));        return result;    }
   var ivParameterSpec = Java.use('javax.crypto.spec.IvParameterSpec');    ivParameterSpec.$init.overload('[B').implementation = function (a) {        //showStacks();        var result = this.$init(a);        console.log("======================================");        console.log("iv向量: |str:" + bytesToString(a));        console.log("iv向量: |hex:" + bytesToHex(a));        return result;    }
   var cipher = Java.use('javax.crypto.Cipher');    cipher.getInstance.overload('java.lang.String').implementation = function (a) {        //showStacks();        var result = this.getInstance(a);        console.log("======================================");        console.log("模式填充:" + a);        return result;    }    cipher.init.overload('int', 'java.security.Key').implementation = function (a, b) {        //showStacks();        var result = this.init(a, b);        console.log("======================================");        if (N_ENCRYPT_MODE == a)        {            console.log("init  | 加密模式");            }        else if(N_DECRYPT_MODE == a)        {            console.log("init  | 解密模式");            }
       var bytes_key = b.getEncoded();        console.log("init key:" + "|str密钥:" + bytesToString(bytes_key));        console.log("init key:" + "|Hex密钥:" + bytesToHex(bytes_key));        return result;    }    cipher.init.overload('int', 'java.security.cert.Certificate').implementation = function (a, b) {        //showStacks();        var result = this.init(a, b);        console.log("======================================");                if (N_ENCRYPT_MODE == a)        {            console.log("init  | 加密模式");            }        else if(N_DECRYPT_MODE == a)        {            console.log("init  | 解密模式");            }
       return result;    }    cipher.init.overload('int', 'java.security.Key', 'java.security.spec.AlgorithmParameterSpec').implementation = function (a, b, c) {        //showStacks();        var result = this.init(a, b, c);        console.log("======================================");                if (N_ENCRYPT_MODE == a)        {            console.log("init  | 加密模式");            }        else if(N_DECRYPT_MODE == a)        {            console.log("init  | 解密模式");            }            var bytes_key = b.getEncoded();        console.log("init key:" + "|str密钥:" + bytesToString(bytes_key));        console.log("init key:" + "|Hex密钥:" + bytesToHex(bytes_key));
       return result;    }    cipher.init.overload('int', 'java.security.cert.Certificate', 'java.security.SecureRandom').implementation = function (a, b, c) {        //showStacks();        var result = this.init(a, b, c);        if (N_ENCRYPT_MODE == a)        {            console.log("init  | 加密模式");            }        else if(N_DECRYPT_MODE == a)        {            console.log("init  | 解密模式");            }        return result;    }    cipher.init.overload('int', 'java.security.Key', 'java.security.SecureRandom').implementation = function (a, b, c) {        //showStacks();        var result = this.init(a, b, c);        if (N_ENCRYPT_MODE == a)        {            console.log("init  | 加密模式");            }        else if(N_DECRYPT_MODE == a)        {            console.log("init  | 解密模式");            }
        var bytes_key = b.getEncoded();        console.log("init key:" + "|str密钥:" + bytesToString(bytes_key));        console.log("init key:" + "|Hex密钥:" + bytesToHex(bytes_key));        return result;    }    cipher.init.overload('int', 'java.security.Key', 'java.security.AlgorithmParameters').implementation = function (a, b, c) {        //showStacks();        var result = this.init(a, b, c);        if (N_ENCRYPT_MODE == a)        {            console.log("init  | 加密模式");            }        else if(N_DECRYPT_MODE == a)        {            console.log("init  | 解密模式");            }
       var bytes_key = b.getEncoded();        console.log("init key:" + "|str密钥:" + bytesToString(bytes_key));        console.log("init key:" + "|Hex密钥:" + bytesToHex(bytes_key));        return result;    }    cipher.init.overload('int', 'java.security.Key', 'java.security.AlgorithmParameters', 'java.security.SecureRandom').implementation = function (a, b, c, d) {        //showStacks();        var result = this.init(a, b, c, d);        if (N_ENCRYPT_MODE == a)        {            console.log("init  | 加密模式");            }        else if(N_DECRYPT_MODE == a)        {            console.log("init  | 解密模式");            }
       var bytes_key = b.getEncoded();        console.log("init key:" + "|str密钥:" + bytesToString(bytes_key));        console.log("init key:" + "|Hex密钥:" + bytesToHex(bytes_key));        return result;    }    cipher.init.overload('int', 'java.security.Key', 'java.security.spec.AlgorithmParameterSpec', 'java.security.SecureRandom').implementation = function (a, b, c, d) {        //showStacks();        var result = this.init(a, b, c, d);        if (N_ENCRYPT_MODE == a)        {            console.log("init  | 加密模式");            }        else if(N_DECRYPT_MODE == a)        {            console.log("init  | 解密模式");            }
        var bytes_key = b.getEncoded();        console.log("init key:" + "|str密钥:" + bytesToString(bytes_key));        console.log("init key:" + "|Hex密钥:" + bytesToHex(bytes_key));        return result;    }
   cipher.update.overload('[B').implementation = function (a) {        //showStacks();        var result = this.update(a);        console.log("======================================");        console.log("update:" + bytesToString(a));        return result;    }    cipher.update.overload('[B', 'int', 'int').implementation = function (a, b, c) {        //showStacks();        var result = this.update(a, b, c);        console.log("======================================");        console.log("update:" + bytesToString(a) + "|" + b + "|" + c);        return result;    }    cipher.doFinal.overload().implementation = function () {        //showStacks();        var result = this.doFinal();        console.log("======================================");        console.log("doFinal结果: |str  :"     + bytesToString(result));        console.log("doFinal结果: |hex  :"     + bytesToHex(result));        console.log("doFinal结果: |base64  :"  + bytesToBase64(result));        return result;    }    cipher.doFinal.overload('[B').implementation = function (a) {        //showStacks();        var result = this.doFinal(a);        console.log("======================================");        console.log("doFinal参数: |str  :"     + bytesToString(a));        console.log("doFinal参数: |hex  :"     + bytesToHex(a));        console.log("doFinal结果: |str  :"     + bytesToString(result));        console.log("doFinal结果: |hex  :"     + bytesToHex(result));        console.log("doFinal结果: |base64  :"  + bytesToBase64(result));        return result;    }
   var x509EncodedKeySpec = Java.use('java.security.spec.X509EncodedKeySpec');    x509EncodedKeySpec.$init.overload('[B').implementation = function (a) {        //showStacks();        var result = this.$init(a);        console.log("======================================");        console.log("RSA密钥:" + bytesToBase64(a));        return result;    }
   var rSAPublicKeySpec = Java.use('java.security.spec.RSAPublicKeySpec');    rSAPublicKeySpec.$init.overload('java.math.BigInteger', 'java.math.BigInteger').implementation = function (a, b) {        //showStacks();        var result = this.$init(a, b);        console.log("======================================");        //console.log("RSA密钥:" + bytesToBase64(a));        console.log("RSA密钥N:" + a.toString(16));        console.log("RSA密钥E:" + b.toString(16));        return result;    }
   var KeyPairGenerator = Java.use('java.security.KeyPairGenerator');    KeyPairGenerator.generateKeyPair.implementation = function ()    {        //showStacks();        var result = this.generateKeyPair();        console.log("======================================");                var str_private = result.getPrivate().getEncoded();        var str_public = result.getPublic().getEncoded();        console.log("公钥  |hex" + bytesToHex(str_public));        console.log("私钥  |hex" + bytesToHex(str_private));
       return result;    }
   KeyPairGenerator.genKeyPair.implementation = function ()    {        //showStacks();        var result = this.genKeyPair();        console.log("======================================");
       var str_private = result.getPrivate().getEncoded();        var str_public = result.getPublic().getEncoded();        console.log("公钥  |hex" + bytesToHex(str_public));        console.log("私钥  |hex" + bytesToHex(str_private));
       return result;    }});


