• APP

    海量資源,盡在掌握

    搜索
    當前位置:首頁 > IT技術 > 移動平臺 > 正文

    IOS 某電商App簽名算法解析(二) Frida RPC調用
    2022-04-19 11:18:43

    一、目標

    Android下用frida來做rpc調用計算簽名,我們已經玩的很熟練了。

    今天介紹在IOS下的玩法。要點如下:

    • 參數類型確認
    • NSDictionary NSArray等ObjectC對象的構造和復制
    • ObjectC 類方法和對象方法的調用
    • 附送福利, ObjectC的nil 參數如何構造

    二、步驟

    參考Android下的玩法

    參照 [某段子App協議分析(三)] 我們把frida RPC的框架先搭一下,這塊的套路是一樣的,

    • Flask啟動一個web服務
    • 腳本暴露一個接口出來給Python調用
    app = Flask(__name__)

    @app.route('/getSignFromJni', methods=['GET'])
    def getSignFromJni():
        global gScript

        body = "{"api-version":"1.1.0"}"
        client = "apple"
        clientVersion = "10.0.1"
        functionId = "xview2Config"
        openudid = "078593ee2fda3d54aae5879cb841b2faa62a4985"

        res = gScript.exports.callsign(body,client,clientVersion,functionId,openudid)
        return res

    處于演示目的,我們這里創建一個GET接口,參數寫死。實際應用的時候可以創建個POST接口,把參數傳進來。

    rpc.exports = {
      callsign : callSignFun
    };

    腳本里面暴露一個callsign函數供Python調用。

    參數類型確認

    上篇文章中我們已經定位到了 +[XXSignService getSignWithDic:keys:], 他有兩個參數,只需要在 IDA中 查看下這個函數被誰調用了,就可以看到入參的類型了。 查看交叉引用還是上次教的 X 大法 。

    打開 IDA, 一臉懵逼, 昨天忘保存了,昨天忘保存了,忘保存了......

    你知不知道昨天IDA嚼了一上午才搞定。難道還要來嚼一上午???

    換個玩法吧,反正我們已經定位了,用Frida打印下參數類型試試。

    onEnter: function(args) {
            var receiver = new ObjC.Object(args[0]);

            var message1 = ObjC.Object(args[2]);
            var message2 = ObjC.Object(args[3]);

            console.log('msg1=' + message1.toString() + ",type: "+ message1.$className);
            console.log('msg2=' + message2.toString() + ",type: "+ message2.$className);

    },

    我就知道frida不會讓我們失望

    msg1={
        body = "{"channel":1,"fQueryStamp":"1622690375496"}";
        client = apple;
        clientVersion = "10.0.1";
        functionId = bubbleComponent;
        openudid = 078593ee2fda3d54aae5879cb841b2faa62a4985;
    },type: __NSDictionaryI
    msg2=(
        functionId,
        body,
        openudid,
        client,
        clientVersion
    ),type: __NSArrayI

    參數1的類型是 NSDictionary,參數2是個字符串數組 NSArray

    構造NSDictionary和NSArray

    畢竟我們沒搞過ObjectC,只好面向谷哥編程了,

    TIP: 由于我們要初始化一些數據,所以這里使用 NSMutableDictionary 來實現, 至于 NSDictionary和NSMutableDictionary的區別,請自行谷歌

    NSMutableDictionary *dict = [[NSMutableDictionary alloc] init];
    id objc = nil;
    [dict setObject:objc forKey:@"objc"];

    這段代碼翻譯成frida的js實現如下:

    var param_dict = ObjC.classes.NSMutableDictionary.alloc().init();
      param_dict.setObject_forKey_(body,"body");

    那 NSArray呢? 繼續谷哥

    NSArray *arr3 = [NSArray arrayWithObjects:@"one",@"two",@1, nil];

    再翻譯一把

    var NSArray = ObjC.classes.NSArray;
    var param_Key_Array = NSArray.arrayWithObjects_(sBody,sClient,sClientVersion,sFunctionId,sOpenudid);

