####
模拟器的安装和使用
1,本来是想在mac上使用mumu模拟器,但是安装Xposed一直失败,
2,我尝试使用真机来进行脱壳,但是Xposed可以安装,
电脑adb连接真机的方法:
首先真机打开开发者模式,进入设置,打开关于手机,找到版本号,一直点击版本号,在点击过程中会提示“还有×次,直到打开“开发人员选项”。并且打开usb调试开关,这样adb就能看到设备了
然后使用adb命令,在真机安装fdex2,命令,adb install fdex2.apk
然后进入真机的Xposed,这个app里面--进入模块,-点击fdex2,激活一下,
但是fdex2不支持安卓8,气人!我又不想对这个真机刷机,
3,我尝试在mac上面安装一个虚拟机,运行win10系统,在上面装一个雷电或者夜神模拟器,但是安装上之后非常的慢,根本无法使用,
4,我最后使用了genymotion
这个模拟器,适合开发者使用的一款比较快的Android模拟器,这个比那些夜神模拟器,要好,因为那些模拟器开发出来主要是为了玩游戏的,
第一步,VirtualBox的安装,Genymotion的运行需要依赖狱VirtualBox,所以需要先安装VirtualBox。
第二步,Genymotion的安装,到官网下载https://www.genymotion.com/download/,这个模拟器能再Linux-Ubuntu,mac,还有Windows,都可以安装使用,很强大,
第三步,创建Android模拟器,点击上面的加号Add,弹出一个创建模拟器的窗口。 按下图中的步骤创建一个GoogleNexus5 -6.0.0-API123模拟器。安装速度可能会有点稍慢。耐心等待下就好。
下载安装完成后就会在Genymotion主界面看到刚创建好的Android模拟器。点击start就可以运行这个模拟器了,
我下载的是Google nexus6p手机,安卓6.0版本,
5,当然如果有app开发能力,最好使用Android studio 自带的模拟器,更好
#####
Xposed的安装和脱壳使用
1,在genymotion安装了Xposed,
2,安装了fdex2,使用这个工具要先安装Xposed,这两个都是apk,
3,进入Xposed,这个app里面--点击左上角,进入模块,-点击fdex2,激活一下,
打钩说明这个fdex2,激活了,
4,使用fdex2,这个工具脱壳,
点击这个fdex2,进入这个apk里面,里面会列出你安装的所有app,
然后点击其中一个你要脱壳的app,提示了dex的输出目录,还有就是需要再次打开app,
5,再次打开app,使用adb,进入dex输出目录,看看是否是脱壳出来了,
adb devices,查看一下模拟器目录,如果没有看到尝试adb kill-server ,adb start-server,重新启动一下adb,
adb shell,进入这个模拟器里面,
cd /data/user/0/com.iCitySuzhou.suzhou001,进入这个目录就可以看到dex文件,如果没有就卸载app,安装app,但是不要打开这个app,再重新脱壳一次试试,
adb pull /data/user/0/com.iCitySuzhou.suzhou001 /Users/liqian/Desktop 把这个从模拟器里面pull出来到电脑桌面,
把apk脱壳之后,就会有导出的dex文件,会有好几个dex文件,
然后使用jadx,打开就是源代码了,怎么确定是哪一个dex文件,每一个都打开,搜索MyApplication,看看有没有这个文件, 有就对了
因为这个myapplication是不能被混淆的,要用这个名字做事情的,
大部分都可以使用这个工具脱壳,
使用,jadx-gui,打开这个jadx工具,打开脱壳的dex文件, 看到源码,
至此,整个的脱壳就完成了,
下一步就是开始分析这个脱壳之后的源码了,我们可以看到代码是被混淆的,下一步更重要的是看懂代码,
是不是很简单,那意义在哪里?方法虽然简单,但是你要知道这种方法并不是100%能把一个app脱壳出来,还需要其他更高级的脱壳手段,
这个工具还是要掌握的,因为这个工具可以把大部分的app都脱壳,
#####
实战:我们把引力播app,里面的新闻抓取下来,
安卓逆向第一步:app抓包
首先是要抓包,
使用Charles,进行app抓包,具体的抓包设置网络上都有,
主要的一步是在手机的wifi上面进行设置代理ip和端口,
抓包之后,我们可以发现这个接口里面有一个signature是变化的,
这个字段就是访问api的加密字段,
有的app,接口调用的时候,有一个参数sign,要携带上请求接口才行,这个是变动的,你不知道,所以就不能调用通接口,
可以通过重放来确定这个参数是不是动态的,
下一步就是找到这个signature,然后看他怎么加密的,然后携带上这个signature,才可以请求这个api,
安卓逆向第二步:找到接口参数加密的地方,逆向出来
我们多抓几次包,就会发现这个signature是每次变化的,另外就是每一个接口都有这个signature,
所以我们判断这个是一个公共的部分定义了这个signature,
怎么办?
你需要找到app里面哪里生成的这个sign,是怎么生成的,然后你自己用python写出来,然后携带请求接口就行了,
怎么着这个生成的地方?
我们发现每一个接口都有这个signature,所以应该是一个功能的地方生成的,
第一步,先用jadx打开dex文件,先搜索试试
在源代码里面搜索这个关键词signature,找到对应的代码,可能会有很多的结果,耐心找找
这里面有很多,需要你去分辨,左右是对应的,可以打开文件看,
每一个都看一下,就会给你更多的启发,
这一行就会给我们启发,因为我们请求接口的时候,也有这个字段,
我们双击进入,看就是这个文件,
找到之后可能是混淆过的,可以用工具做反混淆,使用的是jadx-工具里面的一个反混淆,
这样反混淆之后再去查看源代码,这个反混淆不是彻底的,只是把一个名字变成唯一的, 否则你搜索一个a,b,c,会有几千个出来,
找到一个方法实现的地方,可以右键
###
你找到了加密生成的代码之后,你还需要看懂,所以你还是需要java的功底的
这就是生成signature的地方,
但是你看不懂怎么办,可以打包成为一个java文件,让python调用,具体怎么实现呢?
