一、目标

一、目标

李老板: 奋飞呀,你堕落了,也开始玩标题党了?

奋飞: 你懂个锤子,我给你科普下亚洲四大邪术:泰国变性术、韩国整容术、日本化妆术、中华PS术。

锤子: 这个我需要懂吗?

main1
1:main1

这个就是我们今天的目标。

main2
1:main2

哦,错了,这三个老兄才是我们的目标。

二、步骤

Jadx搜索 "sig"

先大概分析一下, sig 一眼看上去像是md5的结果,sigTime 必须是时间戳了,sigVersion 就是对应的签名算法版本号了。

老规矩,先搜搜 "sig"

不对劲,才两个结果。

那就再试试 "sig

str1
1:str1

这次还不错, 应该就是这个 sigVersion

点吧点吧,找到了这个类 com.meixx.secret.SigEntity,大概率是 SigEntity.generatorSigWithFinal 这个函数。

祭出Objection

objection -g com.mx.mxxx.mxxx explore
android hooking watch class 'com.meixx.secret.SigEntity'

逮住了 generatorSigWithFinal

(agent) Registering job 015665. Type: watch-class for: com.meixx.secret.SigEntity
com.mt.mxxx.mxxx on (Xiaomi: 7.0) [usb] # (agent) [015665] Called com.meixx.secret.SigEntity.generatorSig(java.lang.String, [Ljava.lang.String;, java.lang.String, java.lang.Object)
(agent) [015665] Called com.meixx.secret.SigEntity.nativeGeneratorSig(java.lang.String, [[B, java.lang.String, java.lang.Object)

打印下入参和出参

android hooking watch class_method 'com.meixx.secret.SigEntity.generatorSig'  --dump-args --dump-return

有点小郁闷,返回值是个Object,看不到咱们要的签名值

(agent) Registering job 818585. Type: watch-method for: com.meixx.secret.SigEntity.generatorSig
com.mt.mxxx.mxxx on (Xiaomi: 7.0) [usb] # (agent) [818585] Called com.meixx.secret.SigEntity.generatorSig(java.lang.String, [Ljava.lang.String;, java.lang.String, java.lang.Object)
(agent) [818585] Arguments com.meixx.secret.SigEntity.generatorSig(channel/pic_timeline.json, 10,413,6790967215779498899,1,135547.1050.21|2|1|2||30000.0|1620478589|1096109|96109$$$6790967215779498899||0||273||80||78||2802||7||1||-1||6790965225653556242||1620478589819||0||1||1||1||1||1||15||9||0||1815992541||0,135547,4,home_tab_formula_hot,xxx,中国,xxx,xxx,1620478621200,,GMT 8,0,2507792916,taobao,MI NOTE Pro,Xiaomi,1440*2560,zh_CN,02:00:00:00:00:00,1089867602,0,512,4.26.33,7.0,0,1,0,wifi,mxxx-9171-Xiaomi-MI NOTE Pro-android-7.0-2cac546a,3710,1,9.1.7.1,0,2.0.0,CN,1,24,0,867302021476314,1,14f8c555ff4500db,1, 6184556633574670337, com.meixx.remote.hotfix.app.RemoteHotfixApplication@94dd584)
(agent) [818585] Return Value: com.meixx.secret.SigEntity@5bbbe0

挂上心爱的Frida

我们先观察一下, generatorSigWithFinal 函数的返回是是一个 SigEntity 类,

sigentity
1:sigentity

这个类的图示的三个成员变量就是我们要打印的结果。

var SigEntityCls = Java.use('com.meixx.secret.SigEntity');
SigEntityCls.generatorSig.overload('java.lang.String', '[Ljava.lang.String;', 'java.lang.String', 'java.lang.Object').implementation = function(a1,a2,a3,a4){
      var rc = this.generatorSig(a1,a2,a3,a4);
       console.log("a1=" + a1);
       console.log("a2=" + a2);

                var uRc=Java.cast(rc, Java.use("com.meixx.secret.SigEntity"));
                console.log(uRc._sig.value);
                console.log("sigTime=" + uRc._sigTime.value);
                console.log("sigVersion=" + uRc._sigVersion.value);

    return rc;
}

蓝瘦,没有打印出来,报错了

TypeError: cannot read property 'value' of undefined
    at <anonymous> (/mtxx.js:60)
    at apply (native)
    at ne (frida/node_modules/frida-java-bridge/lib/class-factory.js:613)
    at <anonymous> (frida/node_modules/frida-java-bridge/lib/class-factory.js:592)

问了下谷哥

如果有一个成员变量和成员函数的名字相同,则在其前面加一个_,如_xx.value = yy

这几个成员变量没有同名的成员函数,所以不用在前面加一个 _

我去,去掉 _

var uRc = Java.cast(rc,SigEntityCls);
console.log("sig=" + uRc.sig.value);
console.log("sigTime=" + uRc.sigTime.value);
console.log("sigVersion=" + uRc.sigVersion.value);

跑一下

rc
1:rc

太棒了,这就是我们要的结果。

三、总结

除了直接定位sig之外,和他相关的参数也是很有效的指路明灯。比如本例的 sigVersion

坑踩多了,自然就晋级了。老鸟和菜鸟的区别就是:老鸟犯的错误比较多,居然还没挂。

ffshow
1:ffshow

对于宇宙而言,人的生命并不比一只蚂蚁重要 ----海淀野生仁波切

100

关注微信公众号,最新技术干货实时推送

100