在新建一个窗口


frida -U -f com.xxxx.app.ui -l C:UsersxxxDesktop333.js --no-pause


一个脚本让你的app自动吐出密钥信息


如上图所示,已经在开始自动解密了


一个脚本让你的app自动吐出密钥信息


密钥信息已经出来啦,只需要到网上找对应的脚本进行解密就可以了


参考资料:


https://www.52pojie.cn/thread-1128884-1-1.htmlhttps://blog.csdn.net/weixin_44677409/article/details/106650473https://www.jianshu.com/p/ecbee028022b


一个脚本让你的app自动吐出密钥信息


【火线短视频精选】



【周度激励】2021.8.2 ~ 2021.8.8公告


一个脚本让你的app自动吐出密钥信息



【相关精选文章】


vip业务权限漏洞挖掘入门姿势实战

ESP8266 wifi 汉化版固件界面存在xss注入


火线Zone是[火线安全平台]运营的封闭式社区,社区成员必须在[火线安全平台]提交有效漏洞才能申请免费加入,符合要求的白帽子可联系[火线小助手]加入。


我们不希望出现劣币驱逐良币的结果,我们不希望一个技术社区变成一个水区!


欢迎具备分享精神的白帽子加入火线Zone,共建一个有技术氛围的优质社区!


一个脚本让你的app自动吐出密钥信息

一个脚本让你的app自动吐出密钥信息

本文始发于微信公众号(火线Zone):一个脚本让你的app自动吐出密钥信息

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: