fenfei
发布于

某手 v8.x 签名计算方法(二) sig和__NS_sig3

一、目标

今天的目标是 sig 和__NS_sig3,咱们抓个包先

main.png

二、步骤

sig 目测像是 MD5

先 jadx 搜索 sig= ,没有找到结果。

再试试 sig ,晕倒 6k 多个结果,突然灵光一闪,这些参数,必然是要加入到 Map 中,那么我们搜索 "sig"

rc1.png

应该就是这个 CPU.getClock,Hook 之

var  signCls = Java.use('com.yxcorp.xxx.util.CPU');
signCls.getClock.implementation = function(a,b,c){
    var result = this.getClock(a,b,c);
    console.log(bytesToString(b));
    console.log(result);

    var stack = threadinstance.currentThread().getStackTrace();
    console.log("Full call stack:" + Where(stack));

    return result;
}

结果还是令人满意的:

rcex.png

入参就是 url 和 post 里面的参数做个排序,然后粘贴在一起。咱们顺接堆栈往上找,sig 出现了,__NS_sig3 应该不远了。

jeb 要出场了

一直回溯到 p.c0.n.y.v.a 开始不开心了,jadx 罢工了

jadx.png

这下可怎么办?真要回去直接手撕 smali?虽然比 Arm 汇编长得好看一点点,毕竟也是歪瓜裂枣呀。

还好我们一直奉行朋友多了路好走,来新朋友 Jeb Pro 登场
http://91fans.com.cn/post/jebtool/

Jeb 果然比 jadx 牛 X 一些些,有 IDA 的风格,啃 Apk 就啃了好几分钟。

jeb.png

先生曾经说过,饭量越大,能力越大。

lx.jpg

在 Jeb 的大胃王的帮助下,我们很快定位了 KSecurity.atlasSign(v0_1)

啥也甭说了,大兄弟,Hook 你:

var IKSecurityExCls = Java.use("com.xxx.android.security.KSecurity");
IKSecurityExCls.atlasSign.implementation = function(a){
    var result = this.atlasSign(a);
    console.log(a + " >>> atlasSignB " + result);
    return result;
}

结果非常美丽:

rc.png

三、总结

开发经验很重要,有些关键字关键函数的的定位需要开发经验的帮助。然后手头都掌握几个工具,jadx 歇了咱们还有 jeb 嘛。

评论
  • 小码哥

    他们的签名算法客户端实现使用 Java 写的吗? 有点不太安全咯。