Brida加解密入门学习

2021年4月30日20:29:01评论214 views字数 6030阅读20分6秒阅读模式

—

前言

Brida是BurpSuite的一个插件，它可以将Burp和Frida结合起来使用，可以在BurpSuite中直接调用目标应用程序中的加/解密函数，可以根据你的需求修改移动端APP与服务器的通信流量。通过编写简单的js脚本调用APK自身加密解密函数，可以实现一键加密解密操作。

—

实验环境

实验环境：JDK11、WIN10、python2.7工具：Brpsuite2020、安卓模拟器

环境自行安装，需要配置好环境变量。所需要的工具以及环境均以打包，到文末获取下载链接即可。

1.安装frida

解压好相关文件，先将frida-14.2.2-py2.7-win-amd64.egg文件放到C盘用户目录，目的是加快frida安装速度。

pip2 install fridapip2 install frida-toolspip2 install pyro4

2.配置服务端

adb是安卓调试桥，工具在模拟器安装目录下。通过命令 adb shell 进入交互界面：

Brida加解密入门学习

通过adb将frida-server86文件移动到内部目录/data/local/tmp：

abd push frida-server64 /data/local/tmp

给文件配置权限并启动：

chmod 777 frida-server64./frida-server64

Brida加解密入门学习

3.Adb端口转发：

adb forward tcp:27042 tcp:27042adb forward tcp:27043 tcp:27043

Brida加解密入门学习

利用命令 frida-ps -U 可以查看在运行的进程：

Brida加解密入门学习

4.模拟器配置burpsuite代理：

Brida加解密入门学习

5.burpsuite安装brida

有两种安装方式，一种是在BApp Stores中进行在线安装(最新版)；另一钟是本地安装，如下：

Brida加解密入门学习

环境配置好后点击运行，没有报错即可。

Brida加解密入门学习

—

实例学习

1.环境启动

将APP的服务端文件放到Phpstudy中，启动环境并成功访问即可

Brida加解密入门学习

在模拟器中利用命令 adb install -t eseBrida.apk 安装eseBrida.apk文件

Brida加解密入门学习

打开APP并配置服务端连接地址：

Brida加解密入门学习

填写admin/123456进行抓包，账号密码以及返回信息均经过加密：

Brida加解密入门学习

2.寻找加解密函数

利用反编译APP得到源码，定位加密算法位置

Brida加解密入门学习

接着跟进AesEncryptionBase64出现的位置

Brida加解密入门学习

继续跟进eseeServer.AesKey的位置，发现硬编码加密密钥AesKey的值。

Brida加解密入门学习

了解它的加密过程后，看看服务端的代码：

<?php  //加解密  class Security {      private static function pkcs5_pad ($text, $blocksize) {              $pad = $blocksize - (strlen($text) % $blocksize);              return $text . str_repeat(chr($pad), $pad);          }       public static function encrypt($input, $key) {         $size = mcrypt_get_block_size(MCRYPT_RIJNDAEL_128, MCRYPT_MODE_ECB);         $input = Security::pkcs5_pad($input, $size);         $td = mcrypt_module_open(MCRYPT_RIJNDAEL_128, '', MCRYPT_MODE_ECB, '');         $iv = mcrypt_create_iv (mcrypt_enc_get_iv_size($td), MCRYPT_RAND);         mcrypt_generic_init($td, $key, $iv);         $data = mcrypt_generic($td, $input);         mcrypt_generic_deinit($td);         mcrypt_module_close($td);         $data = base64_encode($data);         return $data;       }          public static function decrypt($sStr, $sKey) {              $decrypted = mcrypt_decrypt(MCRYPT_RIJNDAEL_128,$sKey,base64_decode($sStr),MCRYPT_MODE_CBC);              $dec_s = strlen($decrypted);              $padding = ord($decrypted[$dec_s-1]);              $decrypted = substr($decrypted, 0, -$padding);              return $decrypted;          }  }
   error_reporting(0);//加上error_reporting(0);就不会弹出警告了      //post方式  秘钥与Android端一致    $privateKey = "9876543210123456";
    //获取Android 端传输来的json数据    $json = file_get_contents("php://input");    $data = json_decode($json, true);
   $resname = $data['username'];   $respasswd = $data['password'];
    $name = Security::decrypt($resname, $privateKey);    $passwd = Security::decrypt($respasswd, $privateKey);  //echo "------".$name."--------".$passwd."-------n";
    if($name=="admin" and $passwd =="654321"){      $data = Security::encrypt("login_success", $privateKey);        echo $data;    }else{      $data1 = Security::encrypt("error", $privateKey);      echo $data1;    }?>

后端拿到加密数据后，会用和客户端相同key进行解密。如果提交的口令不等于admin/654321那么返回加密后的“error”值，否则返回加密后的“login_success”值。其实brida提供了“插桩”操作，会自动化列出进程中类，方便我们将可疑的函数hook住。有概率可以找到正确的加解密函数。

