来自逆向大佬的某音app分析

这篇文章没什么技术性，非常简单。

android 某音最新版本v8.1.1抓包请求的api是v2版本，返回的json被稍微加密了，虽然能看出一些内容，但是中文几乎全部被加密，本来想研究apk的，奈何我当年没好好学，很菜，所以我就想到其他版本，就好像写爬虫pc复杂转移动端那样转其他版本，我找到一个v1版的api且能正常使用的版本1.6.6，该api返回的json内容很干净

所需工具:

jadx、jeb

1.1 参数分析

抓个包，别找错了请求url。。。我之前就找错了，有一条请求包很大，其实是你附近的视频列表

这里的url和请求  url：https://aweme-eagle.snssdk.com/aweme/v1/feed/  params：

1. {

2. 'type': '0', # 不知道啥玩意儿

3. 'max_cursor': '0', # 不知道啥玩意儿

4. 'min_cursor': '0', # 不知道啥玩意儿

5. 'count': '6', # 个数

6. 'volume': '0.2', # 不知道啥玩意儿

7. 'retry_type': 'no_retry', # 不知道啥玩意儿

8. 'iid': '88263783316', # install id，固定即可

9. 'device_id': '69143529399', # 设备id，固定即可

10. 'ac': 'wifi', # 网络类型

11. 'channel': 'wandoujia', # 安装渠道吧

12. 'aid': '1128', # 不知道啥玩意儿

13. 'app_name': 'aweme', # appname

14. 'version_code': '166', # 版本号

15. 'version_name': '1.6.6', # 版本

16. 'device_platform': 'android', # 设备平台

17. 'ssmix': 'a', # 不知道啥玩意儿

18. 'device_type': 'MI+8+UD', # 设备类型

19. 'device_brand': 'Xiaomi', # 设备品牌

20. 'language': 'zh', # 系统语言

21. 'os_api': '28', # android 版本号

22. 'os_version': '9', # android 版本

23. 'uuid': '868695035559432', # 多半和登陆账号有关

24. 'openudid': 'ffa82bd3b1106594', # 不知道啥玩意儿

25. 'manifest_version_code': '166', # androidmanifest中的版本号

26. 'resolution': '1080*2029', # 分辨率

27. 'dpi': '440', # dpi

28. 'update_version_code': '1662', # 更新版本号

29. '_rticket': '1570419542810', # 时间戳

30. 'ts': '1570419542', # 时间戳

31. 'as': 'a185bba996d57d23ba', # 不知道啥玩意儿

32. 'cp': 'b357d1586da49f39e1' # 不知道啥玩意儿

33. }

ok，简要分析了下各个参数大概是干嘛的，等我多抓几次包，看看哪些是不变的，或者哪些可以去除，骚等一会  ...  第二次抓包与第一次对比变化的参数如下：

_rticket、ts、as、cp

as、iid、_rticket、ts是刚需，cp可有可无，以及其他基本不变的参数也是基本都需要的，否则会返回类似这玩意儿的结果

1. {'status_code': 2154,

2. 'aweme_list': [],

3. 'has_more': 1,

4. 'min_cursor': 0,

5. 'max_cursor': 0}

所以，我们现在需要找到 as、cp 这俩参数加密的地方

1.2 JEB分析

打开jeb3.0，拽入apk

1. 正在处理artifact...

dnmd，等一万年  加载完

先搜索iid，我在上面说了这个不变即可，但我还是要让各位搞明白这个是啥

一会就找到了

在Mac上jeb3.0反编译是按tab，

可以看到iid其实是叫install_id，所以我猜测这个保持不变即可

接着搜索"as"，记得把分大小写和环绕搜索勾上

在多次搜索->反编译分析->搜索之后，找到一个可疑的类

反编译

我觉得这个对新手不太友好，所以我决定换jadx反编译，然后贴出关键部分代码：

1. // 首先是通过UserInfo类的getUserInfo方法获取用户的信息...吧

2. String userInfo = UserInfo.getUserInfo(NetworkUtils.getServerTime(), tVar.toString(), strArr);

3. // 这个我反编译看了下，代码有点长，懒得分析，不用管它了

4. t.a q = tVar.q();

