Hybrid Android协议加解密分析

admin 2022年4月11日08:45:32评论23 views字数 5010阅读16分42秒阅读模式

前言


App渗透再次遇到加解密,并且这次具体分析与以往状况有点不太一样,于是记录下来。


抓包分析


POST /app/fsOrder/getAllFsOrderListByUser/ HTTP/1.1accept: application/jsonauthorization: Bearertimestamp: 1567065637961Content-Type: application/json; charset=utf-8Content-Length: 256Host: xxx.comConnection: closeUser-Agent: okhttp/3.6.0
{"data":"WmPKAOqVK3nmj2751oQM/1fyZJ/QQIMe2itv4LufWyk87WgwkJScqu68J/IQX1Pr","key":"LywemIhGqlzqDBOXOPxdY+nifhoq2lBILu2N6WUpJ/4Hrp5W4ihHO1vQuw0joHV6JiiFNzP1+j9hqp1VzmZoboHqRa411BltsuxjEmEMyIJqWK/zDKK+jBreRLH5bXCQOm4gYzHMFY6rob7aC8NhfFhc1r9hfIozhoIK2vbzIUc="}

可以看到请求包中数据都做了加密,分别有"data"和"key"两个字段。可以大胆猜测data为请求的数据,而key应该是加密data的密钥。惯用手段是用随机值作为key加密数据作为data,而这个随机值key又以一种固定密钥的加密方式加密之后一并附加到请求包中。而这里明显key的字段远远长于data字段,明显是两种很不一样的加密算法,而返回包也差不多。

HTTP/1.1 200 OKDate: Thu, 29 Aug 2019 08:00:22 GMTContent-Type: application/json;charset=UTF-8Content-Length: 216Connection: close
{"data":"nt4BMbi2d7oZ/bFg5mwe2w==","key":"o72x8DRL62zUVojRxEsUEP5w2Aa6BXWAZqo8sAFSK9sK47YiGewIIl9LCa1OQ6JgoXn+jVUdENfPSilBBEVwyaJeFFiJ/H24/flwqV/6nVT7YXdvly5dtdXeU6b6iHdpAHtDuaTxy7YJBstNQMo+mB4F6tGvx5D4TK7zpXIMAZk="}


逆向分析Java代码


关键词搜索

因为key和data比较常见搜索结果肯定大多都是第三方SDK的引用,先搜索一下路由getAllFsOrderListByUser,奇怪的是并没有任何搜索结果。于是只能搜索"key"和"data",果不其然搜索结果都太多了。


Hybrid Android协议加解密分析

多归多正常来说都能在搜索结果找到一些蛛丝马迹,但是这里发现全都是第三方SDK的引用,仔细一看发现主程序的代码少得可怜,并且注意到MainActivity继承了facebook的ReactActivity。


import com.facebook.react.ReactActivity;
public class MainActivity extends ReactActivity { /* access modifiers changed from: protected */ public String getMainComponentName() { return "SafetyMonitoring"; }}


再结合assets资源目录来看这个app是采用了Hybrid开发模式,部分逻辑写在了javascript上。但这也不意味着加解密就一定在js上面,Google了一下好像还有js调用Android接口的说法,所以这个真的不好直接判断。


但无论如何还是先从Java代码找起,搜索一下常见的加解密函数字段AES、DES、RSA等

Hybrid Android协议加解密分析


alipay.security里的Cipher加解密吸引了我,而且这里还有一些硬编码字段,一度让我以为这就是密钥。追踪一下函数的调用关系,似乎没有找到调用的痕迹,继续分析也无果。


方法剖析Method Profiling

避免其他函数的混淆,我在登陆过程中抓取函数调用栈,看了很久看到com.loc.n.a这里似乎有调用什么方法进行加解密(特别这种命名不清不楚的函数更让人值得关注)

Hybrid Android协议加解密分析


根据Method Profiling调用栈可以清晰的找到函数调用和被调用关系,这种方式我觉得是定位函数最实在的方法。在分析的时候发现某个函数没法正常反编译成java代码。


a(r2, r0)     // Catch:{ Throwable -> 0x00ed }            byte[] r0 = r2.toByteArray()     // Catch:{ Throwable -> 0x00ed }            byte[] r3 = com.loc.w.b(r0)     // Catch:{ Throwable -> 0x00ed }            java.security.PublicKey r0 = com.loc.w.d()     // Catch:{ Throwable -> 0x00ed }            int r4 = r3.length     // Catch:{ Throwable -> 0x00ed }            if (r4 <= r5) goto L_0x00bf            r4 = 117(0x75, float:1.64E-43)            byte[] r4 = new byte[r4]     // Catch:{ Throwable -> 0x00ed }            r5 = 0            r6 = 0            r7 = 117(0x75, float:1.64E-43)            java.lang.System.arraycopy(r3, r5, r4, r6, r7)     // Catch:{ Throwable -> 0x00ed }            byte[] r4 = com.loc.q.a(r4, r0)     // Catch:{ Throwable -> 0x00ed }            int r0 = r3.length     // Catch:{ Throwable -> 0x00ed }


