首页手记【APP逆向百例】某品会 app 逆向分析

【APP逆向百例】某品会 app 逆向分析

标签：

Python

声明

本文章中所有内容仅供学习交流使用，不用于其他任何目的，不提供完整代码，抓包内容、敏感网址、数据接口等均已做脱敏处理，严禁用于商业用途和非法用途，否则由此产生的一切后果均与作者无关！

本文章未经许可禁止转载，禁止任何修改后二次传播，擅自使用本文讲解的技术而导致的任何意外，作者均不负责，若有侵权，请在公众号【K哥爬虫】联系作者立即删除！

逆向目标

目标：某品会 APP
apk 版本：v9.42.8
逆向参数：authorization
下载地址：aHR0cHM6Ly93d3cud2FuZG91amlhLmNvbS9hcHBzLzMxNTgzL2hpc3Rvcnlfdjk0MjA4

抓包分析

打开 app 随便搜索一样东西，然后通过 charles 配合 SocksDroid 进行抓包，结果如下：

python 重放请求，发现请求头需要 authorization 参数。

java 层分析

这个版本有 frida 检测，还是老方法，hook dlopen 查看在哪个 app 闪退了：

frida -U -f com.achievo.vipshop -l .\demo.js

上面代码启动，发现还是 libmsaoaidsec.so 检测，关于该检测，往期文章中有详细的介绍：

某瓣 app 逆向分析：https://mp.weixin.qq.com/s/i_k_QOfgAV33_2u9T4OnxA

把该 so 文件丢到 ida 工具，直接通过交叉引用，找到上层的调用函数 hook 掉就行：

hook 检测代码如下：

注意 call_constructors_func_off 的地址需要改成大伙自己的，这个地址可以在手机执行以下命令得到：

readelf -s /apex/com.android.runtime/bin/linker64 | grep call_constructors

这个参数在头部，因此我们优先选择 hook 头部，而不是 hook HashMap，hashMap 输出内容较多，当我们hook 头部没有相关信息时，可以再考虑 hook hashMap，hook 代码如下：

frida -U -f com.achievo.vipshop -l .\demo.js -o 1.txt

找到我们需要的参数的值：

apk 文件放入 jadx，根据第二层堆栈找到如下位置：

值是 str，str 又通过 b.b 方法得到的，我们这里是 post 方法就走 if 逻辑，hook 一下：

位置没错，进入方法：

一直走，最后定位到了这里：

进入 getSignHash 方法然后调用了 gs 方法，但是 gs 方法是报错，按道理 gs 函数应该有返回值，返回我们的加密结果，我们可以直接把代码丢到 GPT 让他帮忙分析一下：

