前言
跟着龙哥搞了几次unidbg了,这次也自己尝试用来分析下某潮流app了。
分析
1.抓包
先抓个包
我们要搞的就是这个sign-v1了。
2.调试找参数
jadx一顿分析,一搜:
搜出来还不少,往下翻,找找一些特征,很快找到这里
点进去
ok,用objection hook之后,发现不是这个方法,但是确实是这个方法所在的类的b方法:
然后调用了这个getsign,getsign就在下面
再来hook下这两个方法:
基本确定,就是这里了,抓包工具也对比就是这里:
3.ida查看:
打开ida看看,发现是静态绑定的
可以的,感觉很简单
调试
1.搭架子
首先搭一下架子,然后既然他不是动态注册的,那就可以不用设置调用jni_load了:
看着没毛病,直接调用吧
2.调用&补环境
废话不多说,直接拿着hook到的参数拿来调用:
看下,这个ach是啥,ok,看样子就是随机生成一个16位的字符串
补一下环境
继续看
原来就是把这几个加起来
补一下:
结果已经出来了。但是打印的是一个dvmobject对象。很奇怪了。再看看hook的结果:
其实是个有三个元素的字符串数组。所以他应该是对象
断点调试一下
结果这么写会报错:
强转string[]也不行,就很尴尬
3.结果修复
问了一下unidbg的大佬,应该这么写:
这么写就可以了。
DvmObject[] result = (DvmObject[])
vm.getObject(number.intValue()).getValue(); String sign = result[2].toString();
4.另一种调用
首先,我们都知道有,地址调用,符号调用,如下:
其实,根据我问的unidbg玩的6的大佬,还有另一种调用
这么写,代码量减少了很多。
但是有个问题就是,那个network类,需要在构造方法里定义一下:
另外,这个方法的签名,怎么拿到,用jadx的smali代码查看:
这里就直接有了,复制过去就可以用,注意最后的【;】也要带上。
5.验证是否可用
试试刚才的两种调用的结果,能不能拿来请求,然后正常返回呢?
ok,两个都可以 ,说明主动调用,整个过程,很成功
结语
整个过程很轻松加愉快。除了最后的dvmObject数组的转换,其他没啥需要记录的。