动态调试

突然被问到为什么不直接动态调试因为apk没有也加固,一调试就知道是不是在java层做加密了,于是根据Method Profiling定位到的函数下断点调试

Hybrid Android协议加解密分析


但是奇怪的是再次点击登陆居然没有断下来!Method Profiling抓取到的讲道理应该一定有被调用才对。


到这里大概可以确定加解密是在前端而不是android里面实现了,但是不死心我还是Hook来验证一下,直接hook Javax的Cipher函数,如果有调用的话日志应该就会打印Cipher加密的方式以及密钥key,然而无果。


前端JavaScript分析


搜索


如果真的确定加解密函数在Javascript代码里面的话,事情就变得简单起来了(其实也没有很简单)。对javascript不是特别熟悉,并且也没有办法动态调试Javascript,没有可靠的定位函数的方法,所以也能靠瞎几把搜索。如果对javascript比较熟悉其实可以根据javascript加解密函数名去搜索,大概会稍微比较快,而我这里先根据文件名来看比如这里的jsencrypt.js


Hybrid Android协议加解密分析


还好这里JavaScript代码不是特别多,结合grep和find全局搜索一下文件名和函数定位到了utils.js


.//assets/XXX/js/utils.js:function AESencrypt(text,key) {.//assets/XXX/js/utils.js:  var value =AESencrypt(body,key);.//assets/XXXCompany/js/utils.js:function AESencrypt(text,key) {.//assets/XXXCompany/js/utils.js:   var value =AESencrypt(body,key);.//assets/XXX/js/urlLoction.js:function AESencrypt(text,key) {


并找到了加解密函数以及RSA publicKey和secretKey同时硬编码在js文件里

function AESencrypt(text,key) {    var result = CryptoJS.AES.encrypt(CryptoJS.enc.Utf8.parse(text),CryptoJS.enc.Utf8.parse(key),{        mode:CryptoJS.mode.ECB,        padding:CryptoJS.pad.Pkcs7,    });    return result.toString();};function AESdecrypt(text,key) {    var result = CryptoJS.AES.decrypt(text,CryptoJS.enc.Utf8.parse(key),{        mode:CryptoJS.mode.ECB,        padding:CryptoJS.pad.Pkcs7,    });    return result.toString(CryptoJS.enc.Utf8)};function RSAencrypt(text) {    var rsaEn = new JSEncrypt();    rsaEn.setPrivateKey(rsaPubKey);     var enc = rsaEn.encrypt(text);    return enc;};function RSAdecrypt(text) {    var rsaDn = new JSEncrypt();    rsaDn.setPublicKey(rsaprivateKey2);
var dec = rsaDn.decrypt(text); return dec;}


加解密逻辑


var timeS = new Date().getTime();var key = '';key += timeS+'123sadsof313r24rsd';if (key.length > 16) {    key = key.substring(0,16);}var rsaKey = RSAencrypt(key);var body = dataConter;var value =AESencrypt(body,key);var newBody = JSON.stringify({    data:value,    key:rsaKey,});


success: function (data, status) {    if (status == 'success') {        var aaPwd = RSAdecrypt(data.key);        var aaData =AESdecrypt(data.data,aaPwd);        var newRes = JSON.parse(aaData);    // successCallBack(data);    // console.log(newRes)    if(newRes.code==401){        window.postMessage(['login401']);    } else{        successCallBack(newRes);    }}},

细节分析


  1. rsaEn.setPrivateKey(rsaPubKey) RSAEncode这里用公钥作为私钥encode了,一开始没注意还真就用了私钥尝试去解。


  2. 这里逻辑也很明了,发包的数据用13位的timestamp+"123"作为密钥key进行AES ECB加密,并且将AES的key进行RSA加密发送到服务器。返回包中,先RSA解密key字段获取AES加密的key,再对data字段进行AES解密。


  3. 本地js找加解密的时候也猜想过一种情况,客户端有没有可能先从服务端获取加解密的js文件(这样本地也找不到加解密函数)。为了排除这种想法,要仔细看burp抓取的数据包,有没有对应的js文件。


  4. 又能愉快的对移动app进行渗透测试了。


来源:先知(https://xz.aliyun.com/t/11096)

注:如有侵权请联系删除


Hybrid Android协议加解密分析


船山院士网络安全团队长期招募学员,零基础上课,终生学习,知识更新,学习不停!包就业,护网,实习,加入团队,外包项目等机会,月薪10K起步,互相信任是前提,一起努力是必须,成就高薪是目标!相信我们的努力你可以看到!想学习的学员,加下面小浪队长的微信咨询!



Hybrid Android协议加解密分析

欢迎大家加群一起讨论学习和交流
(此群已满200人,需要添加群主邀请)

Hybrid Android协议加解密分析

坎坎坷坷的是路,

永不停歇的是脚步。



原文始发于微信公众号(衡阳信安):Hybrid Android协议加解密分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月11日08:45:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Hybrid Android协议加解密分析http://cn-sec.com/archives/897239.html

发表评论

匿名网友 填写信息