IOS 某電商App簽名算法解析(二) Frida RPC調用
1、目標
Android下用frida來作rpc調用計算簽名,咱們已經玩的很熟練了。git
今天介紹在IOS下的玩法。要點以下:github
- 參數類型確認
- NSDictionary NSArray等ObjectC對象的構造和複製
- ObjectC 類方法和對象方法的調用
- 附送福利, ObjectC的nil 參數如何構造
2、步驟
參考Android下的玩法
參照 [某段子App協議分析(三)] 咱們把frida RPC的框架先搭一下,這塊的套路是同樣的,web
- Flask啓動一個web服務
- 腳本暴露一個接口出來給Python調用
app = Flask(__name__)
@app.route('/getSignFromJni', methods=['GET'])
def getSignFromJni():
global gScript
body = "{\"api-version\":\"1.1.0\"}"
client = "apple"
clientVersion = "10.0.1"
functionId = "xview2Config"
openudid = "078593ee2fda3d54aae5879cb841b2faa62a4985"
res = gScript.exports.callsign(body,client,clientVersion,functionId,openudid)
return res
複製代碼
處於演示目的,咱們這裏建立一個GET接口,參數寫死。實際應用的時候能夠建立個POST接口,把參數傳進來。編程
rpc.exports = {
callsign : callSignFun
};
複製代碼
腳本里面暴露一個callsign函數供Python調用。api
參數類型確認
上篇文章中咱們已經定位到了 +[XXSignService getSignWithDic:keys:], 他有兩個參數,只須要在 IDA中 查看下這個函數被誰調用了,就能夠看到入參的類型了。 查看交叉引用仍是上次教的 X 大法 。數組
打開 IDA, 一臉懵逼, 昨天忘保存了,昨天忘保存了,忘保存了......安全
你知不知道昨天IDA嚼了一上午才搞定。難道還要來嚼一上午???微信
換個玩法吧,反正咱們已經定位了,用Frida打印下參數類型試試。markdown
onEnter: function(args) {
var receiver = new ObjC.Object(args[0]);
var message1 = ObjC.Object(args[2]);
var message2 = ObjC.Object(args[3]);
console.log('msg1=' + message1.toString() + ",type: "+ message1.$className);
console.log('msg2=' + message2.toString() + ",type: "+ message2.$className);
},
複製代碼
我就知道frida不會讓咱們失望app
msg1={
body = "{\"channel\":1,\"fQueryStamp\":\"1622690375496\"}";
client = apple;
clientVersion = "10.0.1";
functionId = bubbleComponent;
openudid = 078593ee2fda3d54aae5879cb841b2faa62a4985;
},type: __NSDictionaryI
msg2=(
functionId,
body,
openudid,
client,
clientVersion
),type: __NSArrayI
複製代碼
參數1的類型是 NSDictionary,參數2是個字符串數組 NSArray
構造NSDictionary和NSArray
畢竟咱們沒搞過ObjectC,只好面向谷哥編程了,
TIP: 因爲咱們要初始化一些數據,因此這裏使用 NSMutableDictionary 來實現, 至於 NSDictionary和NSMutableDictionary的區別,請自行谷歌
NSMutableDictionary *dict = [[NSMutableDictionary alloc] init];
id objc = nil;
[dict setObject:objc forKey:@"objc"];
複製代碼
這段代碼翻譯成frida的js實現以下:
var param_dict = ObjC.classes.NSMutableDictionary.alloc().init();
param_dict.setObject_forKey_(body,"body");
複製代碼
那 NSArray呢? 繼續谷哥
NSArray *arr3 = [NSArray arrayWithObjects:@"one",@"two",@1, nil];
複製代碼
再翻譯一把
var NSArray = ObjC.classes.NSArray;
var param_Key_Array = NSArray.arrayWithObjects_(sBody,sClient,sClientVersion,sFunctionId,sOpenudid);
複製代碼
悲催的是,這行代碼跑不過去, 這下谷哥也不靈了,去大鬍子的github看看
TIP: 遇到frida的問題,不要着急,去大鬍子的github搜搜,可能有驚喜。
吾道不孤,同道仍是比較多的,遇到的問題也同樣,大鬍子說你要在參數結尾加個 nil
可是這個nil怎麼加也是個問題呀。 再搜搜 #nil# ,有個同道提供了一個方法, 搞起來。
var NSArray = ObjC.classes.NSArray;
var nil = ObjC.Object(ptr("0x0"));
var param_Key_Array = NSArray.arrayWithObjects_(sBody,sClient,sClientVersion,sFunctionId,sOpenudid,nil);
複製代碼
結果仍是不理想,跑到這裏仍是卡死了。
換條路吧。 咱們試試 NSMutableArray
var param_Key_Array = ObjC.classes.NSMutableArray.arrayWithObject_(sBody);
param_Key_Array.addObject_(sClient);
param_Key_Array.addObject_(sClientVersion);
param_Key_Array.addObject_(sFunctionId);
param_Key_Array.addObject_(sOpenudid);
複製代碼
太棒了,這麼搞能實現
ObjectC 類方法的調用
getSignWithDic是一個類方法,類方法的調用很簡單,名稱後面加個下劃線就能夠調用了,ObjC.classes.XXSignService.getSignWithDic_(xxx) 就能夠了。
不簡單的是,getSignWithDic有兩個參數,直接 getSignWithDic_(a1,a2)能不能行?
