IOS 某电商App签名算法解析(二) Frida RPC调用
1、目标
Android下用frida来作rpc调用计算签名,咱们已经玩的很熟练了。git
今天介绍在IOS下的玩法。要点以下:github
- 参数类型确认
- NSDictionary NSArray等ObjectC对象的构造和复制
- ObjectC 类方法和对象方法的调用
- 附送福利, ObjectC的nil 参数如何构造
2、步骤
参考Android下的玩法
参照 [某段子App协议分析(三)] 咱们把frida RPC的框架先搭一下,这块的套路是同样的,web
- Flask启动一个web服务
- 脚本暴露一个接口出来给Python调用
app = Flask(__name__)
@app.route('/getSignFromJni', methods=['GET'])
def getSignFromJni():
global gScript
body = "{\"api-version\":\"1.1.0\"}"
client = "apple"
clientVersion = "10.0.1"
functionId = "xview2Config"
openudid = "078593ee2fda3d54aae5879cb841b2faa62a4985"
res = gScript.exports.callsign(body,client,clientVersion,functionId,openudid)
return res
复制代码
处于演示目的,咱们这里建立一个GET接口,参数写死。实际应用的时候能够建立个POST接口,把参数传进来。编程
rpc.exports = {
callsign : callSignFun
};
复制代码
脚本里面暴露一个callsign函数供Python调用。api
参数类型确认
上篇文章中咱们已经定位到了 +[XXSignService getSignWithDic:keys:], 他有两个参数,只须要在 IDA中 查看下这个函数被谁调用了,就能够看到入参的类型了。 查看交叉引用仍是上次教的 X 大法 。数组
打开 IDA, 一脸懵逼, 昨天忘保存了,昨天忘保存了,忘保存了......安全
你知不知道昨天IDA嚼了一上午才搞定。难道还要来嚼一上午???微信
换个玩法吧,反正咱们已经定位了,用Frida打印下参数类型试试。markdown
onEnter: function(args) {
var receiver = new ObjC.Object(args[0]);
var message1 = ObjC.Object(args[2]);
var message2 = ObjC.Object(args[3]);
console.log('msg1=' + message1.toString() + ",type: "+ message1.$className);
console.log('msg2=' + message2.toString() + ",type: "+ message2.$className);
},
复制代码
我就知道frida不会让咱们失望app
msg1={
body = "{\"channel\":1,\"fQueryStamp\":\"1622690375496\"}";
client = apple;
clientVersion = "10.0.1";
functionId = bubbleComponent;
openudid = 078593ee2fda3d54aae5879cb841b2faa62a4985;
},type: __NSDictionaryI
msg2=(
functionId,
body,
openudid,
client,
clientVersion
),type: __NSArrayI
复制代码
参数1的类型是 NSDictionary,参数2是个字符串数组 NSArray
构造NSDictionary和NSArray
毕竟咱们没搞过ObjectC,只好面向谷哥编程了,
TIP: 因为咱们要初始化一些数据,因此这里使用 NSMutableDictionary 来实现, 至于 NSDictionary和NSMutableDictionary的区别,请自行谷歌
NSMutableDictionary *dict = [[NSMutableDictionary alloc] init];
id objc = nil;
[dict setObject:objc forKey:@"objc"];
复制代码
这段代码翻译成frida的js实现以下:
var param_dict = ObjC.classes.NSMutableDictionary.alloc().init();
param_dict.setObject_forKey_(body,"body");
复制代码
那 NSArray呢? 继续谷哥
NSArray *arr3 = [NSArray arrayWithObjects:@"one",@"two",@1, nil];
复制代码
再翻译一把
var NSArray = ObjC.classes.NSArray;
var param_Key_Array = NSArray.arrayWithObjects_(sBody,sClient,sClientVersion,sFunctionId,sOpenudid);
复制代码
悲催的是,这行代码跑不过去, 这下谷哥也不灵了,去大胡子的github看看
TIP: 遇到frida的问题,不要着急,去大胡子的github搜搜,可能有惊喜。
吾道不孤,同道仍是比较多的,遇到的问题也同样,大胡子说你要在参数结尾加个 nil
可是这个nil怎么加也是个问题呀。 再搜搜 #nil# ,有个同道提供了一个方法, 搞起来。
var NSArray = ObjC.classes.NSArray;
var nil = ObjC.Object(ptr("0x0"));
var param_Key_Array = NSArray.arrayWithObjects_(sBody,sClient,sClientVersion,sFunctionId,sOpenudid,nil);
复制代码
结果仍是不理想,跑到这里仍是卡死了。
换条路吧。 咱们试试 NSMutableArray
var param_Key_Array = ObjC.classes.NSMutableArray.arrayWithObject_(sBody);
param_Key_Array.addObject_(sClient);
param_Key_Array.addObject_(sClientVersion);
param_Key_Array.addObject_(sFunctionId);
param_Key_Array.addObject_(sOpenudid);
复制代码
太棒了,这么搞能实现
ObjectC 类方法的调用
getSignWithDic是一个类方法,类方法的调用很简单,名称后面加个下划线就能够调用了,ObjC.classes.XXSignService.getSignWithDic_(xxx) 就能够了。
不简单的是,getSignWithDic有两个参数,直接 getSignWithDic_(a1,a2)能不能行?
