IOS 某电商App签名算法解析(一) 还是套路

本文涉及的产品
公共DNS(含HTTPDNS解析),每月1000万次HTTP解析
全局流量管理 GTM,标准版 1个月
云解析 DNS,旗舰版 1个月
简介: IOS 某电商App签名算法解析(一) 还是套路

一、目标


Android越来越不好玩了,年轻人,该搞搞IOS了。套路其实都是差不多的,不要被Arm汇编拦住了。


反正Android早就不讲武德了,重要算法都在so里面,和ios差不多了。


先按照之前的 [Ios逆向环境搭建 (一)] 把抓包和frida环境搞好。44.png

我们今天的目标还是它, sign


二、步骤


观察一下

从 sign的长度和参数类型上看, sign sv st 可以看出,IOS版本的签名算法大概率和Android差不多。这能节省我们很多分析时间,直接进入主题吧。


第一步  砸壳

在 frida-ios-dump 目录下面, 输入命令 **python dump.py -l ** 列出手机里面的App列表, 找到我们要搞的包名


然后开始运行砸壳命令,砸壳后的文件会通过 ssh拷贝到电脑上。

python dump.py com.3xxbuy.xxmobile


TIP:  注意,砸壳之前请保障 SSH是通的,使用 usbmuxd 把本地的2222端口转发到iOS上的22端口,配置好 ssh免密登录

iproxy 2222 22
ssh -p 2222 root@127.0.0.1


第二步   IDA


砸壳成功后,会在当前目录生成对应的 ipa文件,ipa和apk类似,也是个压缩包,我们解压先。


在 Payload/xx4iPhone 下面找到它的可执行文件,xx4iPhone 100多mb的这个就是了。 拖进 IDA吧


IDA细嚼慢咽得很长时间(很长是指好几个小时.....),可以倒杯水,休息一把。刷刷 小视频,带薪摸鱼。


IDA嚼完之后, Shift + F12 ,进入 字符串窗口,我们继续查找字符串 sign=44.png


双击一个结果,进去,在变量名称上面按 X 键 (交叉参考),就是查看哪些地方调用这个变量


45.png

来到 cfstr_Sign_4, 继续 X46.png

看这个比较像 JDCTCCHelper requestParamsWithUrl:dict: ,进去看看, 唤起 F5大法 (进入Arm汇编代码窗口之后按F5,IDA会翻译出C的伪代码)

48.png

不对,没有计算过程, 把结果都翻了一遍,还没有收获。


试试 sv= ,因为sv这个字段比较少见,和它在一起的大概率是 sign计算过程。


又是一番 X , 被我们定位到了 +[XXSignService getSignWithDic:keys:]48.png

F5一下,仔细看看这个函数。怎么看都像是sign的计算过程

49.png

第三步   Frida


挂上我们心爱的Frida了

id __cdecl +[XXSignService getSignWithDic:keys:](XXSignService_meta *self, SEL a2, id a3, id a4)


一个典型的ObjectC的函数就是这样, + 表示这是个类静态函数,  第一个参数指向接收Objective-C消息对象的指针。第二个参数是指向传递给对象的selector或消息的指针。  


这两个参数我们暂时不用管。  第三 第四个参数才是我们要关心的真正的入参。

if (ObjC.available)
{
    try
    {
        console.log('I am Comming in!');
    var className = "XXSignService";
    var funcName = "+ getSignWithDic:keys:";
    var hook = eval('ObjC.classes.' + className + '["' + funcName + '"]');
        console.log("[*] Class Name: " + className);
        console.log("[*] Method Name: " + funcName);
    console.log(hook);
    // /*
        Interceptor.attach(hook.implementation, {
            onEnter: function(args) {
        var receiver = new ObjC.Object(args[0]);
                console.log("Target class : " + receiver);
        var message1 = ObjC.Object(args[2]);
        var message2 = ObjC.Object(args[3]);
        console.log('msg1=' + message1.toString());
        console.log('msg2=' + message2.toString());               
            },
            onLeave: function(retval) {
        var message = ObjC.Object(retval);
        console.log('getSignWithDic rc is:' + message.toString());
            }
        });   
    // */
    }
    catch(err)
    {
        console.log("[!] Exception2: " + err.message);
    }
}