    悲催的是,這行代碼跑不過去, 這下谷哥也不靈了,去大胡子的github看看

    IOS 某電商App簽名算法解析(二) Frida RPC調用_安全

    TIP: 遇到frida的問題,不要著急,去大胡子的github搜搜,可能有驚喜。

    吾道不孤,同道還是比較多的,遇到的問題也一樣,大胡子說你要在參數結尾加個 nil

    但是這個nil怎么加也是個問題呀。 再搜搜 #nil# ,有個同道提供了一個方法, 搞起來。

    var NSArray = ObjC.classes.NSArray;
    var nil = ObjC.Object(ptr("0x0"));
    var param_Key_Array = NSArray.arrayWithObjects_(sBody,sClient,sClientVersion,sFunctionId,sOpenudid,nil);

    結果還是不理想,跑到這里還是卡死了。

    換條路吧。 我們試試 NSMutableArray

    var param_Key_Array = ObjC.classes.NSMutableArray.arrayWithObject_(sBody);
    param_Key_Array.addObject_(sClient);
    param_Key_Array.addObject_(sClientVersion);
    param_Key_Array.addObject_(sFunctionId);
    param_Key_Array.addObject_(sOpenudid);

    太棒了,這么搞能實現

    ObjectC 類方法的調用

    getSignWithDic是一個類方法,類方法的調用很簡單,名稱后面加個下劃線就可以調用了,ObjC.classes.XXSignService.getSignWithDic_(xxx) 就可以了。

    不簡單的是,getSignWithDic有兩個參數,直接 getSignWithDic_(a1,a2)能不能行?

    多參數的調用是這樣的:

    var signRc = ObjC.classes.XXSignService.getSignWithDic_keys_(param_dict,param_Key_Array);

    完整的試一下

    function callSignFun(body,client,clientVersion,functionId,openudid){
        var param_dict = ObjC.classes.NSMutableDictionary.alloc().init();
        param_dict.setObject_forKey_(body,"body");
        param_dict.setObject_forKey_(client,"client");
        param_dict.setObject_forKey_(clientVersion,"clientVersion");
        param_dict.setObject_forKey_(functionId,"functionId");
        param_dict.setObject_forKey_(openudid,"openudid");

        // console.log("==== 1");
        var NSString = ObjC.classes.NSString;
        var sBody = NSString.stringWithString_('body');
        var sClient = NSString.stringWithString_('client');
        var sClientVersion= NSString.stringWithString_('clientVersion');
        var sFunctionId = NSString.stringWithString_('functionId');
        var sOpenudid = NSString.stringWithString_('openudid');

        var param_Key_Array = ObjC.classes.NSMutableArray.arrayWithObject_(sBody);
        param_Key_Array.addObject_(sClient);
        param_Key_Array.addObject_(sClientVersion);
        param_Key_Array.addObject_(sFunctionId);
        param_Key_Array.addObject_(sOpenudid);


        // console.log("==== 2");
        var signRc = ObjC.classes.XXSignService.getSignWithDic_keys_(param_dict,param_Key_Array);
        return signRc.toString();
    }

    結果是有了,至于對不對,就留給大家去驗證吧。

    IOS 某電商App簽名算法解析(二) Frida RPC調用_flask_02

    三、總結

    及時保存是個好習慣。

    正向編程經驗對逆向工作有很大的幫助。

    Frida是神器。ORZ。

    IOS 某電商App簽名算法解析(二) Frida RPC調用_安全_03我們最先衰老的不是容顏,是夢想。

    TIP: 本文的目的只有一個就是學習更多的逆向技巧和思路,如果有人利用本文技術去進行非法商業獲取利益帶來的法律責任都是操作者自己承擔,和本文以及作者沒關系。

    關注微信公眾號: 奮飛安全,最新技術干貨實時推送

    本文摘自 :https://blog.51cto.com/u

    開通會員,享受整站包年服務
    推薦內容
    IT技術
    Web編程 Windows編程 編程語言 數據庫 移動平臺 系統服務 微信平臺 其他技術
    科技百科
    可穿戴設備 電子工程 電力 智能汽車網 光學 智能硬件 環保 風電 機器人 安防 云計算 物聯網 3D打印 傳感器 鋰電 儲能 智能電網 新材料 太陽能光伏 激光 醫療科技 氫能 工控 照明 顯示 智慧城市 半導體照明 光通訊 人工智能 新能源汽車 電源 儀器儀表 通信 VR 智能家居
    国产呦精品一区二区三区网站|久久www免费人咸|精品无码人妻一区二区|久99久热只有精品国产15|中文字幕亚洲无线码