IOS 某电商App签名算法解析(二) Frida RPC调用

公众号: 奋飞安全
• 阅读 2071

一、目标

Android下用frida来做rpc调用计算签名,我们已经玩的很熟练了。

今天介绍在IOS下的玩法。要点如下:

  • 参数类型确认
  • NSDictionary NSArray等ObjectC对象的构造和复制
  • ObjectC 类方法和对象方法的调用
  • 附送福利, ObjectC的nil 参数如何构造

二、步骤

参考Android下的玩法

参照 [某段子App协议分析(三)] 我们把frida RPC的框架先搭一下,这块的套路是一样的,

  • Flask启动一个web服务
  • 脚本暴露一个接口出来给Python调用
app = Flask(__name__)

@app.route('/getSignFromJni', methods=['GET'])
def getSignFromJni():
    global gScript

    body = "{\"api-version\":\"1.1.0\"}"
    client = "apple"
    clientVersion = "10.0.1"
    functionId = "xview2Config"
    openudid = "078593ee2fda3d54aae5879cb841b2faa62a4985"

    res = gScript.exports.callsign(body,client,clientVersion,functionId,openudid)
    return res

处于演示目的,我们这里创建一个GET接口,参数写死。实际应用的时候可以创建个POST接口,把参数传进来。

rpc.exports = {
    callsign : callSignFun
};

脚本里面暴露一个callsign函数供Python调用。

参数类型确认

上篇文章中我们已经定位到了 +[XXSignService getSignWithDic:keys:], 他有两个参数,只需要在 IDA中 查看下这个函数被谁调用了,就可以看到入参的类型了。 查看交叉引用还是上次教的 X 大法

打开 IDA, 一脸懵逼, 昨天忘保存了,昨天忘保存了,忘保存了......

IOS 某电商App签名算法解析(二) Frida RPC调用

你知不知道昨天IDA嚼了一上午才搞定。难道还要来嚼一上午???

换个玩法吧,反正我们已经定位了,用Frida打印下参数类型试试。

onEnter: function(args) {
        var receiver = new ObjC.Object(args[0]);

        var message1 = ObjC.Object(args[2]);
        var message2 = ObjC.Object(args[3]);

        console.log('msg1=' + message1.toString() + ",type: "+ message1.$className);
        console.log('msg2=' + message2.toString() + ",type: "+ message2.$className);

},

我就知道frida不会让我们失望

msg1={
    body = "{\"channel\":1,\"fQueryStamp\":\"1622690375496\"}";
    client = apple;
    clientVersion = "10.0.1";
    functionId = bubbleComponent;
    openudid = 078593ee2fda3d54aae5879cb841b2faa62a4985;
},type: __NSDictionaryI
msg2=(
    functionId,
    body,
    openudid,
    client,
    clientVersion
),type: __NSArrayI

参数1的类型是 NSDictionary,参数2是个字符串数组 NSArray

构造NSDictionary和NSArray

毕竟我们没搞过ObjectC,只好面向谷哥编程了,

IOS 某电商App签名算法解析(二) Frida RPC调用

TIP: 由于我们要初始化一些数据,所以这里使用 NSMutableDictionary 来实现, 至于 NSDictionary和NSMutableDictionary的区别,请自行谷歌

NSMutableDictionary *dict = [[NSMutableDictionary alloc] init];
id objc = nil;
[dict setObject:objc forKey:@"objc"];

这段代码翻译成frida的js实现如下:

    var param_dict = ObjC.classes.NSMutableDictionary.alloc().init();
    param_dict.setObject_forKey_(body,"body");

那 NSArray呢? 继续谷哥

 NSArray *arr3 = [NSArray arrayWithObjects:@"one",@"two",@1, nil];

再翻译一把

var NSArray = ObjC.classes.NSArray;
var param_Key_Array = NSArray.arrayWithObjects_(sBody,sClient,sClientVersion,sFunctionId,sOpenudid);