####
安卓逆向第三步:怎么把java代码打包,让python调用?
第一点,你要安装java环境,
第二点,制作java文件,
这个是java加密参数的源码:
####
网上有在线的java执行工具,可以把这段java代码拿出来,然后去执行一下,方便调试java代码,https://tool.lu/coderunner/
import java.security.MessageDigest;
/* renamed from: com.hualong.framework.b.a */
public class MySig {
/* renamed from: a */
public static String get_sig(String str) {
if (str == null) {
return null;
}
StringBuffer stringBuffer = new StringBuffer();
try {
MessageDigest instance = MessageDigest.getInstance("MD5");
instance.update(str.getBytes());
byte[] digest = instance.digest();
for (byte b : digest) {
stringBuffer.append(Integer.toString((b >>> 4) & 15, 16)).append(Integer.toString(b & 15, 16));
}
} catch (Exception e) {
}
return stringBuffer.toString();
}
// public static void main(String args[]){
// System.out.println("hello world");
// }
}把文件编译成为class文件,通过命令,javac xxx.java,
###
第三步,把class文件打包成jar包,通过命令,jar cvf xxx.jar
第四步,通过jpype 这个python的第三方库,调用这个jar,就可以实现python调java了,
这个jpype需要安装一下这个包,pip install jpype1,
###
import jpype
import requests
import time
uuid = "IMEI867686023834169-IMSI460NNNNNNNNNNNN"
time = str(int(time.time()))
ori_sig = uuid + "&&" + time + "&&" + "f1190aca-d08e-4041-8666-29931cd89dde"
# ①、使用jpype开启虚拟机(在开启jvm之前要加载类路径)
# 加载刚才打包的jar文件
jarpath = "/Users/liqian/PycharmProjects/spider/java/MySig.jar"
# 获取jvm.dll 的文件路径
jvmPath = jpype.getDefaultJVMPath()
# 开启jvm
jpype.startJVM(jvmPath, "-ea", "-Djava.class.path=%s" % (jarpath))
# ②、加载java类(参数是java的长类名)
javaClass = jpype.JClass("MySig")
# 实例化java对象
javaInstance = javaClass()
encry_sig = javaInstance.get_sig(ori_sig)
# java.lang.System.out.println(encry_sig)
print(encry_sig)
# ③、调用java方法,由于我写的是静态方法,直接使用类名就可以调用方法
# javaClass.show()
# ④、关闭jvm
jpype.shutdownJVM()
###
从jvmpath就是jpype库的用法了,
startJVM 是开启一个Java虚拟机,
JClass("MySig"),这是调用一个java方法,
我们可以看到是要传递一个字符串进入,这个字符串的格式就是uuid设备id,时间戳,还有一串固定字符串,三部分通过&&组成的,
最终python代码:
import jpype
import requests
import time
import urllib3
urllib3.disable_warnings()
udid = "IMEI867686023834169-IMSI460NNNNNNNNNNNN"
time = str(int(time.time()))
ori_sig = udid + "&&" + time + "&&" + "f1190aca-d08e-4041-8666-29931cd89dde"
# ①、使用jpype开启虚拟机(在开启jvm之前要加载类路径)
# 加载刚才打包的jar文件
jarpath = "/Users/liqian/PycharmProjects/spider/java/MySig.jar"
# 获取jvm.dll 的文件路径
jvmPath = jpype.getDefaultJVMPath()
# 开启jvm
jpype.startJVM(jvmPath, "-ea", "-Djava.class.path=%s" % (jarpath))
# ②、加载java类(参数是java的长类名)
javaClass = jpype.JClass("MySig")
# 实例化java对象
javaInstance = javaClass()
encry_sig = javaInstance.get_sig(ori_sig)
# java.lang.System.out.println(encry_sig)
print(encry_sig)
# ③、调用java方法,由于我写的是静态方法,直接使用类名就可以调用方法
# javaClass.show()
url = "https://app.suzhou-news.cn/api/v1/appNews/getBannerNewsList7?page=1&bannerID=11"
headers = {
"sys": "Android",
"sysversion": "8.1.0",
"appversion": "8.2",
"appversioncode": "54",
"udid": udid,
"clienttype": "android",
"timestamp": "1632747791",
"signature": "850196b383f11879ebb2c232d04d3b47",
"accept-encoding": "gzip",
"user-agent": "okhttp/3.9.0",
"Accept": "*/*",
"Postman-Token": "3c95da01-208f-4d15-895d-3a3230654863",
"Host": "app.suzhou-news.cn",
"Connection": "keep-alive",
}
# resp = requests.get(url, verify=False) # {"code":3,"message":"请求失败,缺少必要参数"}
resp = requests.get(url, headers=headers,verify=False)
print(resp.text)
# ④、关闭jvm
jpype.shutdownJVM()
这样用这个python代码,就可以成功通过接口获取到数据了,
###
但是这种把java拿过来直接python调用的方法,
不是任何时候都适用的,
因为有时候,这段java代码可能是有很多的依赖的包,你运行的时候,就会缺少很多的包,
这样就很麻烦,所以用python调用java的情况,这段代码最好不要有太多的依赖,
如果加密的程序,依赖别的文件比较少,可以使用这种方法,但是如果太复杂,依赖比较多,这个还是需要自己使用python实现,这个就是比较难的地方,
###
####
技术改变命运
