爱某查APP - Abtk

⚠️前言⚠️

本文仅用于学术交流。

学习探讨逆向知识,欢迎私信共享学习心得。

如有侵权,联系博主删除。

请勿商用,否则后果自负。

接口网址

aHR0cHM6Ly9haXFpY2hhLmJhaWR1LmNvbS9hcHAvYWR2YW5jZUZpbHRlckFqYXg=

加密位置分析

app版本:2.27.0

jadx 全局检索一下

结果不多,有两个可疑的位置我们尝试 hook 一下

> 首先第一个位置发现结果存在于形参中,是传递过来的值,先放一放,看一下第二个位置
> 位置2,token.trim() 用于删除 token 首尾的空白字符,结果是由 Entrance.getToken(NewBridgeApplication.context) 得到的
> frida hook - Entrance.getToken, 成功hook到加密结果
复制代码
Java.perform(function () {
    send('**********************');
    var Entrance = Java.use('com.baidu.abymg.Entrance');
    Entrance.getToken.implementation = function(a1){
        send('arg1 -> ' + a1);
        var result = this.getToken.apply(this, arguments);
        send('result -> ' + result);
        return result;
    };
});
> 下面来说一下另一种找加密位置的方式,hook - HashMap 打印堆栈,同样也可以找到这个 f 方法
复制代码
Java.perform(function () {
   var linkerHashMap=Java.use('java.util.HashMap');
    linkerHashMap.put.implementation = function(arg1,arg2){
        var data=this.put(arg1,arg2);
        if(arg1=='Abtk'){
            send("=================linkerHashMap.put====================");
            send(arg1+"|||||||||||||"+arg2);
            send(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
         }
        return data;
    }
});


参数分析 + Xposed hook

> getToken 方法只有一个参数是 Context 类型

这种参数类似于app执行上下文,最好获取app本身得到,模拟的话可能会缺失信息

> Xposed hook 逻辑

被动触发: 获取 getToken 上下文参数信息,并保存全局

复制代码
Xposed 关键代码:
XposedHelpers.findAndHookMethod("com.baidu.abymg.Entrance", lpparam.classLoader, "getToken", Context.class, new XC_MethodHook() {
     @Override  // beforeHookedMethod 刚进入该方法还未执行。。afterHookedMethod 方法执行完毕 return 之前
       protected void afterHookedMethod(MethodHookParam param) throws Throwable {
           XposedBridge.log("hook before param--: 进来了");
           super.afterHookedMethod(param);
           // 获取 getToken 方法参数, 并赋值为 静态变量 context
           Hookaqc.context = (Context) param.args[0];
           }
 })

主动调用: 使用全局保存的上下文参数信息,主动调用 getToken 获取密值

复制代码
Xposed 关键代码:
@Action("Abtk")
public class aqcHandler  implements RequestHandler {
    @Override
    public void handleRequest(SekiroRequest sekiroRequest, SekiroResponse sekiroResponse) {
        final Class<?> clazz = XposedHelpers.findClass("com.baidu.abymg.Entrance", Hookaqc.loadPackageParam.classLoader);
        String result = (String) XposedHelpers.callStaticMethod(clazz,"getToken", new Object[]{Hookaqc.context});
        HashMap<String, String> result_hp = new HashMap<String, String>();
        result_hp.put("Abtk", result);
        sekiroResponse.success(result_hp);
    }
}

效果展示

本人安卓水平有限,有不严谨之处欢迎私信交流 😀 😀 😀 。。。

相关推荐
web守墓人1 小时前
【前端】ikun-markdown: 纯js实现markdown到富文本html的转换库
前端·javascript·html
麦兜*1 小时前
Spring Boot 企业级动态权限全栈深度解决方案,设计思路,代码分析
java·spring boot·后端·spring·spring cloud·性能优化·springcloud
序属秋秋秋1 小时前
《C++初阶之内存管理》【内存分布 + operator new/delete + 定位new】
开发语言·c++·笔记·学习
木头左2 小时前
逻辑回归的Python实现与优化
python·算法·逻辑回归
ruan1145142 小时前
MySQL4种隔离级别
java·开发语言·mysql
quant_19863 小时前
R语言如何接入实时行情接口
开发语言·经验分享·笔记·python·websocket·金融·r语言
Hellyc6 小时前
基于模板设计模式开发优惠券推送功能以及对过期优惠卷进行定时清理
java·数据库·设计模式·rocketmq
lifallen6 小时前
Paimon LSM Tree Compaction 策略
java·大数据·数据结构·数据库·算法·lsm-tree
秋田君6 小时前
深入理解JavaScript设计模式之命令模式
javascript·设计模式·命令模式
hdsoft_huge6 小时前
SpringBoot 与 JPA 整合全解析:架构优势、应用场景、集成指南与最佳实践
java·spring boot·架构