我们把2个入参和结果都打印出来50.png


没毛病,就是我们想要的结果。下一次我们再说说如何RPC调用吧。


三、总结


可执行文件100MB,IDA搞起来真的很慢。


IOS的玩法和Android差不多,特征串定位,然后挂上Frida。


F5大法好。

51.png


你一定要学套路,这样才能有效的缩短学习的时间;但当你学会套路,并且开始使用套路的时候,一定要找到跟别人不一样得使用方法,这样才能让你从一堆不会飞得鸡里面,挥动翅膀,凌空飞起来,变成翱翔的鹰。


TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。


关注微信公众号: 奋飞安全,最新技术干货实时推送



相关文章
|
7月前
|
API 数据安全/隐私保护 iOS开发
利用uni-app 开发的iOS app 发布到App Store全流程
利用uni-app 开发的iOS app 发布到App Store全流程
231 3
|
7月前
|
存储 Java API
Android 浅度解析:mk预置AAR、SO文件、APP包和签名
Android 浅度解析:mk预置AAR、SO文件、APP包和签名
913 0
|
7月前
|
算法 Android开发
Android签名算法的原理
Android签名算法的原理
74 0
|
3月前
|
移动开发 Android开发 数据安全/隐私保护
移动应用与系统的技术演进:从开发到操作系统的全景解析随着智能手机和平板电脑的普及,移动应用(App)已成为人们日常生活中不可或缺的一部分。无论是社交、娱乐、购物还是办公,移动应用都扮演着重要的角色。而支撑这些应用运行的,正是功能强大且复杂的移动操作系统。本文将深入探讨移动应用的开发过程及其背后的操作系统机制,揭示这一领域的技术演进。
本文旨在提供关于移动应用与系统技术的全面概述,涵盖移动应用的开发生命周期、主要移动操作系统的特点以及它们之间的竞争关系。我们将探讨如何高效地开发移动应用,并分析iOS和Android两大主流操作系统的技术优势与局限。同时,本文还将讨论跨平台解决方案的兴起及其对移动开发领域的影响。通过这篇技术性文章,读者将获得对移动应用开发及操作系统深层理解的钥匙。
|
2月前
|
安全 网络安全 Android开发
深度解析:利用Universal Links与Android App Links实现无缝网页至应用跳转的安全考量
【10月更文挑战第2天】在移动互联网时代,用户经常需要从网页无缝跳转到移动应用中。这种跳转不仅需要提供流畅的用户体验,还要确保安全性。本文将深入探讨如何利用Universal Links(仅限于iOS)和Android App Links技术实现这一目标,并分析其安全性。
306 0
|
4月前
|
iOS开发
App备案与iOS云管理式证书 ,公钥及证书SHA-1指纹的获取方法
App备案与iOS云管理式证书 ,公钥及证书SHA-1指纹的获取方法
219 0
App备案与iOS云管理式证书 ,公钥及证书SHA-1指纹的获取方法
|
4月前
|
XML Android开发 UED
"掌握安卓开发新境界:深度解析AndroidManifest.xml中的Intent-filter配置,让你的App轻松响应scheme_url,开启无限交互可能!"
【8月更文挑战第2天】在安卓开发中,scheme_url 通过在`AndroidManifest.xml`中配置`Intent-filter`,使应用能响应特定URL启动或执行操作。基本配置下,应用可通过定义特定URL模式的`Intent-filter`响应相应链接。
116 12
|
4月前
|
算法 安全 测试技术
Go - 常用签名算法的基准测试
Go - 常用签名算法的基准测试
35 2
|
4月前
|
JSON 数据格式 索引
【Azure Developer】Azure Logic App 示例: 解析 Request Body 的 JSON 的表达式? triggerBody()?
【Azure Developer】Azure Logic App 示例: 解析 Request Body 的 JSON 的表达式? triggerBody()?
|
4月前
【Azure 应用服务】App Service 配置 Application Settings 访问Storage Account得到 could not be resolved: '*.file.core.windows.net'的报错。没有解析成对应中国区 Storage Account地址 *.file.core.chinacloudapi.cn
【Azure 应用服务】App Service 配置 Application Settings 访问Storage Account得到 could not be resolved: '*.file.core.windows.net'的报错。没有解析成对应中国区 Storage Account地址 *.file.core.chinacloudapi.cn