gpt 给了我们答案，说是通过反射调用了一个隐藏的方法，那我们先了解一下 java 反射是什么：

上面也说了 java 的反射创建类不通过 new，而是通过 newInstance 方法创建，那我们向下翻，会看到 initInstance 方法：

根据上面了解到的反射的相关知识，这里很明显是在创建对象，我们直接点击 KeyInfo 这个类，找到真正的加密函数 gs：

最后调用了 native 方法，so 的名称为 keyinfo：

我们可以 hook 验证一下：

最后改成主动调用的形式，方便我们后续分析：

function hook_zhu() {
Java.perform(function () {
const KeyInfo = Java.use(“com.vip.vcsp.KeyInfo”);
const TreeMap = Java.use(“java.util.TreeMap”);
const String = Java.use(‘java.lang.String’);
// 构造 context
const currentApplication = Java.use(“android.app.ActivityThread”).currentApplication();
const context = currentApplication.getApplicationContext();
let map = TreeMap. $n e w (); m a p . p u t (S t r i n g .$ new(“api_key”), String. $n e w (" 23 e 7 f 28019 e 8407 b 98 b 84 c d 05 b 5 a e f 2 c ")); m a p . p u t (S t r i n g .$ new(“app_name”), String. $new("shop_android")); map.put(String.$ new(“app_version”), String. $n e w (" 9.42.8 ")); m a p . p u t (S t r i n g .$ new(“bigSaleTagIds”), String. $n e w (" ")); m a p . p u t (S t r i n g .$ new(“brandIds”), String. $n e w (" ")); m a p . p u t (S t r i n g .$ new(“brandStoreSns”), String. $n e w (" ")); m a p . p u t (S t r i n g .$ new(“categoryId”), String. $n e w (" ")); m a p . p u t (S t r i n g .$ new(“channelId”), String. $n e w (" 1 ")); m a p . p u t (S t r i n g .$ new(“channel_flag”), String. $new("0_1")); map.put(String.$ new(“clickFrom”), String. $new("list_userword")); map.put(String.$ new(“client”), String. $n e w (" a n d r o i d ")); m a p . p u t (S t r i n g .$ new(“client_type”), String. $n e w (" a n d r o i d ")); m a p . p u t (S t r i n g .$ new(“couponIds”), String. $n e w (" ")); m a p . p u t (S t r i n g .$ new(“darkmode”), String. $n e w (" 0 ")); m a p . p u t (S t r i n g .$ new(“deeplink_cps”), String. $n e w (" ")); m a p . p u t (S t r i n g .$ new(“device_model”), String. $n e w (" G o o g l e P i x e l 3 ")); m a p . p u t (S t r i n g .$ new(“did”), String. $n e w (" 0.0.488 b 303 f 75 e 2323522 a 8 e d 6 c 9 d a 1 d 86 f . 2 e 28 a b ")); m a p . p u t (S t r i n g .$ new(“elder”), String. $n e w (" 0 ")); m a p . p u t (S t r i n g .$ new(“evgid”), String. $n e w (" i t g 0 e 6 C 7 d e s c 9 W O I 7 w h a u x k r c e 1 T n m e c t k j 0 f 9 g b L h 7 l 8 Y y 8 f Z S 8 A S g 24 u P g O T 1 U B + J 9 P n 37 E e b S R w / f o K b q o m T N n j 0 y 5 E D K L A X F f o o x V l Q = ")); m a p . p u t (S t r i n g .$ new(“extParams”), String. $KaTeX parse error: Can't use function '\"' in math mode at position 7: new("{\̲"̲priceVer\":\"2\…$ new(“fdc_area_id”), String. $n e w (" 104104 ")); m a p . p u t (S t r i n g .$ new(“functions”), String. $n e w (" R T R e c o m m, f l a g s h i p I n f o, c o u p o n B a r V 2, l o w P r i c e T a b s, f e e d b a c k V 2, o t d A d s, z o n e C o d e, s l o t O p, s u r v e y, o u t f i t, a i R e a l t i m e, f l o a t e r P a r a m s, t a b G r o u p V 2, b s A n d S e a s o n, p r o p A n d O p T a g, p a r a l l e l C a l l ")); m a p . p u t (S t r i n g .$ new(“harmony_app”), String. $n e w (" 0 ")); m a p . p u t (S t r i n g .$ new(“harmony_os”), String. $n e w (" 0 ")); m a p . p u t (S t r i n g .$ new(“height”), String. $n e w (" 2028 ")); m a p . p u t (S t r i n g .$ new(“isMultiTab”), String. $n e w (" 0 ")); m a p . p u t (S t r i n g .$ new(“is_default_area”), String. $n e w (" 1 ")); m a p . p u t (S t r i n g .$ new(“keyword”), String. $KaTeX parse error: Expected 'EOF', got '纸' at position 6: new("纸̲")); map.put\dots$ new(“lastPageProperty”), String. $KaTeX parse error: Can't use function '\"' in math mode at position 7: new("{\̲"̲isBgToFront\":\…$ new(“maker”), String. $n e w (" G O O G L E ")); m a p . p u t (S t r i n g .$ new(“mars_cid”), String. $n e w (" 2760 c 2 a 5 - 07 c 5 - 3 a 1 c - a 409 - 66 e 37 e b a f 574 ")); m a p . p u t (S t r i n g .$ new(“mobile_channel”), String. $n e w (" r j x 5 h k n t : : : ")); m a p . p u t (S t r i n g .$ new(“mobile_platform”), String. $n e w (" 3 ")); m a p . p u t (S t r i n g .$ new(“net”), String. $n e w (" W I F I ")); m a p . p u t (S t r i n g .$ new(“operator”), String. $n e w (" ")); m a p . p u t (S t r i n g .$ new(“os”), String. $n e w (" A n d r o i d ")); m a p . p u t (S t r i n g .$ new(“osv”), String. $n e w (" 11 ")); m a p . p u t (S t r i n g .$ new(“otddid”), String. $n e w (" ")); m a p . p u t (S t r i n g .$ new(“other_cps”), String. $n e w (" ")); m a p . p u t (S t r i n g .$ new(“page_id”), String. $new("page_te_commodity_search_1749796274004")); map.put(String.$ new(“page_init_ts”), String. $n e w (" 1749796253199 ")); m a p . p u t (S t r i n g .$ new(“phone_brand”), String. $n e w (" g o o g l e ")); m a p . p u t (S t r i n g .$ new(“phone_model”), String. $n e w (" p i x e l 3 ")); m a p . p u t (S t r i n g .$ new(“priceMax”), String. $n e w (" ")); m a p . p u t (S t r i n g .$ new(“priceMin”), String. $n e w (" ")); m a p . p u t (S t r i n g .$ new(“props”), String. $n e w (" ")); m a p . p u t (S t r i n g .$ new(“province_id”), String. $n e w (" 104104 ")); m a p . p u t (S t r i n g .$ new(“referer”), String. $n e w (" c o m . a c h i e v o . v i p s h o p . s e a r c h . a c t i v i t y . S e a r c h A c t i v i t y ")); m a p . p u t (S t r i n g .$ new(“rom”), String. $n e w (" D a l v i k / 2.1.0 (L i n u x; U; A n d r o i d 11; P i x e l 3 B u i l d / R Q 1 D . 210205.004) ")); m a p . p u t (S t r i n g .$ new(“sd_tuijian”), String. $n e w (" 0 ")); m a p . p u t (S t r i n g .$ new(“service_provider”), String. $n e w (" ")); m a p . p u t (S t r i n g .$ new(“session_id”), String. $new("2760c2a5-07c5-3a1c-a409-66e37ebaf574_shop_android_1749796345730")); map.put(String.$ new(“skey”), String. $n e w (" 6692 c 461 c 3810 a b 150 c 9 a 980 d 0 c 275 e c ")); m a p . p u t (S t r i n g .$ new(“sort”), String. $n e w (" 0 ")); m a p . p u t (S t r i n g .$ new(“source”), String. $n e w (" a p p ")); m a p . p u t (S t r i n g .$ new(“source_app”), String. $n e w (" a n d r o i d ")); m a p . p u t (S t r i n g .$ new(“standby_id”), String. $n e w (" r j x 5 h k n t : : : ")); m a p . p u t (S t r i n g .$ new(“sys_version”), String. $n e w (" 30 ")); m a p . p u t (S t r i n g .$ new(“tabFields”), String. $n e w (" g e n d e r, t a b s, p r i c e T a b s, d i s c o u n t T a b s, t a b G r o u p V 2 ")); m a p . p u t (S t r i n g .$ new(“tfs_fp_token”), String. $n e w (" B a 1 b X 4 G 5 L V C v Z X / k e Q + j K a k G A t k m c d 5 u F 3 m q x 1 M g F x E D + k i 6 T t 8 p N 7 k H P c 01 Q h D U U E K P Z u j x X v e y e 0 E 3 j I K n U v A = = ")); m a p . p u t (S t r i n g .$ new(“timestamp”), String. $n e w (" 1749796274 ")); m a p . p u t (S t r i n g .$ new(“union_mark”), String. $KaTeX parse error: Expected 'EOF', got '&' at position 11: new("blank&̲_&blank&_&rjx5h\dots$ new(“vipService”), String. $n e w (" ")); m a p . p u t (S t r i n g .$ new(“warehouse”), String. $new("VIP_NH")); map.put(String.$ new(“width”), String.$new(“1080”));

