嘟嘟牛在线登陆加密分析-RPC调用
加密参数
JADX反编译后搜索代码
user/login
基本可以确定就是从这里发起网络请求
跟进
addRequestMap
方法分析
这一看逻辑就清晰了
先添加一个时间戳,在对sign进行加密后在调用encodeDesMap进行加密
最后put到请求中
先分析
encodeDesMap
有KEY和IV,不是AES就是DES加密
encrypt64
DES加密后在Base64加密
那么data就是明文了,hook这个方法取到参数
let RequestUtil = Java.use("com.dodonew.online.http.RequestUtil");
RequestUtil["encodeDesMap"].overload('java.lang.String', 'java.lang.String', 'java.lang.String').implementation = function (data, desKey, desIV) {
console.log("**********获取DES明文**********");
console.log(`参数明文----> ${data}, desKey= ${desKey}, desIV= ${desIV}`);
let result = this["encodeDesMap"](data, desKey, desIV);
console.log(`参数加密结果----> ${result}`);
return result;
};
与抓包结果一样,这样明文就拿到了。
sign分析,回到刚刚那个传递sign参数的那个函数
字符串最后拼接了一个key后在进行md5加密,
hook一下md5这个函数
很明显,拼接除了sign参数其余全部在添加一个key=sdlkjsdljf0j2fsjk 的最终字符串在进行md5加密。
这样sign与参数加密都分析完了。
RPC
from fastapi import FastAPI, Query
from fastapi.responses import JSONResponse
import frida
import uvicorn
# 创建FastAPI实例
app = FastAPI()
# 定义固定的 key 和 iv
FIXED_KEY = "65102933"
FIXED_IV = "32028092"
# 定义一个GET请求的路由:/decrpyt
@app.get("/decrypt")
def decrypt(encryptedData: str = Query(..., description="The encrypted data to be decrypted")):
# 处理掉加密数据中的空格和换行符,不然解密函数无法正常解密
encryptedData = encryptedData.replace(' ', '').replace('\\n', '')
# 定义处理frida消息的回调函数
def on_message(message, data):
if message['type'] == 'send':
print('[* message]', message['payload'])
elif message['type'] == 'error':
print('[!] error:', message['stack'])
jsCode = """
rpc.exports = {
getDecryptInfo: function(encryptedData, key, iv) {
var result = '';
Java.perform(function(){
var RequestUtil = Java.use("com.dodonew.online.http.RequestUtil");
var instance = RequestUtil.$new();
try {
console.log("encryptedData: " + encryptedData);
var decodedResult = instance.decodeDesJson(encryptedData, key, iv);
try {
result = JSON.parse(decodedResult);
} catch (e) {
console.log("Result is not valid JSON:", decodedResult);
result = decodedResult;
}
} catch (e) {
console.log("调用 decodeDesJson 失败: " + e);
}
});
return result;
}
};
"""
process = frida.get_usb_device().attach('嘟嘟牛在线')
script = process.create_script(jsCode)
script.on('message', on_message)
script.load()
# 调用 Frida 的 RPC 方法,将 API 请求者传递的 jsonData 和固定的 key, iv 发送到 Frida
getDecryptData = script.exports.get_decrypt_info(encryptedData, FIXED_KEY, FIXED_IV)
return JSONResponse({'result': getDecryptData})
# 主入口,运行FastAPI应用
if __name__ == "__main__":
uvicorn.run(app, host="127.0.0.1", port=50000)