php模拟app下单,使用unidbg模拟某app协议

2023-11-29 23:10
文章标签 使用 协议 app php 模拟 下单 unidbg

本文主要是介绍php模拟app下单,使用unidbg模拟某app协议,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

摊手,缺cb,从博客搬点旧文,大伙看看图一乐就行,都是水文,只发布过于个人博客,算是原创吧(app版本已经更新,文中方法不适用,只是作为上手unidbg的入门case)

看了四哥的帖子,有点手痒,就来自己试一试分析下最右的协议

抓包与初步分析

5f607083f3224d4ba49ed91450fcb89c.png

可以看到在登录页面发送的请求中,有一个sign值,在post的字段中,有手机号,密码的md5值,以及设备的部分信息,具体情况马上继续分析,拖入jadx中,无壳无混淆(只能挑这种软柿子捏了),搜索sign,找到生成签名的java层函数

7070c340a46c034fb2f65fc95050601a.png

可以看到,sign主要来自于native层的generateSign函数,先不分析so,继续摸索摸索

e06fa517e9d51166c17d5527ec4c2d99.png

e9a04359eeb1085c8bda8d6a7db4faae.png

可以看出只是对密码进行了md5操作

16bff4cb49f586dd7a740a54429863e0.png

各个字段的具体含义也知道了,在分析过程中,只需要关心每次登陆过程中变化的值,先写段hook代码,将NetCrypto类的a函数的参数与运算结果hook出来,确认下结果

bce818d65a2454e050f7b711ccd73377.png

可以看到,在两次发送登陆请求包的过程中,主要的不同是h_ts字段,这个字段的值来源于currentTimeMillis,别的字段在登录过程中目前是不变的,经过验证,我们确定了这个函数就是签名生成的函数

public class RightHook implements IXposedHookLoadPackage{

public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {

XposedHelpers.findAndHookMethod(Application.class, "attach", Context.class, new XC_MethodHook()

{ @Override

protected void afterHookedMethod(XC_MethodHook.MethodHookParam param) throws Throwable {

ClassLoader cl = ((Context)param.args[0]).getClassLoader();

Class> hookclass = null;

try {

hookclass = cl.loadClass("cn.xiaochuankeji.netcrypto.NetCrypto");

}

catch (Exception e)

{

Log.e("123", "寻找报错", e);

return;

}

Log.i("123", "寻找成功");

XposedHelpers.findAndHookMethod(hookclass, "a",

String.class,

String.class,

new XC_MethodHook()

{ //进行hook操作

protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

super.beforeHookedMethod(param);

XposedBridge.log("xposed  str :" + param.args[0]);

XposedBridge.log("xposed  str2 :" + param.args[1]);

}

});

XposedHelpers.findAndHookMethod(hookclass, "a",

String.class,

String.class,

new XC_MethodHook() {

@Override

protected void afterHookedMethod(MethodHookParam param) throws Throwable {

super.afterHookedMethod(param);

XposedBridge.log("xposed getSign :"+param.getResult());

}

});

}

});

}

}

Hook代码也没什么好说的,主要就是这个app属于multiDex,需要先hook attach拿到上下文才能hook到目标函数,接下来就可以去so层分析函数了

分析so

将app解压并且取出里面的libnet-crypto.so并拖入ida分析,直接去看jniOnload函数

019506f888c76d18726c5c0ea6b298c3.png

没有看到registNative的参数,可以直接去汇编里观察下

b6e1ffd6481197cf26d1ea48ee6008a4.png

8d8c2e01961c86100261d39a0dc74be1.png

注册的generateSign函数地址为4976

8fe209ba6f031aebbc1413bcab155a16.png

初步把加密算法的核心部分定位在sub50,算法的具体分析可以看四哥的帖子,这里主要还是练手下unicorn

x右的库不仅仅注册了一个生成签名的算法,而且注册了一个native_init函数进行了初始化,在调用getsign算法前还是得先调用下初始化函数

package com.com.zuiyou;

import cn.banny.unidbg.LibraryResolver;

import cn.banny.unidbg.Module;

import cn.banny.unidbg.arm.ARMEmulator;

import cn.banny.unidbg.file.FileIO;

import cn.banny.unidbg.file.IOResolver

import cn.banny.unidbg.linux.android.AndroidARMEmulator;

import cn.banny.unidbg.linux.android.AndroidResolver;

import cn.banny.unidbg.linux.android.dvm.*;

import cn.banny.unidbg.memory.Memory;

import org.apache.log4j.Level;

import java.io.File;

public class Nmsl   extends AbstractJni implements IOResolver {

private static LibraryResolver createLibraryResolver() {

return new AndroidResolver(23);

}

@Override

public FileIO resolve(File workDir, String pathname, int oflags) {

return null;

}

private static ARMEmulator createARMEmulator() {

return new AndroidARMEmulator("com.zuiyou");

}

private static final String APK_PATH = "src/test/resources/app/zuiyou.apk";

private final ARMEmulator emulator;

private final VM vm;

private final Module module;

private final DvmClass Nmsl;

private Nmsl() throws IOException {

emulator = createARMEmulator();

emulator.getSyscallHandler().addIOResolver(this);

System.out.println("== init ===");

final Memory memory = emulator.getMemory();

memory.setLibraryResolver(createLibraryResolver());

memory.setCallInitFunction();

vm = emulator.createDalvikVM(new File(APK_PATH));

vm.setJni(this);

DalvikModule dm = vm.loadLibrary("net_crypto", false);

dm.callJNI_OnLoad(emulator);

module = dm.getModule();

Nmsl = vm.resolveClass("cn/xiaochuankeji/netcrypto/NetCrypto");

}

//析构函数

private void destroy() throws IOException {

emulator.close();

System.out.println("destroy");

