本文详细描述了作者使用charles抓包工具发现商品请求头中的anti-token,并通过jadx反编译、unidbg和frida等技术手段,逐步解析出anti-token的生成过程,涉及SecureNative、SDK内部机制以及自定义syscallhandler的使用。
前言:拼夕夕charles抓包分析发现跟商品相关的请求头里都带了一个anti-token的字段且每次都不一样,那么下面的操作就从分析anti-token开始了
1.jadx反编译直接搜索
选中跟http相关的类对这个方法进行打印堆栈
结合堆栈方法调用的情况找到具体anti-token是由拦截器类f.a方法调用的,在http.a.c()方法中生成并且http.p.e()方法中加入请求头
在http.a.c()方法中有个一个判断条件如果为true则走d.a().e()方法生成anti-token
如果为false则走j()方法生成anti-token
hook这个i()方法返回值可知获取商品详情接口返回值为false所以走的是j()方法进行计算anti-token。
SecureNative.deviceInfo3()方法生成,传入的str为pdd生成的固定id 一个字符串.
根据hook_libart 得到info3()方法是在libodd_secure.so中,那么ida打开看看这个so包
2.这部分我们采用unidbg+jnitrace+frida相结合的方式
unidbg前期准备的代码这里就不发了直接调用这个info3方法
这里提示调用gad()方法返回一个字符串那么frida hook这个方法拿到这个值 如下图 一个固定的字符串
16位长度看着像AES的密钥
继续补环境 这里简单补环境就不发了
补完简单的环境代码后,再次运行报这个错误 看错误应该是缺少文件 ,那么看看日志需要补那个文件
继续运行,没有返回值报空指针。execve()函数执行的时候程序exit了这里我们返回对象本身.
execve()函数执行的时候程序exit了
execve filename=/system/bin/sh, args=[sh, -c, cat /proc/sys/kernel/random/boot_id]
这个函数相当于查看 boot_id这个文件信息
捋顺下逻辑应该就是先fork进程 然后在子进程中读取这个文件 然后把他写入pip中
那么自定义syscallhandler后 再次运行成功拿到结果
全部代码如下:
package pdd;
import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Emulator;
import com.github.unidbg.Module;
import com.github.unidbg.file.FileResult;
import com.github.unidbg.file.IOResolver;
import com.github.unidbg.file.linux.AndroidFileIO;
import com.github.unidbg.linux.android.AndroidARMEmulator;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.file.ByteArrayFileIO;
import com.github.unidbg.memory.Memory;
import com.github.unidbg.memory.SvcMemory;
import com.github.unidbg.spi.SyscallHandler;
import com.github.unidbg.unix.UnixSyscallHandler;
import
最低0.47元/天 解锁文章
扫一扫
2988
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