Brida加解密入门学习

3.编写brida对应的脚本eseScript.js：

'use strict';
// 1 - FRIDA EXPORTSrpc.exports = {    exportedFunction: function() {    },        //AesEncryptionBase64 encrypt    contextcustom1: function (message) {    console.log("Brida start :0--->" + message);    var data = hexToString(message)    console.log("Brida start :1--->" + data);    var enc;    Java.perform(function () {      try {        var key = "9876543210123456";        var text = data;        //hook class        var AesEncryptionBase64 = Java.use('com.ese.http.encrypt.AesEncryptionBase64');        console.log("Brida start : AesEncryptionBase64 ---> success");        console.log("Brida start : encrypt before--->"+text);        //hook method        enc = AesEncryptionBase64.encrypt(key,text);        console.log("Brida start : encrypt after--->"+enc);
      } catch (error) {        console.log("[!]Exception:" + error.message);      }    });    return stringToHex(enc);  },
  //AesEncryptionBase64 decrypt  contextcustom2: function (message) {    console.log("Brida start :0--->" + message);    var data = hexToString(message)    console.log("Brida start :1--->" + data);    var text;    Java.perform(function () {      try {        var key = "9876543210123456";        var enc = data;        //hook class        var AesEncryptionBase64 = Java.use('com.ese.http.encrypt.AesEncryptionBase64');        console.log("Brida start : AesEncryptionBase64 ---> success");        console.log("Brida start : decrypt before--->"+enc);        //hook method        text = AesEncryptionBase64.decrypt(key,enc);        console.log("Brida start : decrypt after--->"+text);      } catch (error) {        console.log("[!]Exception:" + error.message);      }    });    console.log("Brida start : decrypt after--->"+stringToHex(text));    return stringToHex(text);  },    //AesEncryptionBase64 encrypt  contextcustom3: function (message) {    console.log("Brida start :0--->" + message);    var data = hexToString(message)    console.log("Brida start :1--->" + data);    var enc;    Java.perform(function () {      try {        var key = "9876543210123456";        var text = data;        //hook class        var AesEncryptionBase64 = Java.use('com.ese.http.encrypt.AesEncryptionBase64');        console.log("Brida start : AesEncryptionBase64 ---> success");        console.log("Brida start : encrypt before--->"+text);        //hook method        enc = AesEncryptionBase64.encrypt(key,text);        console.log("Brida start : encrypt after--->"+enc);
      } catch (error) {        console.log("[!]Exception:" + error.message);      }    });    return stringToHex(enc);  },
  //AesEncryptionBase64 decrypt  contextcustom4: function (message) {    console.log("Brida start :0--->" + message);    var data = hexToString(message)    console.log("Brida start :1--->" + data);    var text;    Java.perform(function () {      try {        var key = "9876543210123456";        var enc = data;        //hook class        var AesEncryptionBase64 = Java.use('com.ese.http.encrypt.AesEncryptionBase64');        console.log("Brida start : AesEncryptionBase64 ---> success");        console.log("Brida start : decrypt before--->"+enc);        //hook method        text = AesEncryptionBase64.decrypt(key,enc);        console.log("Brida start : decrypt after--->"+text);      } catch (error) {        console.log("[!]Exception:" + error.message);      }    });    console.log("Brida start : decrypt after--->"+stringToHex(text));    return stringToHex(text);  },
  getplatform: function () {    if (Java.available) {      return 0;    } else if (ObjC.available) {      return 1;    } else {      return 2;    }
  }
}

// Convert a ASCII string to a hex stringfunction stringToHex(str) {    return str.split("").map(function(c) {        return ("0" + c.charCodeAt(0).toString(16)).slice(-2);    }).join("");}
// Convert a hex string to a ASCII stringfunction hexToString(hexStr) {    var hex = hexStr.toString();//force conversion    var str = '';    for (var i = 0; i < hex.length; i += 2)        str += String.fromCharCode(parseInt(hex.substr(i, 2), 16));    return str;}

4.brida解密

Brida中选择编写好的js脚本文件和包名，启动服务

Brida加解密入门学习

勾选密文，右键选择Brida Custom2进行解密

Brida加解密入门学习

得到的明文信息和之前输入的一致

Brida加解密入门学习选中返回的密文信息，右键选择BridaCustom4，得到明文信息“error”

Brida加解密入门学习

当我们输入正确口令admin /654321时，显示登录成功

Brida加解密入门学习

参考：

https://bwshen.blog.csdn.net/article/details/102691898

END

—

这是学渣成长之路的第 12 篇文章。

需要学习实例以及环境的小伙伴公众号回复“00003”

本文始发于微信公众号（WhITECat安全团队）：Brida加解密入门学习

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Brida加解密入门学习

安卓逆向 Android SO文件加载过程探究

使用 Frida 拦截 Flutter 中的 HTTPS 通信

对某旅行APP的逆向分析

Android 内核历险记：深入了解编译、定制和应用程序分析

安卓逆向2025 Frida学习之ollvm分析（三）

安卓壳学习记录（上）

安卓逆向2025 Frida学习之ollvm分析（一）

某银行员工维修APP渗透测试总结

Android13 安装 yakit 证书

安卓逆向某app signature参数分析

发表评论

在线咨询

微信