5. // 获取字符串长度

6. int length = userInfo.length();

7. if (TextUtils.isEmpty(userInfo)) { // 如果userInfo为null或者长度为0

8. q.a(AdvanceSetting.ADVANCE_SETTING, "a1iosdfgh").a("cp", "androide1");

9. } else if (length % 2 == 0) { // 判断userInfo长度是不是2的倍数

10. q.a(AdvanceSetting.ADVANCE_SETTING, userInfo.substring(0, length >> 1)).a("cp", userInfo.substring(length >> 1, length));

11. } else {

12. q.a(AdvanceSetting.ADVANCE_SETTING, "a1qwert123").a("cp", "cbfhckdckkde1");

13. }

管它呢，先hook到getUserInfo返回的东西再说...emmm，当我点进UserInfo类后陷入了沉思

OK，关于native下一篇再讲，先看看还有没有其他办法，毕竟刚刚的判断让我觉得还有希望；还是先hook到userinfo再说，既然本篇没法hook getUserInfo方法，那我们就直接hook当前方法。

getUserInfo    第一个参数很明显是个时间，int类型    第二参数是我们这个方法的参数调用toString方法后，String类型    第三个参数也可以通过这个方法的参数算出来，String[]类型

开始动手

1. Java.perform(function() {

2. var cls_b = Java.use('com.ss.android.ugc.aweme.f.a.b');

3. // var cls_NetworkUtils = Java.use('com.ss.android.common.util.NetworkUtils');

4. cls_b.a.implementation = function(t) {

5. console.log('[hook] cls_b.a function...')

6. var set_n = t.n().toArray();

7. // console.log('[cls_b.a] server time:', cls_NetworkUtils.getServerTime())

8. set_n.forEach(function(a) {

9. console.log(a, '---', t.c(a), '\n')

10. });

11. }

12. })

输出如图

应该很眼熟，就是请求的参数，然后那个getServerTime()返回的是时间戳，接着模拟调用一下getUserInfo。我已经成功获取到userInfo，所以我直接贴上所有代码

1. Java.perform(function() {

2. console.log('---')

3. // 首先拿到一些要用到的class的对象

4. var cls_b = Java.use('com.ss.android.ugc.aweme.f.a.b');

5. var cls_UserInfo = Java.use('com.ss.android.common.applog.UserInfo');

6. var cls_NetworkUtils = Java.use('com.ss.android.common.util.NetworkUtils');

7. console.log('===')

8. console.log(cls_b);

9.  

10. // 接着hook b.a 方法

11. cls_b.a.implementation = function(t) {

12. console.log('[hook] cls_b.a function...')

13. var set_n = t.n().toArray(); // 这里是将t.n()返回的set类型数据转为array

14. console.log('[cls_b.a] set_n:', set_n);

15. console.log('[cls_b.a] server time:', cls_NetworkUtils.getServerTime())

16. var param3 = [] // 这个是参数3

17. set_n.forEach(function(a) {

18. param3.push(a); // 添加请求参数中的key

19. param3.push(t.c(a)); // 添加请求参数中的values（t.c方法是获取value的)

20. });

21. param3 = Java.array("java.lang.String", param3); // 将param3转为Java中的String[]类型

22. console.log('[cls_b.a] param3:', param3);

23. // 调用getUserInfo

24. var userInfo = cls_UserInfo.getUserInfo(Math.round(Date.now()*0.001), t.toString(), param3);

25. console.log('[cls_b.a] UserInfo:', userInfo);

26. }

27. })

运行结果

1. [*] Running CTF

2. ---

3. ===

4. <com.ss.android.ugc.aweme.f.a.b>

5. [hook] cls_b.a function...

