andriod逆向入门 | JEB静态分析APK

admin

140350
文章

117
评论

2024年5月17日19:04:58评论18 views字数 3711阅读12分22秒阅读模式

扫码领资料

获网安教程

andriod逆向入门 | JEB静态分析APK

本文由掌控安全学院 - 我是大白投稿

JEB反编译APK-静态审计，找到加密算法

参考来源：https://blog.csdn.net/weixin_38819889/article/details/108910525

apk来源：https://app5.scrape.center/

软件&工具：JEB / 雷电模拟器 / burpsuite

声明：scrape.center是一个爬虫逆向练习网站，本文仅做学习交流使用，并未进行渗透测试，切勿用作其他用途。

抓包分析

模拟器设置好代理之后，安装APK，通过burp对APK进行抓包：

通过抓包，我们可以看到，APK会去请求/api/movie这个URL，然后会返回一些JSON格式数据，从数据上可以看到，正是我们APK运行之后的展现出来的电影名字等信息。

我们将请求包发送到Repeater，重放后发现会弹出401未认证，并且尝试将token字段和值删除后，同样如此，因此在这个请求中，我们可以知道：

token字段是必须的
token字段可能含有时间戳等信息
token字段经过了加密

接下来，我们对此APK进行逆向分析，尝试将token的加密算法找出来，然后尝试编写脚本来绕过。

JEB静态分析

将APK拖入JEB之后,JEB会自动进行反编译：

刚拖入之后，只会展示出反编译的smali代码，这个时候我们该如何下手？

通过观察我们可以得知，在URL中存在一些特征字符串，比如/api/movie，我们可以通过搜索特征字符串，进行快速定位，在smali代码窗口 ctrl+F打开查找窗口，直接查找/api/movie

.field public static final indexPath:String = "/api/movie"

可以看到，从大致的英文上看，是声明一个静态的String类型变量，变量名为indexPath，值为/api/movie，不懂的话也可以问AI，静态的话一般是叫做常量，不可更改。

但是smali代码对于我们来说还是比较难理解，因此我们可以将它解析成java代码，方便我们阅读：选中这一行，右键-> Decomplie/解析

在右侧会新开一个窗口，其中是解析后的java代码：

package com.goldze.mvvmhabit.data.source.http.service;import io.reactivex.Observable;import retrofit2.http.GET;import retrofit2.http.Query;public interface MovieApiService {    public static final String indexPath = "/api/movie";    @GET("/api/movie")    Observable index(@Query("offset") int arg1, @Query("limit") int arg2, @Query("token") String arg3);}

从大致意思上也能看出，是发送GET请求，路径为/api/movie ,请求参数为offset,limit,token，而这正好与我们burp抓到的请求包相对应。

这里我们可以看到，offset,limit,token三个参数给到了index这个方法，那么我们跟进index这个方法，看看它是如何实现并处理参数的，选中index，右键->corss-references / 交叉引用

此时会弹出窗口，查找引用它的地方，我们选中它，然后点OK进行跳转

public Observable index(int arg3, int arg4) {            ArrayList v1 = new ArrayList();            v1.add("/api/movie");            String v0 = Encrypt.encrypt(v1);            return this.apiService.index((arg3 - 1) * arg4, arg4, v0);    }

可以看到index的逻辑，新建了一个动态数组v1,然后向v1中添加一个元素/api/movie，然后通过encrypt方法进行处理，从名字上可以看出是一个加密方法，给到v0，从传参上分析可以得知，arg3为offset，arg4为limit，那么v0就是token了，因此，我们需要分析encrypt方法是如何对v1进行处理的，同时我们可以看到encrypt方法是通过Encrypt对象进行调用的，因此一定有一个实现Encrypt对象的Encrypt类，因此选中Encrypt，查看交叉引用：

package com.goldze.mvvmhabit.utils;import android.text.TextUtils;import android.util.Base64;import java.security.MessageDigest;import java.security.NoSuchAlgorithmException;import java.sql.Timestamp;import java.util.ArrayList;import java.util.List;public class Encrypt {    public static String bytes2Hex(byte[] arg5) {        String v0 = "";        int v1;        for(v1 = 0; v1 < arg5.length; ++v1) {            String v2 = Integer.toHexString(arg5[v1] & 0xFF);            if(v2.length() == 1) {                v0 = v0 + "0";            }            v0 = v0 + v2;        }        return v0;    }    public static String encrypt(List arg4) {        String v0 = String.valueOf(new Timestamp(System.currentTimeMillis()).getTime() / 1000L);  // 时间戳        arg4.add(v0);  // arg4 = ['/api/movie','时间戳']        String v4 = Encrypt.shaEncrypt(TextUtils.join(",", arg4)); // 字符串拼接后加密        ArrayList v1 = new ArrayList();        v1.add(v4);        v1.add(v0);  // v1 = [sha1(v4),‘时间戳’]        return Base64.encodeToString(TextUtils.join(",", v1).getBytes(), 0); // return base64((v4,时间戳)) , 0表示没有任何标志位    }    public static String shaEncrypt(String arg1) {  // sha1加密        try {            MessageDigest v0 = MessageDigest.getInstance("SHA-1");            v0.update(arg1.getBytes());            return Encrypt.bytes2Hex(v0.digest());        }        catch(NoSuchAlgorithmException unused_ex) {            return null;        }    }}

总体分析程序可以得知，token=base64(sha1('/api/movie,时间戳') + ','+时间戳)

因此，我们可以编写脚本，来生成对应的token，然后发送请求，来获取数据

import hashlibimport base64import timeimport requestsurl = "https://xxx/api/movie/?offset={offset}&limit={limit}&token={token}"offset = 0limit = 100v4 = ['/api/movie']def gen_token(v4):    timestamp = str(int(time.time()))    v4.append(timestamp)    str_sha = hashlib.sha1(','.join(v4).encode('utf-8')).hexdigest()    str_bases = base64.b64encode(','.join([str_sha,timestamp]).encode('utf-8')).decode('utf-8')    return str_basestoken = gen_token(v4)url = url.format(offset=offset,limit=limit,token=token)res = requests.get(url)print(res.text)# print(url)# print(gen_token(v4))

最终效果：成功返回数据。

申明：本公众号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，

所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法.

andriod逆向入门 | JEB静态分析APK

没看够~？欢迎关注！

分享本文到朋友圈，可以凭截图找老师领取

上千教程+工具+靶场账号哦

andriod逆向入门 | JEB静态分析APK

原文始发于微信公众号（掌控安全EDU）：andriod逆向入门 | JEB静态分析APK

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

andriod逆向入门 | JEB静态分析APK

JEB反编译APK-静态审计，找到加密算法

抓包分析

JEB静态分析

记一次小米-root+简易app抓包(新手)

反编译小程序、数据加密解密、sign值绕过

魔改Frida方案浅析

安卓逆向某Video Pro版修改思路

AOSP OTA签名验证漏洞——如何绕过Android系统更新包的安全检查？

微信小程序渗透实战：30个高阶技巧深度解析

安卓逆向某字母站XHS frida检测分析绕过

教育局小程序渗透至SQL注入

深入浅出：安卓APP安全测试实战

在南京，我们聊了聊鸿蒙原生应用安全的冰与火之歌

发表评论

在线咨询

微信