某A系电商App x-sign签名分析

简介: 某A系电商App x-sign签名分析

一、目标


前不久(我去,都大半年了)分析过 某二手电商App x-sign签名分析 类成员变量的分析 我们找到了几个伪装成so的jar包。


虽然rpc调用ok了,但是它的实际运算过程还是在so里面的。


今天我们从它们同族的App来入手,利用Native层字符串定位的方式来定位下在哪个so中去做的运算。


App版本: v4.15.143.png


二、步骤

特征字符串定位


一开始选择的特征字符串是 x- ,后来发现没有 x-sign 好使

Interceptor.attach(addrGetStringUTFChars, {
    onEnter: function (args) {},
    onLeave: function (retval) {
        if (retval != null) {
            var bytes = Memory.readCString(retval);
            if(bytes != null) {
                if(bytes.toString().indexOf("x-sign") >= 0 )
                {
                    console.log("[GetStringUTFChars] result:" + bytes);
                    var threadef = Java.use('java.lang.Thread');
                    var threadinstance = threadef.$new();
                    var stack = threadinstance.currentThread().getStackTrace();
                    console.log("Rc Full call stack:" + Where(stack));
                    // Native 层 堆栈
                    console.log(Thread.backtrace(this.context, Backtracer.FUZZY)
                    .map(DebugSymbol.fromAddress).join("\n"))
                }
            }
        }
    }
});


跑一下

[NewStringUTF] bytes:x-sign
Rc Full call stack:dalvik.system.VMStack.getThreadStackTrace(Native Method)
 tt: java.lang.Thread.getStackTrace(Thread.java:1538)
 tt: com.txxxao.wireless.security.adapter.JNICLibrary.doCommandNative(Native Method)
 tt: com.axxbxxx.wireless.security.mainplugin.а.doCommand(Unknown Source:0)
 tt: com.axxbxxx.wireless.security.middletierplugin.c.d.a.a(Unknown Source:280)
 tt: com.axxbxxx.wireless.security.middletierplugin.c.d.a$a.invoke(Unknown Source:56)
 tt: java.lang.reflect.Proxy.invoke(Proxy.java:913)
 tt: $Proxy12.getSecurityFactors(Unknown Source)
 tt: mtopsdk.security.d.a(lt:620)
 tt: mtopsdk.mtop.a.a.a.a.a(lt:218)
 tt: mtopsdk.framework.a.b.d.b(lt:45)
 tt: mtopsdk.framework.b.a.a.a(lt:60)
0xcb434e10 libsgmiddletierso-6.5.50.so!0x33e10
0xcb404e28 libsgmiddletierso-6.5.50.so!0x3e28
0xc9dd5536 libsgmainso-6.5.49.so!0x10536
0xc9dd71c8 libsgmainso-6.5.49.so!0x121c8
0xf365607a libart.so!art_quick_generic_jni_trampoline+0x29
0xf364068a libart.so!MterpAddHotnessBatch+0x29
0xf3651b76 libart.so!art_quick_invoke_stub_internal+0x45


有之前分析的基础,我们在java层的堆栈,重点关注


com.axxbxxx.wireless.security.middletierplugin.c.d.a.a 这个类,  Native层的堆栈就必须是 libsgmiddletierso-6.5.50.so 和  libsgmainso-6.5.49.so


缩小范围


jadx打开apk,搜索一下 com.axxbxxx.wireless.security.middletierplugin.c.d.a.a, 奇怪,这个类搜不到。


某二手电商App x-sign签名分析 类成员变量的分析 的文章里面,我们是通过 类成员变量的分析来定位的。现在我们知道了 这个类大概率是在那两个假的so里面44.png

是的,他俩是假的so,本质上是 jar包, jadx伺候

45.png


libsgmiddletier.so 这个jar包里面找到了。


上Frida

var signCls = Java.use('com.axxbxxx.wireless.security.middletierplugin.c.d.a');
signCls.a.implementation = function(a){
    console.log(">>> sign = " + a);     
    var retval = this.a(a);
    console.log(">>> sign Rc = " + retval);     
    return retval;      
}


跑一下,提示这个类找不到?


