实战|一次APP密文Hook获取明文数据
2023-3-16 10:41:58 Author: HACK之道(查看原文) 阅读量:9 收藏

作者:绿盟科技

来源:https://forum.ezreal.cool/thread-67-1-2.html

在APP测试过程中,可能会遇到各种阻碍,如:
  1. Root检测,不能在root手机进行测试。

  2. 代理检测,无法代理抓包。

  3. 证书强校验,会出现“网络连接错误”等提示信息。

  4. 请求包的body部分被加密,使用AES、RSA等等。

那么在遇到这些情况的如何去应对?

目前比较好用的方法是Hook抓包,绕过一些检测校验。(逆向加密算法成本太高,比较费时间,这里加密函数是在native层的。)

本文将讲述APP在密文通信下,通过hook手段看到明文数据。

1.请求包密文参数hook:

打开某APP,登入抓包发现数据加密处理了,想办法搞明文:

使用app查看工具查看apk是否加固,最终验证是360加固。

然后使用了脱壳机进行脱壳,脱壳机拖出了很多dex文件,最终目的是想知道 “明文”、“密文”相关的函数在哪个dex文件(仅展示部分文件)。

下一步思考,进行简单的定位,分析请求包的body部分,观察iv参数,很像base64编码。

尝试使用base64解码,解码后的数据为 “5b567f680892474e”,这数据可能是AES算法的IV,十六进制的。

既然body的iv部分使用了base64编码,下一步立马想到对“某APP”进行base64的hook,因为他的request请求体部分肯定调用了base64加密,js代码如下:

Java.perform(function () {
    function showStacks() {
        console.log(
            Java.use('android.util.Log').getStackTraceString(
                Java.use('java.lang.Throwable').$new()
            )
        )
    }

    var base64 = Java.use("android.util.Base64");
    base64.encodeToString.overload('[B', 'int').implementation = function (a,b) {
        showStacks();
        console.log("base64.encodeToString: ", JSON.stringify(a));
        var result = this.encodeToString(a,b);
        console.log("base64.encodeToString: ",result)
        return result;
    };
});

Hook的结果,确实调用了android内置的base64方法,但是,结果和iv的不一样。进一步分析,他这个的base64是请求体cookie里面部分数据的base64结果,不是body部分的,所以加密和这块无关。

但是这一部分有价值,他的调用栈显示了整个调用过程,分析调用栈有个 “encryption” 字眼,第一印象,这估计就是加密函数,所以,下面根据调用栈的类名,定位脱壳后的dex文件(为什么要定位dex?因为脱壳后的dex文件太多,无法准确定位功能点)

通过上图调用栈,将encryption的类名进行全文搜索,关联到是5856160这个dex文件:

然后用jadx分析这个dex,发现都是方法a的重载

直接用objection批量hook,发现是调用了2个a方法,一个参数是“[object Object]”,另一个是“int, java.util.Map”:

针对上述两个方法进行hook,编写hook脚本:

Java.perform(function () {
    var name = "com.xxx.xx.util.encryption.c";
    var encrypt = Java.use(name);
    encrypt.a.overload('java.util.Map').implementation = function (obj) {
        console.log("parameter is : ", JSON.stringify(obj));
        var retval = this.a(obj);
        console.log("1 return value : ",retval);
        return retval;
    };

    encrypt.a.overload('int', 'java.util.Map').implementation = function (num, map) {
        console.log("first parameter : ",num);
        console.log("second parameter : ",JSON.stringify(map));
        var retval = this.a(num, map);
        console.log("2 return value : ", retval);
        return retval;

    };
});

然后运行打印,验证一下,一个是明文数据,一个是密文数据:

分析过程到此结束,即可看到明文数据。

2.响应数据hook

再进一步分析,然后发现com.xxx.xx.h.a方法有响应内容输出:

进入com.xxx.xx.h.a方法:

然后反编译dex文件,发现response关键字眼,代码中是将内容放入af的c方法中,下面看看af是什么:

发现af好像是kotlin的有一个底层库:(af是混淆后的名字)

然后用objection打印参数查看,确实有响应包的数据,下面直接hook这个kotlin模块:

编写hook脚本:

Java.perform(function () {

    var name = "com.xxx.xx.util.encryption.c";
    var encrypt = Java.use(name);
    encrypt.a.overload('java.util.Map').implementation = function (obj) {
        //console.log("parameter is : ", JSON.stringify(obj));
        var retval = this.a(obj);
        send(retval);
        var tmp;
        var op = recv('python_send', function(value) {
                console.log("修改完的数据:", value.payload);
                tmp=value.payload;
                return value.payload;
            }).wait();
        //console.log("op: ",op);
        return tmp;

    };

    var response = Java.use("kotlin.jvm.internal.af");
    response.c.overload('java.lang.Object', 'java.lang.String').implementation = function (obj, s) {
        var r = s.indexOf("try");
        //console.log("r = ", r);
        if (r!=-1) {
            console.log("result is ",)
            console.log("one param is ", obj);
            //console.log("two param is ", s);
        }

        var retval = this.c(obj,s);
        return retval;

    };

});

这里hook脚本js和python脚本联合,将请求发送到burpsuite,再通过burpsuite将修改后的数据回调进app进行后序操作,如下图:

正常的请求过程

Hook的过程:

这个过程中需要一个中转服务器,一个和burpsuite通信的脚本:(其中hook的语句写入了通信脚本里面,让其自动加载进去)。最终控制台输出明文数据。

测试截图:


文章来源: http://mp.weixin.qq.com/s?__biz=MzIwMzIyMjYzNA==&mid=2247509038&idx=1&sn=683c28c322182dc22c5262984166dbb2&chksm=96d05f2ba1a7d63d11cf595a86ea57605ecfe61706ad705bc4a1a962f89deb87fe517a36fa3d#rd
如有侵权请联系:admin#unsafe.sh