多參數的調用是這樣的:
var signRc = ObjC.classes.XXSignService.getSignWithDic_keys_(param_dict,param_Key_Array);
複製代碼
完整的試一下
function callSignFun(body,client,clientVersion,functionId,openudid){
var param_dict = ObjC.classes.NSMutableDictionary.alloc().init();
param_dict.setObject_forKey_(body,"body");
param_dict.setObject_forKey_(client,"client");
param_dict.setObject_forKey_(clientVersion,"clientVersion");
param_dict.setObject_forKey_(functionId,"functionId");
param_dict.setObject_forKey_(openudid,"openudid");
// console.log("==== 1");
var NSString = ObjC.classes.NSString;
var sBody = NSString.stringWithString_('body');
var sClient = NSString.stringWithString_('client');
var sClientVersion= NSString.stringWithString_('clientVersion');
var sFunctionId = NSString.stringWithString_('functionId');
var sOpenudid = NSString.stringWithString_('openudid');
var param_Key_Array = ObjC.classes.NSMutableArray.arrayWithObject_(sBody);
param_Key_Array.addObject_(sClient);
param_Key_Array.addObject_(sClientVersion);
param_Key_Array.addObject_(sFunctionId);
param_Key_Array.addObject_(sOpenudid);
// console.log("==== 2");
var signRc = ObjC.classes.XXSignService.getSignWithDic_keys_(param_dict,param_Key_Array);
return signRc.toString();
}
複製代碼
結果是有了,至於對不對,就留給你們去驗證吧。
3、總結
及時保存是個好習慣。
正向編程經驗對逆向工做有很大的幫助。
Frida是神器。ORZ。
咱們最早衰老的不是容顏,是夢想。
TIP: 本文的目的只有一個就是學習更多的逆向技巧和思路,若是有人利用本文技術去進行非法商業獲取利益帶來的法律責任都是操做者本身承擔,和本文以及做者不要緊,本文涉及到的代碼項目能夠去 奮飛的朋友們 知識星球自取,歡迎加入知識星球一塊兒學習探討技術。有問題能夠加我wx: fenfei331 討論下。
關注微信公衆號: 奮飛安全,最新技術乾貨實時推送
- 1. IOS 某電商App簽名算法解析(一) 仍是套路
- 2. 某社交App cs簽名算法解析(二) 都是套路
- 3. 某東簽名算法解析(一)
- 4. 某東到家app 簽名算法分析
- 5. 某社交App cs簽名算法解析(一) SSL雙向認證
- 6. 某資訊App signature簽名分析 (一)
- 7. 某生鮮App 簽名計算方法 脫個殼試試
- 8. IOS 聯真機簽名解決方案
- 9. iOS逆向_使用frida、ida逆向某app的網絡請求signature驗籤生成算法
- 10. iOS | app簽名 圖解蘋果app簽名流程,深入分析
- 更多相關文章...
- • Scala 函數傳名調用(call-by-name) - Scala教程
- • XML DOM 解析器 - XML DOM 教程
- • 算法總結-二分查找法
- • 算法總結-深度優先算法
-
每一个你不满意的现在,都有一个你没有努力的曾经。