某NFT交易平台App wtoken分析

公众号: 奋飞安全
• 阅读 495

一、目标

李老板: 奋飞呀,啥叫NFT?

奋飞:老板,你已经老了,子曾经曰过,我出生时已经有的科技都是陈旧老土不值一提的;在我10-30岁之间诞生的科技都是无法复制的经典;在我30岁之后诞生的科技都是愚蠢肤浅,幼稚可笑的。所以nft不适合你。

这App不愧是流行科技,升级太快了,目前的版本是 1.1.5

我们今天的目标是他 wtoken:

某NFT交易平台App wtoken分析

二、步骤

FRIDA-DEXDump 脱壳

这种高科技App一般都是加壳了,所以脱壳先。

好久没用过FRIDA-DEXDump了,这次用BlackDex脱壳失败,只好试试FRIDA-DEXDump

# 安装frida-dexdump
pip3 install frida-dexdump
# 手机里启动要脱壳的app 和 fridaServer
frida-dexdump -FU

这次脱出来的dex文件还不少,用jadx打开 1MB以上 的dex文件吧

搜索 “wtoken”

某NFT交易平台App wtoken分析

只有一个结果,简单粗暴呀。

点进入很快就定位到了 com.aliyun.TigerTally.TigerTallyAPI._genericNt3

开始写代码

function main() {    
    Java.perform(function () {
        var threadef = Java.use('java.lang.Thread');
        var threadinstance = threadef.$new();

        var TigerTallyAPICls = Java.use("com.aliyun.TigerTally.TigerTallyAPI");

        TigerTallyAPICls._genericNt3.implementation = function(a,b){
                var StrCls = Java.use('java.lang.String');
                var inStr = StrCls.$new(b);

                var rc = this._genericNt3(a,b);

                console.log("_genericNt3 a=" + a + ",b="+bytesToHex(b) + " / " + inStr +" >>> rc= " + rc);
                return rc;
        }

    });
}         

// hook 加壳App,加个延迟
setTimeout(main, 1000);
// setImmediate(main);

跑一下

某NFT交易平台App wtoken分析

就是这个效果。

最后考虑用 AndroidAsync或者sekiro搞个rpc服务就行了

http://91fans.com.cn/post/fridarpctwo/

http://91fans.com.cn/post/fridarpctwo/

三、总结

脱壳是核心竞争力,壳一脱java层就没有秘密了。

某NFT交易平台App wtoken分析 看不见、看不起、看不懂、来不及

TIP: : 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全,最新技术干货实时推送

点赞
收藏
评论区
推荐文章
小程序逆向分析 (一)
一、目标李老板:奋飞呀,最近耍小程序的比较多,而且貌似js好耍一点?要不咱们也试试?奋飞:你是老板,你说了算喽。第一次搞小程序,得找个软柿子捏,就找个以前分析过的某段子App的小程序吧。反编译静态分析动态调试二、步骤春天在哪里?app下载回来就是apk包,那么小程序在哪里?小程序是一个以wxapkg为后缀的文件,在android手机的/da
Trace大盘点
一、目标李老板:奋飞呀,最近老听别人说Trace一下,啥是Trace呀?奋飞:老板,先把上次的加班费结算一下。Trace就是在更高抽象层次上去追踪程序的运行流程。二、JNITracejnitrace在Android下混饭吃,首推的就是jnitrace老牌,经典,信息全,携带方便jnitracellibnativelib.socom.example
不能Hook的人生不值得 jsHook和模拟执行
一、目标李老板:奋飞呀,上次分析的那个App光能Debug还不够呀,网页中的js也用不了Frida,我还想Hook它的函数,咋搞呀?再有App可以RPC去执行签名,这个js我如何去利用呀?总不能代码都改成js去做请求吧?奋飞:老板呀,你一下提这么多要求,不是明摆着要我们加班吗?这次加班费可得加倍。二、步骤最简单易行的jsHookcon
某电商App sign签名算法解析(五)
一、目标李老板:奋飞呀,据说某电商App升级了,搞出了一个64位的sign。更牛的是入参都加密了!奋飞:这么拉风,拉出来咱们盘盘。v10.3.2二、步骤32位和64位我们掌握了那么多方法,先搜字符串呢?还是先Hook呢?子曾经曰过:看到32位签名就要想起MD5和HmacSHA1,看到64位签名就要想起HmacSHA256。那就先搞搞java的密码学相关
某神奇App data加密算法解析(一)
一、目标李老板:奋飞呀,我遇到一个超级牛掰的App,它请求的时候有个data参数加密,用尽了你介绍的所有的方法,都找不到它是如何加密的。奋飞:子曾经曰过,老板的嘴,骗人的鬼。有这么牛掰的App,那么我们这帮兄弟早就失业了。某神奇Appv10.1.0点社区随便打开一篇有评论的文章今天的目标就是这个data二、步骤搜索特征字符串目标是data,所以我
某车联网App 通讯协议加密分析
一、目标李老板:最近刚买了辆新车,他带的App挺有意思,要不要盘一盘?奋飞:我去,加壳了,还挺有意思,搞一搞。v6.1.0二、步骤抓包我的抓包环境是Mac10.14.6httpToolKit,这一步很顺利的抓到包了。1:main可以看到,http请求和返回值都是加密的,我们的目标就是这个 request 和 response的来历的。脱壳
某音乐App 抓包和signature签名分析
一、目标李老板:奋飞呀,最近我想下个歌,现在听歌软件都这么顽固了,包都抓不到?奋飞:抓不到包的原因太多了,咱们得用排除法分析下。某音乐App10.8.4二、步骤排查协议李老板也跟我们混了这么多期,所以基本排除抓包环境的问题。那么另一个可能就是像某手使用的quic协议或者某鱼使用的spdy协议了。上jadx搜一下"quic",如果搜不到还可
手把手教你从Apk中取出算法
一、目标李老板:奋飞呀,我最近从Apk里面跟踪到一个算法,代码清晰,但是我不会java,把他翻译成python貌似挺费劲的,有没有轻松省力的方法呀?奋飞:有的呀,给我加工资,我来翻译。某电商Appv10.4.5,升级之后老有小伙伴说他的sign算法变了,其实他就是做了点小动作。sign参数没有动,uuid是明文去做签名,但是抓包请求里面找不到明文uu
在Frida里面做http请求: 聊聊jar to dex
一、目标李老板:奋飞呀,你hook这个App之后拿到token,然后上报给我的服务器好不好?奋飞:木问题。二、步骤gumjshttp在frida里面做http请求,最根正苗红的必须是gumjshttp,大胡子出品,有保障可惜的是我没有搞明白,李老板催的紧,木有时间去慢慢研究了。先搞个Server测试子曾经曰过:人生苦短,快用Python。不过
某小说App返回数据 解密分析
一、目标李老板:奋飞呀,最近被隔离在小区里,没啥可干的呀。奋飞:看小说呀,量大管饱。我们今天的目标就是某小说Appv20210953二、步骤搜索url字符串App请求小说内容的时候没有加签名,但是返回的数据是加密的。那么我们先去jadx搜索一下这个url(novelcontent),看看有没有发现。结果是没有收获。那么很有可能这个url不是在apk中写
公众号:  奋飞安全
公众号: 奋飞安全
Lv1
奋飞,国家高级信息系统项目管理师,独立安全研究员。 http://91fans.com.cn/
文章
59
粉丝
4
获赞
44