本篇博客旨在记录学习过程,不可用于商用等其它途径
入口
小组里面全部讨论数据列表
抓包
根据抓包结果,_sig
参数是动态生成的,需要破解
查克
使用PKID
查壳工具发现app并没有加固
参数源码定位
使用jadx
打开apk
,全局搜索_sig
参数,下图是搜索结果
这个参数使用的地方不多,仔细观察找到具有赋值作用的代码行并逐个进去观察,根据Request
、FormBody
、_ts
、_sig
确定这是具体加密位置
源码分析
接下来找到a2.first
怎么来的,看下图确定a2
是通过ApiSignatureHelper.a(request)
得到的,双击a
进入它的具体实现代码
大家看下图,实际调用是第一个a
,不过它重载了另一个a
方法,这个才是具体的加密位置
第一个a
传递的三个参数分别是:
request.url().toString()
:请求url
request.method()
:请求方式
header
:请求头的Authorization
参数,如果有则取前七个字符
其实在抓包时就能知道这三个的内容了,所以这点不难
第二个a
直接看到最后一行,最后返回了new Pair<>(HMACHash1.a(str4, sb.toString())
和String.valueOf(currentTimeMillis))
两个值,其中第二个值是时间戳,对应上_ts
,所以_sig
是通过new Pair<>(HMACHash1.a(str4, sb.toString())
得到的
把代码修整一下方便阅读,其中StringPool.AMPERSAND
就是&
,可以知道加密文本就是对url
, methood
, authorization
三个参数与时间戳进行判断拼接处理,其中url
截取的是路径,不包含后缀参数,按本案例来加密文本就是GET&%2Fapi%2Fv2%2Fgroup%2F721771%2Ftopics&1721737945
public static Pair<String, String> a(url, methood, authorization) {String decode;String str4 = FrodoApi.a().e.b;StringBuilder sb = new StringBuilder();sb.append(methood);String encodedPath = HttpUrl.parse(str).encodedPath();sb.append(StringPool.AMPERSAND);sb.append(Uri.encode(decode));if (!TextUtils.isEmpty(authorization)) {sb.append(StringPool.AMPERSAND);sb.append(authorization);}long currentTimeMillis = System.currentTimeMillis() / 1000;sb.append(StringPool.AMPERSAND);sb.append(currentTimeMillis);return new Pair<>(HMACHash1.a(str4, sb.toString()), String.valueOf(currentTimeMillis));
}
双击进去HMACHash1代码,发生其实就是使用的是原生加密,所以现在就差一个密钥就能得到加密算法了。
回去看第二个a
,发现密钥是通过FrodoApi.a().e.b
得到的,双击进去后发现并没有在此处定义,那就要找到创建它实例的位置,也就是new ZenoConfig()的位置,这里大家记下b
参数是第三个传参赋值的
全局搜索ZenoConfig
,观察代码发现只有一处符合,双击进去
看下图流程,最终锁定在String d2 = FrodoUtils.d();
,双击进去
在这里就能看到赋值的了,这段代码大致意思,c默认值是bHUvfbiVZUmm2sQRKwiAcw==
,但是最终值是AES
把bHUvfbiVZUmm2sQRKwiAcw==
加密之后的结果,密钥是Base64.encodeToString(AppContext.a().getPackageManager().getPackageInfo(AppContext.a().getPackageName(), 64).signatures[0].toByteArray(), 0);
,分析一下这段代码,getPackageInfo
是获取应用信息,getPackageName
是包名,PackageInfo.signatures
是App的签名。所以最后的密钥是把App签名通过toByteArray()
转换为字节数组流,然后Base64
一下。
一般情况下app签名是不变的,所以这里得到HMACHash1
密钥也是不会变的,直接使用frida hook
拿到密钥
Java.perform(function(){var ba = Java.use("com.douban.frodo.utils.crypto.HMACHash1");ba.a.overload('java.lang.String', 'java.lang.String').implementation = function (a1,a2) {console.log(a1);console.log(a2);var res = ba.a(a1, a2);console.log("计算 result:" + res);return res;}}
)
运行结果:
拿到密钥,然后构建加密文本就能拿到结果了
def get_sig(url, ts):urlpath = urlparse(url).pathsign = '&'.join(['GET', quote(urlpath, safe=''), ts])print(sign)sig = hmac.new("bf7dddc7c9cfe6f7".encode(), sign.encode(), hashlib.sha1).digest()_sig = base64.b64encode(sig).decode()return _sig