}

//主函数

public static void main(String[] args) throws Exception {

Nmsl test = new Nmsl();

test.GetSign();

test.destroy();

}

private void GetSign() throws IOException {

//申请参数空间

String str="{\"size\":\"big\",\"version\":0,\"h_av\":\"4.1.6\",\"h_dt\":0,\"h_os\":22,\"h_app\":\"zuiyou\",\"h_model\":\"vivo v3\",\"h_did\":\"865166029899062_00:81:81\",\"h_nt\":1,\"h_m\":172480973,\"h_ch\":\"zuiyou\",\"h_ts\":1577500409477,\"token\":\"T2K2NvcwR06ehMlhs2CXF-xHH5Eks5Haq0WiU-KKv22mArxaNmXoWiycBZdigmZJE7h3k\"}";

//调用函数generateSign(Ljava/lang/String;)Ljava/lang/String;

Nmsl.callStaticJniMethod(emulator,"native_init()V");

Number ret =Nmsl.callStaticJniMethod(emulator,"generateSign([B)Ljava/lang/String;",

vm.addLocalObject(new ByteArray(str.getBytes())),23);

long hash = ret.intValue() & 0xffffffffL;

StringObject obj = vm.getObject(hash);

//vm.deleteLocalRefs();

System.out.println(obj.getValue());

}

}

最终结果

这篇关于php模拟app下单,使用unidbg模拟某app协议的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!


http://www.chinasem.cn/article/434695

相关文章

python中的flask_sqlalchemy的使用及示例详解

python中的flask_sqlalchemy的使用及示例详解

《python中的flask_sqlalchemy的使用及示例详解》文章主要介绍了在使用SQLAlchemy创建模型实例时,通过元类动态创建实例的方式,并说明了如何在实例化时执行__init__方法,... 目录@orm.reconstructorSQLAlchemy的回滚关联其他模型数据库基本操作将数据添
阅读更多...
Spring配置扩展之JavaConfig的使用小结

Spring配置扩展之JavaConfig的使用小结

《Spring配置扩展之JavaConfig的使用小结》JavaConfig是Spring框架中基于纯Java代码的配置方式,用于替代传统的XML配置,通过注解(如@Bean)定义Spring容器的组... 目录JavaConfig 的概念什么是JavaConfig?为什么使用 JavaConfig?Jav
阅读更多...
Java使用Spire.Doc for Java实现Word自动化插入图片

Java使用Spire.Doc for Java实现Word自动化插入图片

《Java使用Spire.DocforJava实现Word自动化插入图片》在日常工作中,Word文档是不可或缺的工具,而图片作为信息传达的重要载体,其在文档中的插入与布局显得尤为关键,下面我们就来... 目录1. Spire.Doc for Java库介绍与安装2. 使用特定的环绕方式插入图片3. 在指定位
阅读更多...
Springboot3 ResponseEntity 完全使用案例

Springboot3 ResponseEntity 完全使用案例

《Springboot3ResponseEntity完全使用案例》ResponseEntity是SpringBoot中控制HTTP响应的核心工具——它能让你精准定义响应状态码、响应头、响应体,相比... 目录Spring Boot 3 ResponseEntity 完全使用教程前置准备1. 项目基础依赖(M
阅读更多...
Java使用Spire.Barcode for Java实现条形码生成与识别

Java使用Spire.Barcode for Java实现条形码生成与识别

《Java使用Spire.BarcodeforJava实现条形码生成与识别》在现代商业和技术领域,条形码无处不在,本教程将引导您深入了解如何在您的Java项目中利用Spire.Barcodefor... 目录1. Spire.Barcode for Java 简介与环境配置2. 使用 Spire.Barco
阅读更多...
Android使用java实现网络连通性检查详解

Android使用java实现网络连通性检查详解

《Android使用java实现网络连通性检查详解》这篇文章主要为大家详细介绍了Android使用java实现网络连通性检查的相关知识,文中的示例代码讲解详细,感兴趣的小伙伴可以跟随小编一起学习一下... 目录NetCheck.Java(可直接拷贝)使用示例(Activity/Fragment 内)权限要求
阅读更多...
C# 预处理指令(# 指令)的具体使用

C# 预处理指令(# 指令)的具体使用

《C#预处理指令(#指令)的具体使用》本文主要介绍了C#预处理指令(#指令)的具体使用,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学... 目录1、预处理指令的本质2、条件编译指令2.1 #define 和 #undef2.2 #if, #el
阅读更多...
C#中Trace.Assert的使用小结

C#中Trace.Assert的使用小结

《C#中Trace.Assert的使用小结》Trace.Assert是.NET中的运行时断言检查工具,用于验证代码中的关键条件,下面就来详细的介绍一下Trace.Assert的使用,具有一定的参考价值... 目录1、 什么是 Trace.Assert?1.1 最简单的比喻1.2 基本语法2、⚡ 工作原理3
阅读更多...
C# IPAddress 和 IPEndPoint 类的使用小结

C# IPAddress 和 IPEndPoint 类的使用小结

《C#IPAddress和IPEndPoint类的使用小结》本文主要介绍了C#IPAddress和IPEndPoint类的使用小结,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定... 目录一、核心作用网络编程基础类二、IPAddress 类详解三种初始化方式1. byte 数组初始化2. l
阅读更多...
C语言逗号运算符和逗号表达式的使用小结

C语言逗号运算符和逗号表达式的使用小结

《C语言逗号运算符和逗号表达式的使用小结》本文详细介绍了C语言中的逗号运算符和逗号表达式,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习... 在C语言中逗号“,”也是一种运算符,称为逗号运算符。 其功能是把两个表达式连接其一般形式为:表达
阅读更多...

Copyright China编程 23002807@qq.com

沪ICP备2023033072号-2