let result = KeyInfo[“gsNav”](context, map, null, false);
console.log(“java---->”, result);
})
}

so 层分析

老样子，keyinfo.so 文件拖到 ida 里面去，在 Exports 表搜索 java 看看是不是静态注册的：

是静态注册，点进去：

返回 v7，点进去 Function_gs，并按 y 修改 a1 类型：

代码没有什么混淆，基本上全是明文，遇到这种，我们可以找根据名字定位，也可以 frida trace 看看调用堆栈，因为这代码没多少行，我们可以直接丢给 ai 帮我们分析，这里用的元宝的 deepseek：

根据 ai 说的，我们只需要关心 getByteHash 函数做了什么操作，先找到 getByteHash 函数看看，按住 alt + T 搜索 getByteHash，有两处，点进去：

很明显的 sha1 算法，还是直接先 hook 一下 getByteHash 方法，看看传递了什么参数：

我们重点看第三个参数和第五个参数就行，hook 代码如下：

在 frida 里面执行我们的主动调用：

打印结果如下：

第一次，输出的参数暂且不知道是什么，返回的结果为 1ed562e1e90b23ae3f9a40f8b2a65382b95a4752：

第二次入参为我们的 TreeMap 数据，前面盐值为 aee4c425dbb2288b80c71347cc37d04b，经分析，该值写死即可，返回值为 d98aee7e972029d163709d41538d5bdcb2fe290f。

我们到 K 哥工具站（https://www.kgtools.cn），对比发现，并没有魔改，标准算法：

第三次的入参为我们前面的盐加上第二次 sha1 算法加密的返回的结果。

第三次返回的结果为 0ae492780a1e7aefafa23efae2357faafc98af51。

和我们主动调用的结果一样，最后用 python 改写发包即可，至此，加密参数分析完毕，相关代码，会放到知识星球中，仅供学习交流。

结果验证

点击查看更多内容

为 TA 点赞

若觉得本文不错，就分享一下吧！

评论

评论

共同学习，写下你的评论

评论加载中...

展开查看更多评论

作者其他优质文章

正在加载中

K哥爬虫

Python工程师

手记
篇

粉丝

28

获赞与收藏

44

关注作者，订阅最新文章

阅读免费教程

Python 办公自动化教程

17个小节 26990 912

Python 算法入门教程

15个小节 29446 1132

Python 进阶应用教程

38个小节 71035 1107

推荐

评论

收藏

共同学习，写下你的评论



感谢您的支持，我会继续努力的～

扫码打赏，你说多少就多少

赞赏金额会直接到老师账户

支付方式

打开微信扫一扫，即可进行扫码打赏哦

今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与放弃机会

点击
抽奖

慕课手记新用户专享福利

恭喜你，你的运气太好了，居然抽中了 100个积分！

恭喜你，抽中了价值元的专栏！

太棒了，直接落到你账户里！

积分商城里的罗技鼠标、机械键盘、
Kindle 阅读器、小米平衡车
Apple iPad （10.2英寸）、大额优惠券
在等着你去兑换了噢

作者：

免费赠送

兑换码：1111222211 复制

优惠券可用于购买实战课、体系课
无门槛使用

先去看看，有什么好东西马上兑换我爱学习，选课去


热搜

最近搜索清空