6. [cls_b.a] set_n: aweme_id,cursor,count,comment_style,ts,app_type,manifest_version_code,_rticket,ac,device_id,iid,os_version,channel,version_code,device_type,language,uuid,resolution,openudid,update_version_code,app_name,version_name,os_api,device_brand,ssmix,device_platform,dpi,aid

7. [cls_b.a] server time: 1570438077

8. [cls_b.a] param2: aweme_id,6744653984100846859,cursor,0,count,20,comment_style,2,ts,1570438077,app_type,normal,manifest_version_code,166,_rticket,1570438077547,ac,wifi,device_id,69143529399,iid,88263783316,os_version,9,channel,wandoujia,version_code,166,device_type,MI 8 UD,language,zh,uuid,868695035559432,resolution,1080*2029,openudid,ffa82bd3b1106594,update_version_code,1662,app_name,aweme,version_name,1.6.6,os_api,28,device_brand,Xiaomi,ssmix,a,device_platform,android,dpi,440,aid,1128

9. [cls_b.a] UserInfo: a1157fa97e3b6dbb9af3b7d952e7ab93b7e1 # 这就是输出的UserInfo

接着就是上面java代码的后半段

1. // 首先是字符串userInfo

2. String userInfo = 'a1157fa97e3b6dbb9af3b7d952e7ab93b7e1';

3. // 获取下userInfo的长度

4. int uiLen = userInfo.length();

5. // 判断方面我就直接省略了

6. ...

7. // 通过t.q()获取a对象

8. a q = t.q();

9. /** q.a(AdvanceSetting.ADVANCE_SETTING, userInfo.substring(0, length >> 1)).a("cp", userInfo.substring(length >> 1, length));

10. * q先把它当作一个Map

11. * a就是put方法

12. * ADVANCE_SETTING其实就是字符串"as"，它是key

13. * userInfo.substring(0, length>>1) 这是获取userInfo的前半部分，因为length>>1就是除以2

14. * userInfo.substring(length >> 1, length) 这就是获取后半部分

15. **/

16. q.a("as", userInfo.substring(0, uiLen/2))

17. .a("cp", userInfo.substring(uiLen/2, uiLen);

18. return q.c();

然后我改了改hook代码......

1. Java.perform(function() {

2. var cls_b = Java.use('com.ss.android.ugc.aweme.f.a.b');

3. var cls_UserInfo = Java.use('com.ss.android.common.applog.UserInfo');

4. var cls_NetworkUtils = Java.use('com.ss.android.common.util.NetworkUtils');

5.  

6. cls_b.a.implementation = function(t) {

7. console.log('[hook] cls_b.a function...');

8. var set_n = t.n().toArray();

9. console.log('[cls_b.a] set_n:', set_n);

10. console.log('[cls_b.a] server time:', cls_NetworkUtils.getServerTime());

11. var param2 = [];

12. set_n.forEach(function(a) {

13. param2.push(a);

14. param2.push(t.c(a));

15. });

16. param2 = Java.array("java.lang.String", param2);

17. console.log('[cls_b.a] param2:', param2);

18. var userInfo = cls_UserInfo.getUserInfo(Math.round(Date.now()*0.001), t.toString(), param2);

19. console.log('[cls_b.a] UserInfo:', userInfo);

20. var as = userInfo.substring(0, userInfo.length/2);

21. var cp = userInfo.substring(userInfo.length/2, 0);

22. console.log('[cls_b.a] as:', as);

23. console.log('[cls_b.a] cp:', cp);

24. return this.a(t);

25. }

26. })

output

1. [cls_b.a] UserInfo: a19560291bd66dd68b0061d85db4b69963e1

2. [cls_b.a] as: a19560291bd66dd68b

3. [cls_b.a] cp: a19560291bd66dd68b

这样就能通过frida获取参数as、cp，但是就这种程度是不能用python写生成这俩参数的方法，所以我会在下一篇文章写出so的分析

Code：https://github.com/ZCKun/douyin  WeChat Official Account：the2h0Ng