Crack App | 某新闻 app 注册 token 加密逻辑分析

图源：极简壁纸

今日目标

aHR0cHM6Ly93d3cud2FuZG91amlhLmNvbS9hcHBzLzY2Mjk5Mzg=

抓包分析

在内容列表的请求包里面的有token这个参数值

但是在开始的这个init包里面没有这个token值

在开始的这个init请求之后的所有的包都带有token这个参数

猜测是开始的init包带有的加密返回值有这个token参数，就类似设备注册的意思

所以分析的重点从列表页移动到了开始的init包里面

查壳与脱壳

先看看这个app的壳能不能搞

好像有点难搞，先用寒冰大大的FART试试

试了下开源版的frida_fart，提示进程终止，应该是没了，可能是我的姿势不对，有知道的大佬评论区指点一下

于是我换北风哥的脱壳机试了一试，于是我找北风哥 py 了一下，舒服~

北风哥也提示了我可以用frida-dexdump试试，并且fart也是可以的，操作提示如下

在北风哥的提示下，我研究一下用frida-dexdump脱ijm企业版

拖完发现没有北风哥脱得全，应该还是我的姿势不对，所以接下来我还是用北风哥脱得 dex 分析

加密逻辑分析与定位

因为由init这个请求返回的data的加密，所以以init为关键词搜索

看了几个位置，感觉相关性都不高

想了一下用token作为关键词检索，发现结果是在太多了，有1800+多个相关的结果，最后还是在inits里面找到了

在这个位置点进去，然后通过InitParam声明的地方找到下面的位置

那么在请求头中的siganature可能就是这里获取到的，通过getSign关键词找到下面这个位置

所以在header中的siganature就是getSign()，然后在这个位置出入m.c并将结果阶段传入e.a

但是通过wallbreak只看到下面的代码

这样感觉没办法搞啊，经过一番寻找，还得是旧版的app牛逼

在旧版的app里找到下面的代码

照着和新版对比一下就知道，e.a是DES.decrypt，然后m.c是MD5

既然是这样的话就很简单了

按照这个思路复写应该就可以了

key是由这里的逻辑生成的

这里用到的APP_SECRET_AKEY和时间戳多次MD5得到 key

ps：就在上图逻辑的上方，新旧版本相同

得到key之后，解密入参的是请求返回的密文 data

用python可以实现解密

可以看到在结果里面取到token了

简单总结

这个app磕磕绊绊了很久，在新版的加密上琢磨了很久，钻了牛角尖，如果早点分析旧版估计很快就分析出来了

所以之后如果不是必要还是不要死磕新版，不仅加固牛逼，混淆也很厉害，还有检测，我用frida和objection都没办法spawn的方式启动app

唉，又是被APP教做人的一天。

感谢北风哥，2h 大佬等众多哥哥的脱壳测试。

End.

以上就是全部的内容了，咱们下次再会~

我是没有更新就在摸鱼的咸鱼

收到请回复~

我们下次再见。

对了，看完记得一键三连，这个对我真的很重要。