悲催的是,这行代码跑不过去, 这下谷哥也不灵了,去大胡子的github看看

IOS 某电商App签名算法解析(二) Frida RPC调用

TIP: 遇到frida的问题,不要着急,去大胡子的github搜搜,可能有惊喜。

吾道不孤,同道还是比较多的,遇到的问题也一样,大胡子说你要在参数结尾加个 nil

但是这个nil怎么加也是个问题呀。 再搜搜 #nil# ,有个同道提供了一个方法, 搞起来。

var NSArray = ObjC.classes.NSArray;
var nil = ObjC.Object(ptr("0x0"));
var param_Key_Array = NSArray.arrayWithObjects_(sBody,sClient,sClientVersion,sFunctionId,sOpenudid,nil);

结果还是不理想,跑到这里还是卡死了。

换条路吧。 我们试试 NSMutableArray

var param_Key_Array = ObjC.classes.NSMutableArray.arrayWithObject_(sBody);
param_Key_Array.addObject_(sClient);
param_Key_Array.addObject_(sClientVersion);
param_Key_Array.addObject_(sFunctionId);
param_Key_Array.addObject_(sOpenudid);

太棒了,这么搞能实现

IOS 某电商App签名算法解析(二) Frida RPC调用

ObjectC 类方法的调用

getSignWithDic是一个类方法,类方法的调用很简单,名称后面加个下划线就可以调用了,ObjC.classes.XXSignService.getSignWithDic_(xxx) 就可以了。

不简单的是,getSignWithDic有两个参数,直接 getSignWithDic_(a1,a2)能不能行?

年轻人,太Native了。 多参数的调用是这样的:

var signRc = ObjC.classes.XXSignService.getSignWithDic_keys_(param_dict,param_Key_Array);

完整的搞一下

function callSignFun(body,client,clientVersion,functionId,openudid){
    var param_dict = ObjC.classes.NSMutableDictionary.alloc().init();
    param_dict.setObject_forKey_(body,"body");
    param_dict.setObject_forKey_(client,"client");
    param_dict.setObject_forKey_(clientVersion,"clientVersion");
    param_dict.setObject_forKey_(functionId,"functionId");
    param_dict.setObject_forKey_(openudid,"openudid");

    // console.log("==== 1");
    var NSString = ObjC.classes.NSString;
    var sBody = NSString.stringWithString_('body');    
    var sClient = NSString.stringWithString_('client');    
    var sClientVersion= NSString.stringWithString_('clientVersion');    
    var sFunctionId = NSString.stringWithString_('functionId');    
    var sOpenudid = NSString.stringWithString_('openudid');

    var param_Key_Array = ObjC.classes.NSMutableArray.arrayWithObject_(sBody);
    param_Key_Array.addObject_(sClient);
    param_Key_Array.addObject_(sClientVersion);
    param_Key_Array.addObject_(sFunctionId);
    param_Key_Array.addObject_(sOpenudid);


    // console.log("==== 2");
    var signRc = ObjC.classes.XXSignService.getSignWithDic_keys_(param_dict,param_Key_Array);
    return signRc.toString();    
}

