安卓逆向分析之酷狗signature案例分享

2023-05-03 原文

仅做学习交流，如有侵犯联系必删。

前言

一篇酷狗app安卓逆向的文章，难度适中。

样本: 酷狗app v10.8.8

工具: jadx、Pixel3 安卓10、frida、charles

小伙伴可以跟着一起做做

提示：以下是本篇文章正文内容，下面案例可供参考

一、抓包待分析参数

1.1 charles抓包-音乐评论接口

在这里插入图片描述

可以看到signature参数，用apipost模拟请求下试试

1.2 模拟请求

在这里插入图片描述

1.3 查壳

在这里插入图片描述

二、分析

2.1 packageName

在这里插入图片描述

package=“com.kugou.android” 接下来hook需要用到

2.2 搜索关键词

在这里插入图片描述

hashMap.put(“signature”,com.kugou.android.ads.feev4.a.a(sb.toString())); 相当可疑了我们点进去看下

在这里插入图片描述

代码如下

    public static Map<String, Object> a(Context context, JSONObject jSONObject) {
        HashMap hashMap = new HashMap();
        hashMap.put("dfid", com.kugou.common.q.b.a().dq());
        hashMap.put("appid", com.kugou.android.b.c.d());
        hashMap.put("mid", br.j(context));
        hashMap.put("uuid", com.kugou.common.q.b.a().ak());
        hashMap.put("clientver", Integer.valueOf(d.a(context)));
        hashMap.put("clienttime", Long.valueOf(System.currentTimeMillis() / 1000));
        String a2 = com.kugou.android.ads.feev4.a.a(hashMap);
        StringBuilder sb = new StringBuilder();
        sb.append(a2);
        sb.append(jSONObject == null ? "" : jSONObject.toString());
        hashMap.put("signature", com.kugou.android.ads.feev4.a.a(sb.toString()));
        return hashMap;
    }

可以看到定义hashMap put(“dfid”) put(“appid”)等等

String a2 = com.kugou.android.ads.feev4.a.a(hashMap);
StringBuilder.append(a2),

hook下a2的值

2.3 a2追踪hook

com.kugou.android.ads.feev4.a.a(hashMap);

在这里插入图片描述

jadx代码如下：

  public static String a(Map<String, Object> map) {
        if (map == null || map.isEmpty()) {
            return "";
        }
        ArrayList<String> arrayList = new ArrayList(map.keySet());
        Collections.sort(arrayList);
        StringBuilder sb = new StringBuilder();
        for (String str : arrayList) {
            if (!TextUtils.isEmpty(str)) {
                sb.append(str);
                sb.append(ContainerUtils.KEY_VALUE_DELIMITER);
                sb.append(map.get(str));
            }
        }
        return sb.toString();
    }

在这里插入图片描述

参数 --> [object Object]
参数 --> appid=1005clienttime=秒级时间戳clientver=10889dfid=xxmid=xxuuid=xx

hook代码如下：

import frida, sys
def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)
        
jscode_hook = """
    Java.perform(
        function(){
			var a2_class = Java.use("com.kugou.android.ads.feev4.a")
            a2_class.a.overload('java.util.Map').implementation = function (m) {
			       console.log("参数 --> " m)
			       var result = this.a(m)
			       console.log("参数 --> " result1)
			       return result
			    }
 })
"""
process = frida.get_usb_device().attach('com.kugou.android')
script = process.create_script(jscode_hook)
script.on('message', on_message)
print('[*] Hook Start Running')
script.load()
sys.stdin.read()

a2 = "appid=1005clienttime=秒级时间戳clientver=10889dfid=xxmid=xxuuid=xx"

接着往下分析

hashMap.put(“signature”, com.kugou.android.ads.feev4.a.a(sb.toString()));

点进去看下a()

在这里插入图片描述

2.4 b2追踪hook

String b2 = h.a().b(a.AbstractC1142a.N);

在这里插入图片描述

返回了b2的值 hook看看

在这里插入图片描述

b2 = “OIlwieks28dk2k092lksi2UIkp”

return ba.c(b2 str b2);

