app安卓逆向x-sign，x-sgext，x_mini_wua，x_umt加密参数解析

见贤思齐

安卓逆向某生鲜平台app本文仅作为学习交流，禁止用于商业使用1.背景阿里系当前采用的加密版本是6.3，6.2版本的大家几乎都解决了，6.3的网上资料很少，这里讲讲6.3的解密过程1.阿里系通用这一套加密算法，主要是x-sign，x-sgext，x_mini_wua，x_umt这四个加密参数，解决了其中一个app，其他的比如淘X，咸X等app都相差不大了，改改参数，或者替换不同的方法名称就行；2.使用的是frida-rpc主动调用的方法（对加密算法解密的话，难度很高，我没做出来）；3.本次做的是阿里系的某生鲜平台app，仅作为学习交流，禁止用于商业使用首先我们抓个包先，可以看到，加密版本是6.3，加密参数还是我们常见的这四大参数这里请求头具体分析就不说了，直接去逆向2.逆向1.查壳第一步不用多说，不管什么app，先查壳，查壳工具PKID，基本上满足需求，我们运气好，HM没做什么加壳措施，所以我们直接略过这个步骤；如果有遇到加壳的，可以用一下几种办法Frida-Unpackfirda-unpack原理是利用fridahooklibart.so中的OpenMemory方法，拿到内存中dex的地址，计算出dex文件的大小，从内存中将dex导出，我们可以查看项目中的OpenMemory.js文件中的代码更清晰直观地了解。GitHub地址：https://github.com/GuoQiang1993/Frida-Apk-Unpack1FRIDA-DEXDump葫芦娃所写，脱壳后的dex文件保存在PC端main.py同一目录下，以包名为文件名GitHub地址：https://github.com/hluwa/FRIDA-DEXDump1frida_dump会搜索dex文件并dump下来，保存在data/data/packageName/files目录下GitHub地址：https://github.com/lasting-yang/frida_dump1Frida_Fart[推荐]寒冰写的，Frida版的Fart,目前只能在andorid8上使用该frida版fart是使用hook的方式实现的函数粒度的脱壳，仅仅是对类中的所有函数进行了加载，但依然可以解决绝大多数的抽取保护GitHub地址：https://github.com/hanbinglengyue/FART12.反编译既然app没有做加壳措施，那我们直接上手jadx。这里反编译工具推荐使用AndroidKiller，jadx，JEB，当你反编译失败的时候，去尝试另外的工具，会发现结果不同哦。千万别仅使用一个工具；3.查找加密方法1.在jadx里面直接全局搜索x-sign吧我们很容易就找到这个getUnifiedSign函数，仔细分析函数发现是一个接口，那这个函数所在的类mtopsdk.security.InnerSignImpl就是我们要找的实现类。这里教你们一个小方法，在jadx里面对这个getUnifiedSign函数直接右击，复制frida代码，我们函数找的对不对，直接hook一下就知道了写一段调用js的python程序importfrida,sysdefon_message(message,data):ifmessage['type']=='send':print("[*]{0}".format(message['payload']))else:print(message)jscode='''Java.perform(function(){/**把该部分替换为刚刚复制的内容即可**、})'''process=frida.get_remote_device().attach('app的包名')script=process.create_script(jscode)script.on('message',on_message)script.load()sys.stdin.read()12345678910111213141516171819202122232425262728293031运行程序我们查看一下结果非常nice，我们hook之后查看输出，这个方法传入了哪些参数，又输出了哪些值，一目了然，x-sign等加密值都在里面，说明我们方法找对了4.调用方法这里我们就直接用rpc主动调用的方法获取加密值方法我们找到了，传入的参数我们也找到了，那用rpc调用也不在话下了直接上代码importfridadefon_message(message,data):ifmessage['type']=='send':print("[*]{0}".format(message['payload']))else:print(message)defstart_hook(): jscode=''' rpc.exports={ para:function(a,b,c,d,e,f){ varret={}; Java.perform(function(){ Java.choose("mtopsdk.security.InnerSignImpl",{ onMatch:function(instance){ vara=""; varb=""; varc=; vard=; vare=; varf=; //这些都是传入的参数，具体传参内容根据实际修改 varres=instance.getUnifiedSign(a,b,c,d,e,f).toString(); //console.log('getUnifiedSignretvalueis'+res); ret["result"]=res; }, onComplete:function(){ //console.log('******jsloadover*****') } }) }) returnret; } }; ''' process=frida.get_remote_device().attach('')script=process.create_script(jscode)script.on('message',on_message)script.load()returnscriptresult_hook=start_hook().exports.para()#可传参进去1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253我们现在验证一下rpc调用是否可行1.首先执行rpc调用的代码，打印出其中的部分参数比如时间戳，以及解密后的x-sign2.于此同时我们查看一下前面部分我们提到的hook这个getUnifiedSign函数，去查看一下结果我们对比一下，时间戳，x-sign的值都是一样的，说明传入的参数正常，并能够输出加密参数5.请求数据上一步实现frida-rpc的调用，接下来就可去写请求数据的代码了这个就没有什么好说的，请求头headers放进去，rpc调用一下，替换加密参数，然后直接request请求即可。6.结果让我们看一下请求后的结果吧!app里面的数据可以正常的拿到了，这个app的逆向我们就大功告成了，有什么问题可以联系我。九月四号更新wua加密算法很多人问我wua怎么获取，还是用咱们这一套rpc主动调用，在传入的参数中，有个z参数，需要参入boolen值，当传入false时，不返回wua加密参数如图当传入true时，返回wua加密参数有新的问题可以继续找我，谢谢！