结果是有了,至于对不对,就留给大家去验证吧。

IOS 某电商App签名算法解析(二) Frida RPC调用

三、总结

及时保存是个好习惯。

正向编程经验对逆向工作有很大的帮助。

Frida是神器。ORZ。

IOS 某电商App签名算法解析(二) Frida RPC调用 我们最先衰老的不是容颜,是梦想。

TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全,最新技术干货实时推送

点赞
收藏
评论区
推荐文章
https://cloud.tencent.com/developer/article/write/1830331
一、目标今天的目标是这个sign和appcode二、步骤Jadx没法上了app加了某梆的企业版,Jadx表示无能为力了。FRIDADEXDumpDexDump出来,木有找到有效的信息。Wallbreaker葫芦娃的Wallbreaker可以做些带壳分析,不过这个样本,用Frida的Spawn模式可以载入,Attach模式会失败。而直接用Objecti
Frida在windows上的玩法
一、目标frida玩了很久,andriod和ios下都玩的不错。不过飞哥其实是混windows出道的,那frida能不能分析winPE呢?今天介绍下Windows下的玩法,要点如下:HookWindowsApi修改参数和返回值主动调用WindowsApi二、步骤打开心爱的MFC写个demo小程序,密码是1234,输入正确提示"密码正确"
某汽车社区App 签名和加解密分析 (二) : Frida Dump so
一、目标App安全的主战场在Native层,分析Native层的so,最趁手的兵器就是Frida和Unidbg了。今天我们的目标是某汽车社区Appv8.0.1so的分析。二、步骤特征字符串定位我们在上一篇教程已经定位了,数据加密和解密函数再java层的位置。按照常理来说,这个java类文件中,应该有个System.loadLibrary("
Frida-syscall-interceptor
一、目标现在很多App不讲武德了,为了防止openat、read、kill等等底层函数被hook,干脆就直接通过syscall的方式来做系统调用,导致无法hook。应对这种情况有两种方案:刷机重写系统调用表来拦截内核调用inlineHookSWI/SVC指令我们今天采用第二种方法,用frida来实现内联汇编SWI/SVC做系统调用,sysc
不能Hook的人生不值得 jsHook和模拟执行
一、目标李老板:奋飞呀,上次分析的那个App光能Debug还不够呀,网页中的js也用不了Frida,我还想Hook它的函数,咋搞呀?再有App可以RPC去执行签名,这个js我如何去利用呀?总不能代码都改成js去做请求吧?奋飞:老板呀,你一下提这么多要求,不是明摆着要我们加班吗?这次加班费可得加倍。二、步骤最简单易行的jsHookcon
Frida + AndroidAsync 实现 RPC
一、目标我们在之前的教程里面使用python的Flask库启动一个webServer来实现App函数的RPC调用。今天我们介绍一个新盆友,AndroidAsync,用AndroidAsync来启动webServer,这样frida就直接搞定,不需要再请Python来帮忙了。二、步骤AndroidAsyncAndroidAsync的详细介绍大家可
IOS 联真机签名解决方案
一、目标我们之前介绍过和。那么他们搭配起来能解决什么问题呢?在Android联真机签名方案中,我们提到过Fridarpc方案的缺点:frida不是很稳定,偶尔会崩溃出退frida启动需要连PC(不过这个缺点已经被给解决了)那么在Ios下有没有类似Xposed的东东?是的,就是Tweak。二、步骤GCDWebServerGCDWebS
某站App签名算法解析(一)
一、目标我们来分析某站App的sign签名算法,先搜索一下游戏,抓包结果:二、步骤这个sign依然是32位的字符串都9020年了,这种规模用户的App应该是不会裸奔在java层了,我们就直接一点,在so里面搜索sign可惜没有结果……藏起来的东西一定是重要的东西so层导出函数给java层调用,有两种方法,一种是静态注册,直接会体现在so的导出表
手把手教你搭个Frida + Sekiro Rpc框架
一、目标联手机签名是个比较取巧的方案,之前我们介绍过android连真机签名公网ip更新方案SekiroXposed签名解决方案现在frida用的比较多,并且Sekiro也升级了新版本,我们今天就来手把手教你搭个FridaSekiroRpc框架。二、步骤我们以这个手机号加密算法为例先运行服务器端官网在这里gitclone下来;在Li
Stella981 Stella981
2年前
IOS和android交互
第一次做和原生app的混合开发,其中有一些活动页面需要我这边用h5来做。那么必定涉及一个问题。就是和原生app做交互。分为ios和android。方法不同,逻辑思路都差不多。大体思路就是我和app端约定一个方法,类似于?接头暗号?比如说我们约定了一个方法:’蓝天白云‘,那么当我js调用这个方法的时候,app端通过'蓝天白云',认出了我,并作出
公众号:  奋飞安全
公众号: 奋飞安全
Lv1
奋飞,国家高级信息系统项目管理师,独立安全研究员。 http://91fans.com.cn/
文章
59
粉丝
4
获赞
44