[记录]Python反反爬虫 – Frida破解某盒子hkey反爬虫算法 | 祭夜博客
  • 欢迎光临,这个博客颜色有点多

[记录]Python反反爬虫 – Frida破解某盒子hkey反爬虫算法

Android msojocs 4年前 (2020-07-29) 2729次浏览 已收录 1个评论 扫描二维码
文章目录[隐藏]

前言

这盒子有个抽奖功能,但是中奖率感人~
故,hack!
用到的工具:


1.抓包软件:NetKeeper[安卓端]
2.jeb分析工具[PC端]
3.ida分析工具[PC端]
4.Frida [Python模块以及服务端]

分析处理

先抓个包包吧

[记录]Python反反爬虫 - Frida破解某盒子hkey反爬虫算法

主要请求部分如下:

POST /account/data_report/?type=13&time_=1595993115&heybox_id=17584182&imei=xxxxx&os_type=Android&os_version=6.0&version=1.3.114&_time=1595993115&hkey=bd34ee4c62&channel=heybox_yingyongbao HTTP/1.1

经过测试hkey会随time_值变动而变动

jeb分析

搜寻hkey
[记录]Python反反爬虫 - Frida破解某盒子hkey反爬虫算法
v1v2的值来源似乎不好处理,
为了减少脑细胞与头发的消耗,可以尝试从NDKTools->encode方法入手。
但是,到达encode位置后(Ctrl+双击),
[记录]Python反反爬虫 - Frida破解某盒子hkey反爬虫算法
啊,这得上ida了

ida分析

进入ida的encode中,
[记录]Python反反爬虫 - Frida破解某盒子hkey反爬虫算法
[记录]Python反反爬虫 - Frida破解某盒子hkey反爬虫算法
看似没什么大问题,来hook:

console.log("========Hook Start==========")

String.prototype.format = function () {
    var values = arguments;
    return this.replace(/\{(\d+)\}/g, function (match, index) {
        if (values.length > index) {
            return values[index];
        } else {
            return "";
        }
    });
}

var JNI_LOAD_POINTER = Module.getExportByName('libnative-lib.so', 'JNI_OnLoad'); // 首先拿到 JNI_OnLoad方法的地址
var BASE_ADDR = parseInt(JNI_LOAD_POINTER) - parseInt('0x1C6C'); // 用程序运行中JNI_OnLoad的绝对地址减去它的相对地址得到基址


// encode
Java.perform(function() {
    var hookpointer = '0x' + parseInt(BASE_ADDR + parseInt('0x1B00')).toString(16) // 获取要hook方法的地址
    var pointer = new NativePointer(hookpointer) // 根据方法地址构建NativePointer
    console.log('[encode] hook pointer: ', pointer)
    
    var arg0, arg1, arg2, arg3
    Interceptor.attach(pointer, {
            onEnter: function(args) {
                arg0 = args[0]
                arg1 = args[1]
                arg2 = args[2]
                arg3 = args[3]
                console.log('\n')
                console.log('=====> [encode] -> [方法调用前]')
                console.log('参数1: {0} => {1}'.format(arg0, Memory.readCString(arg0)))
                console.log('参数2: {0} => {1}'.format(arg1, Memory.readCString(arg1)))
                console.log('参数3: {0} => {1}'.format(arg2, Memory.readCString(arg2)))
                console.log('参数4: {0} => {1}'.format(arg3, Memory.readCString(arg3)))
                console.log('参数5: {0} => {1}'.format(args[4], Memory.readCString(args[4])))
                console.log('\n')
            },
            onLeave: function(retval) {
                console.log('\n')
                console.log('=====> [encode] -> [方法调用后]:')
                console.log('返回值: ', retval)
                console.log('参数1: {0} => {1}'.format(retval, Memory.readCString(retval)))
                console.log('\n')
            }
        }   
    )
})

但是,还是出了些问题:
[记录]Python反反爬虫 - Frida破解某盒子hkey反爬虫算法
额,我不觉得肉眼能看出这是什么东西 #(流汗滑稽)
既然程序处理了一些不能看的东西,那就尝试去找出能看的东西吧 #(摊手)
我觉得选择MDString比较好,因为可以看到什么东西被拿去算md5了。
hook MDString:

console.log("========Hook Start==========")

String.prototype.format = function () {
    var values = arguments;
    return this.replace(/\{(\d+)\}/g, function (match, index) {
        if (values.length > index) {
            return values[index];
        } else {
            return "";
        }
    });
}

var JNI_LOAD_POINTER = Module.getExportByName('libnative-lib.so', 'JNI_OnLoad'); // 首先拿到 JNI_OnLoad方法的地址
var BASE_ADDR = parseInt(JNI_LOAD_POINTER) - parseInt('0x1C6C'); // 用程序运行中JNI_OnLoad的绝对地址减去它的相对地址得到基址

// MDString
Java.perform(function() {
    var hookpointer = '0x' + parseInt(BASE_ADDR + parseInt('0x15C4')).toString(16) // 获取要hook方法的地址
    var pointer = new NativePointer(hookpointer) // 根据方法地址构建NativePointer
    console.log('[MDString] hook pointer: ', pointer)
    
    var arg0, arg1, arg2, arg3
    Interceptor.attach(pointer, {
            onEnter: function(args) {
                arg0 = args[0]
                arg1 = args[1]
                arg2 = args[2]
                console.log('\n')
                console.log('=====> [MDString] -> [方法调用前]')
                console.log('参数1: {0} => {1}'.format(arg0, Memory.readCString(arg0)))
                console.log('\n')
            },
            onLeave: function(retval) {
                console.log('\n')
                console.log('=====> [MDString] -> [方法调用后]:')
                console.log('返回值: ', retval)
                console.log('返回: {0} => {1}'.format(retval, Memory.readCString(retval)))
                console.log('参数1: {0} => {1}'.format(arg0, Memory.readCString(arg0)))
                console.log('\n')
            }
        }   
    )
})

输出:
[记录]Python反反爬虫 - Frida破解某盒子hkey反爬虫算法
可以发现,返回值正是将/game/all_recommend/bfhdkud_time=1596004491进行MD5加密:
[记录]Python反反爬虫 - Frida破解某盒子hkey反爬虫算法
结合抓包到的请求,
可以得到NDKTOOL->encode的原理:

由路径/game/all_recommend与时间戳1596004491以及/bfhdkud_time=
拼接成/game/all_recommend/bfhdkud_time=1596004491算出32位 小写md5-> 837444501881f2af92b9cc0f0a9505fc

结论

hkey的处理流程:
[记录]Python反反爬虫 - Frida破解某盒子hkey反爬虫算法

注:Hook代码编写,参考:Python反反爬虫 – Frida破解某安卓社区token反爬虫


祭夜の咖啡馆 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:[记录]Python反反爬虫 – Frida破解某盒子hkey反爬虫算法
喜欢 (20)
[1690127128@qq.com]
分享 (0)
发表我的评论
取消评论
OwO表情
贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
(1)个小伙伴在吐槽
  1. 非常不错啊,期待更多好内容!
    动作游戏2020-08-10 19:37 回复 Windows 7 | Firefox浏览器 79.0