多参数的调用是这样的:
var signRc = ObjC.classes.XXSignService.getSignWithDic_keys_(param_dict,param_Key_Array);
复制代码
完整的试一下
function callSignFun(body,client,clientVersion,functionId,openudid){
var param_dict = ObjC.classes.NSMutableDictionary.alloc().init();
param_dict.setObject_forKey_(body,"body");
param_dict.setObject_forKey_(client,"client");
param_dict.setObject_forKey_(clientVersion,"clientVersion");
param_dict.setObject_forKey_(functionId,"functionId");
param_dict.setObject_forKey_(openudid,"openudid");
// console.log("==== 1");
var NSString = ObjC.classes.NSString;
var sBody = NSString.stringWithString_('body');
var sClient = NSString.stringWithString_('client');
var sClientVersion= NSString.stringWithString_('clientVersion');
var sFunctionId = NSString.stringWithString_('functionId');
var sOpenudid = NSString.stringWithString_('openudid');
var param_Key_Array = ObjC.classes.NSMutableArray.arrayWithObject_(sBody);
param_Key_Array.addObject_(sClient);
param_Key_Array.addObject_(sClientVersion);
param_Key_Array.addObject_(sFunctionId);
param_Key_Array.addObject_(sOpenudid);
// console.log("==== 2");
var signRc = ObjC.classes.XXSignService.getSignWithDic_keys_(param_dict,param_Key_Array);
return signRc.toString();
}
复制代码
结果是有了,至于对不对,就留给你们去验证吧。
3、总结
及时保存是个好习惯。
正向编程经验对逆向工做有很大的帮助。
Frida是神器。ORZ。
咱们最早衰老的不是容颜,是梦想。
TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,若是有人利用本文技术去进行非法商业获取利益带来的法律责任都是操做者本身承担,和本文以及做者不要紧,本文涉及到的代码项目能够去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一块儿学习探讨技术。有问题能够加我wx: fenfei331 讨论下。
关注微信公众号: 奋飞安全,最新技术干货实时推送
- 1. IOS 某电商App签名算法解析(一) 仍是套路
- 2. 某社交App cs签名算法解析(二) 都是套路
- 3. 某东签名算法解析(一)
- 4. 某东到家app 签名算法分析
- 5. 某社交App cs签名算法解析(一) SSL双向认证
- 6. 某资讯App signature签名分析 (一)
- 7. 某生鲜App 签名计算方法 脱个壳试试
- 8. IOS 联真机签名解决方案
- 9. iOS逆向_使用frida、ida逆向某app的网络请求signature验签生成算法
- 10. iOS | app签名 图解苹果app签名流程,深入分析
- 更多相关文章...
- • Scala 函数传名调用(call-by-name) - Scala教程
- • XML DOM 解析器 - XML DOM 教程
- • 算法总结-二分查找法
- • 算法总结-深度优先算法
-
每一个你不满意的现在,都有一个你没有努力的曾经。