为啥找不到? 因为这个jar包是动态加载的,所以他的Classloader是不同的,不能使用默认的。


Hook 动态加载的类

先要遍历一下所有的ClassLoader

Java.enumerateClassLoaders({
    "onMatch": function(loader) {
        console.log(loader);
    },
    "onComplete": function() {
        console.log("success");
    }
});

47.png


没毛病就是它了。


指定 ClassLoader

Java.enumerateClassLoaders({
    "onMatch": function(loader) {
        if (loader.toString().indexOf("libsgmiddletier.so") > 0 ) {
            Java.classFactory.loader = loader; // 将当前class factory中的loader指定为我们需要的
        }
    },
    "onComplete": function() {
        console.log("success");
    }
});
// 此处需要使用 Java.classFactory.use
var  signCls =  Java.classFactory.use('com.axxbxxx.wireless.security.middletierplugin.c.d.a');
signCls.a.overload('java.util.HashMap').implementation = function(a){
    var retval = this.a(a);
    console.log(" #### >>> a = " + a.entrySet().toArray());
    console.log(" #### >>> rc= " + retval.entrySet().toArray());
    var stack = threadinstance.currentThread().getStackTrace();
    console.log("#### >>> Rc Full call stack:" + Where(stack));
    return retval;
}


再跑一下,这下Ok了

49.png

三、总结

我们找到了最接近的jave层的接口,也找到了so中对应的函数,但是要继续分析这个so还是需要费不少功夫的。


frida提示找不到类的时候不要慌,遍历大法好。49.png


每当年关将至,总会想起刘瑜这段话———— 忙,却似乎也没忙成什么,时间被碾得如此之碎,一阵风吹过,稀里哗啦全都不知去向,以至于我试图回想这一年到底干了些什么,发现自己简直是从一场昏迷中醒来。


TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。


关注微信公众号: 奋飞安全,最新技术干货实时推送


相关文章
|
27天前
|
开发框架 监控 .NET
【Azure App Service】部署在App Service上的.NET应用内存消耗不能超过2GB的情况分析
x64 dotnet runtime is not installed on the app service by default. Since we had the app service running in x64, it was proxying the request to a 32 bit dotnet process which was throwing an OutOfMemoryException with requests >100MB. It worked on the IaaS servers because we had the x64 runtime install
|
3月前
|
安全
【Azure App Service】App service无法使用的情况分析
App Service集成子网后,如果子网网段中的剩余IP地址非常少的情况下,会在App Service实例升级时( 先加入新实例,然后在移除老实例 )。新加入的实例不能被分配到正确的内网IP地址,无法成功的访问内网资源。 解决方法就是为App Service增加子网地址, 最少需要/26 子网网段地址。
|
4月前
【Azure Function App】本地运行的Function发布到Azure上无法运行的错误分析
【Azure Function App】本地运行的Function发布到Azure上无法运行的错误分析
|
4月前
|
开发框架 缓存 .NET
【App Service】在Azure App Service中分析.NET应用程序的性能的好帮手(Review Stack Traces)
【App Service】在Azure App Service中分析.NET应用程序的性能的好帮手(Review Stack Traces)
|
4月前
|
C# 开发工具
【Azure 应用服务】Azure Function App使用SendGrid发送邮件遇见异常消息The operation was canceled,分析源码渐入最源端
【Azure 应用服务】Azure Function App使用SendGrid发送邮件遇见异常消息The operation was canceled,分析源码渐入最源端
|
2月前
|
JSON 小程序 JavaScript
uni-app开发微信小程序的报错[渲染层错误]排查及解决
uni-app开发微信小程序的报错[渲染层错误]排查及解决
625 7
|
2月前
|
小程序 JavaScript 前端开发
uni-app开发微信小程序:四大解决方案,轻松应对主包与vendor.js过大打包难题
uni-app开发微信小程序:四大解决方案,轻松应对主包与vendor.js过大打包难题
716 1
|
1月前
|
小程序 数据挖掘 UED
开发1个上门家政小程序APP系统,都有哪些功能?
在快节奏的现代生活中,家政服务已成为许多家庭的必需品。针对传统家政服务存在的问题,如服务质量不稳定、价格不透明等,我们历时两年开发了一套全新的上门家政系统。该系统通过完善信用体系、提供奖励机制、优化复购体验、多渠道推广和多样化盈利模式,解决了私单、复购、推广和盈利四大痛点,全面提升了服务质量和用户体验,旨在成为家政行业的领导者。
|
2月前
|
JavaScript 前端开发 小程序
uniapp一个人开发APP关键步骤和考虑因素
uniapp一个人开发APP关键步骤和考虑因素
138 1
uniapp一个人开发APP关键步骤和考虑因素
|
2月前
|
JavaScript 前端开发 UED
Vue与uni-app开发中通过@font-face巧妙引入自定义字体
Vue与uni-app开发中通过@font-face巧妙引入自定义字体
111 9