2.5 hook 加密函数

hook代码如下:

import frida, sys
def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)
jscode_hook = """
Java.perform(
    function(){
            var sign_class = Java.use("com.kugou.common.utils.ba");
            console.log(sign_class);
            if (sign_class != undefined) {
                    sign_class.b.overload('java.lang.String').implementation = function (str) {
                    console.log("参数: ==> : "   str);
                    var res = sign_class.b(str);
                    console.log("解密结果: ==> "   res);
                    return res;
                }
            }
    }
)
"""
process = frida.get_usb_device().attach('com.kugou.android')
script = process.create_script(jscode_hook)
script.on('message', on_message)
print('[*] Hook Start Running')
script.load()
sys.stdin.read()

hook结果:

在这里插入图片描述

params: OIlwieks28dk2k092lksi2UIkpappid=1005clienttime=1643368936clientver=10889dfid=1bHOPF2BFRqk3UpxUx1hzf53mid=232539908206342312896345662088253784255uuid=ed42ee74c48dd921427f2729a68787a7{“plat”:0,“channel”:“287”,“operator”:7,“networktype”:2,“userid”:0,“vip_type”:65530,“m_type”:0,“tags”:"{}",“device”:{“phonebrand”:“google”,“sysmodel”:“Pixel 3”,“osversion”:“10”,“boot_time”:“ae3d80cd-0450-415a-ab64-814b54c1dd6e”,“os_update_time”:“441644.63333339”,“width”:1080,“height”:2028},“song”:{“hash”:“ce388811b08b3327c388e2b0ed1f2d30”,“albumid”:0,“album_audio_id”:339101224},“mode”:“normal”}OIlwieks28dk2k092lksi2UIkp
结果: ca66b35e1581e9494f52cbec986816eb 32位试下是不是md5

在这里插入图片描述

运气很好signature是参数进行拼接处理后的md5结果。

以上就是安卓逆向分析之酷狗signature案例分享的详细内容，大家有兴趣可以跟着做下，更多关于安卓逆向的资料请关注Devmax其它相关文章！

随机推荐

Flutter 网络请求框架封装详解

这篇文章主要介绍了Flutter 网络请求框架封装详解，小编觉得挺不错的，现在分享给大家，也给大家做个参考。一起跟随小编过来看看吧
Android单选按钮RadioButton的使用详解

今天小编就为大家分享一篇关于Android单选按钮RadioButton的使用详解，小编觉得内容挺不错的，现在分享给大家，具有很好的参考价值，需要的朋友一起跟随小编来看看吧
解决android studio 打包发现generate signed apk 消失不见问题

这篇文章主要介绍了解决android studio 打包发现generate signed apk 消失不见问题，具有很好的参考价值，希望对大家有所帮助。一起跟随小编过来看看吧
Android 实现自定义圆形listview功能的实例代码

这篇文章主要介绍了Android 实现自定义圆形listview功能的实例代码,本文通过实例代码给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
详解Android studio 动态fragment的用法

这篇文章主要介绍了Android studio 动态fragment的用法,本文给大家介绍的非常详细，对大家的学习或工作具有一定的参考借鉴价值，需要的朋友可以参考下
Android用RecyclerView实现图标拖拽排序以及增删管理

这篇文章主要介绍了Android用RecyclerView实现图标拖拽排序以及增删管理的方法，帮助大家更好的理解和学习使用Android，感兴趣的朋友可以了解下
Android notifyDataSetChanged() 动态更新ListView案例详解

这篇文章主要介绍了Android notifyDataSetChanged() 动态更新ListView案例详解,本篇文章通过简要的案例,讲解了该项技术的了解与使用,以下就是详细内容,需要的朋友可以参考下
Android自定义View实现弹幕效果

这篇文章主要为大家详细介绍了Android自定义View实现弹幕效果，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
Android自定义View实现跟随手指移动

这篇文章主要为大家详细介绍了Android自定义View实现跟随手指移动，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下
Android实现多点触摸操作

这篇文章主要介绍了Android实现多点触摸操作，实现图片的放大、缩小和旋转等处理，文中示例代码介绍的非常详细，具有一定的参考价值，感兴趣的小伙伴们可以参考一下