一点资讯signature分析

作者: ever_hu | 来源:发表于2021-12-06 19:39 被阅读0次

一点资讯signature分析
菱菱邦signature及sd参数分析
「r<-包」使用 sigminer 进行突变模式分析
mfw sigh signature 请求协议分析(2)
mfw sigh signature 请求协议分析
一点资讯-APP体验分析
一点资讯产品分析报告
「r<-工具」在 Hiplot 中使用 Sigflow
某音_signature，分析过程
客路旅行X-Signature协议分析

一点资讯signature分析

环境

app：4.9.6.1

Java层

抓包

image-20211206164926419

jadx搜索"signature"

image-20211206165111046

defpackage.bhl -> d

image-20211206165335059

转到com.yidian.news.util.sign.SignUtil.a

image-20211206165452085

可以看到最终是调用了native函数signInternal。

frida hook一下

Java.perform(function(){
    var signUtil = Java.use("com.yidian.news.util.sign.SignUtil");
    signUtil.signInternal.implementation = function(ctx, s1) {
        console.log("s1=", s1);
        var ret = this.signInternal(ctx, s1);
        console.log("ret=", ret);
        return ret;
    }
})

image-20211206170344826

输入的构造可以参考上面defpackage.bhl-j函数是如何调用d函数，并结合抓包的结果

so层

ida打开libutil.so，函数窗口搜索"Java"

image-20211206170510040

说明是静态注册，进入signInternal函数

image-20211206170557905

sub_EAC

image-20211206170633729

sub_C50

image-20211206171413197

emm，里面调用的函数有点多，一时间不知道干什么，先从输出开始倒推吧。

从signInternal可以看到v24是返回结果，而它是在sub_EAC的第4个参数参与计算的；

然后再看sub_EAC的a4，a4由v9赋值，而v9=v8，v8由v12赋值，v12是sub_C50的第2个参数；

继续分析sub_C50，可以看到a2在sub_3560参与了计算，所以应该看看这个函数

image-20211206173417724

好家伙，一看就是base64了，那个字符串就是码表。

继续倒推，sub_C50的输入应该是v19和v14，它在sub_4AF4参与了计算，查看一下

image-20211206173917792

通过里面的字符串，我们猜测整体是一个RSA加密，然后再base64编码，有一个tomcrypt需要上网查查

image-20211206174123574

hook验证这两个函数验证一下我们的猜想

function dump(name, addr, legnth) {
    console.log("======================== " + name + " ============");
    console.log(hexdump(addr, {length:legnth||32}));
}

var bptr = Module.findBaseAddress("libutil.so");
console.log("base_addr:", bptr);

function hook_4fa4(){
    Interceptor.attach(bptr.add(0x4fa4+1), {
        onEnter: function(args) {
            this.arg2 = args[2];
            console.log("0x4fa4");
            console.log(args[0], args[1], args[2], args[3], args[4], args[5], args[6]);
            console.log(args[7], args[8], args[9], args[10]);
            // dump("0x4af4-arg0", args[0], parseInt(args[1]));
            // dump("0x4fa4-arg2", args[2]);
            console.log("0x4af4-arg3", args[3].readPointer());
            // dump("0x4af4-arg10", args[10]);
        },
        onLeave: function(retval) {
            dump("0x4fa4-arg2-ret", this.arg2, 8*16);
        }
    })
}

function hook_3560(){
    Interceptor.attach(bptr.add(0x3560+1), {
        onEnter: function(args) {
            this.arg2 = args[2];
            this.arg3 = args[3];
            console.log("0x3560");
            console.log(args[0], args[1], args[2], args[3]);
            dump("0x3560-arg0", args[0], parseInt(args[1]));
            
        },
        onLeave: function(retval) {
            dump("0x3560-arg2-ret", this.arg2, parseInt(this.arg3.readPointer()));
        }
    })
}

Java.perform(function(){
    hook_4fa4();
    hook_3560();
})

image-20211206175509399

和CyberChef的结果能够对上

image-20211206175949049

既然是RSA加密，而且应该是公钥加密，我们需要找出公钥。

image-20211206174330822

在sub_C50看到有一长串形似base64的字符串，就先看看sub_33F8这个函数

image-20211206171621552

sub_3318

image-20211206172021100

应该调用了base64解码，猜测它就是公钥，导入看看

image-20211206174621366

好像不太对，应该不是公钥。。

image-20211206174743879

这时候发现下面还有一个base64解码，这个的结果会不会是公钥，hook看看

function hook_33F8(){
    Interceptor.attach(bptr.add(0x33F8+1), {
        onEnter: function(args) {
            this.arg2 = args[2];
            this.arg3 = args[3];
            console.log("33F8");
            console.log(args[0], args[1], args[2], args[3]);
        },
        onLeave: function(retval) {
            dump("0x33F8-arg2-ret", this.arg2, parseInt(this.arg3.readPointer()));
        }
    })
}

Java.perform(function(){
    hook_33F8();
})

image-20211206180134493

我们把第二个的结果作为公钥导入试试

image-20211206180451348

导入成功！至此，我们找到了公钥，也知道了输入，只需要代码实现来验证一下。

代码实现

import base64

from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5

_PUB_KEY = bytes.fromhex('30819f300d06092a864886f70d010101050003818d0030818902818100cfd9263315c70cc19c42d39531c1e8ba8a315c3a824e1cf1c12b6a115fa6550d264cc5bee0847d4753adda6f1cdc5bff8e0bce393a5c42e57640f4066d7e0107758369106c9a087135ceee0bb168a8bd32e962157561af4ab3feb29d479c9f53fc0f738029a0ae0f70cb95ac0b09199695cd84a67c18b8922b11ffce9c1ec0d90203010001')


def rsa_encrypt(msg):
    if isinstance(msg, str):
        msg = msg.encode()
    cipher = PKCS1_v1_5.new(RSA.import_key(_PUB_KEY))
    content = cipher.encrypt(msg)
    sign = base64.urlsafe_b64encode(content).decode()
    sign = sign.rstrip('=')
    return sign

image-20211206190908755

其他

image-20211206192529198

其实第一次base64解码的结果，会经过sub_380C函数处理，作为第二次base64的输入。看看sub_380C

image-20211206192901417

这是一个解密函数，暂不清楚是AES还是DES，或者其他，mode是CTR，填充暂不清楚。

但是实际上，我们已经无需关心这些，因为从frida hook的结果来看，第二次base64的输出是固定的，所以说代码实现的时候直接从这里开始。

总结

从signature的输入来看，只有一个reqid会变，那么把它固定下来是不是就可以不用处理signature的问题了，因为reqid包含时间戳信息，它的有效期我没有验证过。此外cookie里面还有个参数JSESSIONID，如果请求的时候没有携带是没有结果的，它的有效期我也没有验证过，所以说，signature只是其中一环而已。

代码仅供把玩。