當(dāng)前位置:首頁(yè) > IT技術(shù) > 移動(dòng)平臺(tái) > 正文

IOS 某電商App簽名算法解析(二) Frida RPC調(diào)用
2022-04-19 11:18:43

一、目標(biāo)

Android下用frida來(lái)做rpc調(diào)用計(jì)算簽名,我們已經(jīng)玩的很熟練了。

今天介紹在IOS下的玩法。要點(diǎn)如下:

  • 參數(shù)類型確認(rèn)
  • NSDictionary NSArray等ObjectC對(duì)象的構(gòu)造和復(fù)制
  • ObjectC 類方法和對(duì)象方法的調(diào)用
  • 附送福利, ObjectC的nil 參數(shù)如何構(gòu)造

二、步驟

參考Android下的玩法

參照 [某段子App協(xié)議分析(三)] 我們把frida RPC的框架先搭一下,這塊的套路是一樣的,

  • Flask啟動(dòng)一個(gè)web服務(wù)
  • 腳本暴露一個(gè)接口出來(lái)給Python調(diào)用
app = Flask(__name__)

@app.route('/getSignFromJni', methods=['GET'])
def getSignFromJni():
    global gScript

    body = "{"api-version":"1.1.0"}"
    client = "apple"
    clientVersion = "10.0.1"
    functionId = "xview2Config"
    openudid = "078593ee2fda3d54aae5879cb841b2faa62a4985"

    res = gScript.exports.callsign(body,client,clientVersion,functionId,openudid)
    return res

處于演示目的,我們這里創(chuàng)建一個(gè)GET接口,參數(shù)寫(xiě)死。實(shí)際應(yīng)用的時(shí)候可以創(chuàng)建個(gè)POST接口,把參數(shù)傳進(jìn)來(lái)。

rpc.exports = {
  callsign : callSignFun
};

腳本里面暴露一個(gè)callsign函數(shù)供Python調(diào)用。

參數(shù)類型確認(rèn)

上篇文章中我們已經(jīng)定位到了 +[XXSignService getSignWithDic:keys:], 他有兩個(gè)參數(shù),只需要在 IDA中 查看下這個(gè)函數(shù)被誰(shuí)調(diào)用了,就可以看到入?yún)⒌念愋土恕?查看交叉引用還是上次教的 X 大法 。

打開(kāi) IDA, 一臉懵逼, 昨天忘保存了,昨天忘保存了,忘保存了......

你知不知道昨天IDA嚼了一上午才搞定。難道還要來(lái)嚼一上午???

換個(gè)玩法吧,反正我們已經(jīng)定位了,用Frida打印下參數(shù)類型試試。

onEnter: function(args) {
        var receiver = new ObjC.Object(args[0]);

        var message1 = ObjC.Object(args[2]);
        var message2 = ObjC.Object(args[3]);

        console.log('msg1=' + message1.toString() + ",type: "+ message1.$className);
        console.log('msg2=' + message2.toString() + ",type: "+ message2.$className);

},

我就知道frida不會(huì)讓我們失望

msg1={
    body = "{"channel":1,"fQueryStamp":"1622690375496"}";
    client = apple;
    clientVersion = "10.0.1";
    functionId = bubbleComponent;
    openudid = 078593ee2fda3d54aae5879cb841b2faa62a4985;
},type: __NSDictionaryI
msg2=(
    functionId,
    body,
    openudid,
    client,
    clientVersion
),type: __NSArrayI

參數(shù)1的類型是 NSDictionary,參數(shù)2是個(gè)字符串?dāng)?shù)組 NSArray

構(gòu)造NSDictionary和NSArray

畢竟我們沒(méi)搞過(guò)ObjectC,只好面向谷哥編程了,

TIP: 由于我們要初始化一些數(shù)據(jù),所以這里使用 NSMutableDictionary 來(lái)實(shí)現(xiàn), 至于 NSDictionary和NSMutableDictionary的區(qū)別,請(qǐng)自行谷歌

NSMutableDictionary *dict = [[NSMutableDictionary alloc] init];
id objc = nil;
[dict setObject:objc forKey:@"objc"];

這段代碼翻譯成frida的js實(shí)現(xiàn)如下:

var param_dict = ObjC.classes.NSMutableDictionary.alloc().init();
  param_dict.setObject_forKey_(body,"body");

那 NSArray呢? 繼續(xù)谷哥

NSArray *arr3 = [NSArray arrayWithObjects:@"one",@"two",@1, nil];

再翻譯一把

var NSArray = ObjC.classes.NSArray;
var param_Key_Array = NSArray.arrayWithObjects_(sBody,sClient,sClientVersion,sFunctionId,sOpenudid);

悲催的是,這行代碼跑不過(guò)去, 這下谷哥也不靈了,去大胡子的github看看

IOS 某電商App簽名算法解析(二) Frida RPC調(diào)用_安全

TIP: 遇到frida的問(wèn)題,不要著急,去大胡子的github搜搜,可能有驚喜。

吾道不孤,同道還是比較多的,遇到的問(wèn)題也一樣,大胡子說(shuō)你要在參數(shù)結(jié)尾加個(gè) nil

但是這個(gè)nil怎么加也是個(gè)問(wèn)題呀。 再搜搜 #nil# ,有個(gè)同道提供了一個(gè)方法, 搞起來(lái)。

var NSArray = ObjC.classes.NSArray;
var nil = ObjC.Object(ptr("0x0"));
var param_Key_Array = NSArray.arrayWithObjects_(sBody,sClient,sClientVersion,sFunctionId,sOpenudid,nil);

結(jié)果還是不理想,跑到這里還是卡死了。

換條路吧。 我們?cè)囋?NSMutableArray

var param_Key_Array = ObjC.classes.NSMutableArray.arrayWithObject_(sBody);
param_Key_Array.addObject_(sClient);
param_Key_Array.addObject_(sClientVersion);
param_Key_Array.addObject_(sFunctionId);
param_Key_Array.addObject_(sOpenudid);

太棒了,這么搞能實(shí)現(xiàn)

ObjectC 類方法的調(diào)用

getSignWithDic是一個(gè)類方法,類方法的調(diào)用很簡(jiǎn)單,名稱后面加個(gè)下劃線就可以調(diào)用了,ObjC.classes.XXSignService.getSignWithDic_(xxx) 就可以了。

不簡(jiǎn)單的是,getSignWithDic有兩個(gè)參數(shù),直接 getSignWithDic_(a1,a2)能不能行?

多參數(shù)的調(diào)用是這樣的:

var signRc = ObjC.classes.XXSignService.getSignWithDic_keys_(param_dict,param_Key_Array);

完整的試一下

function callSignFun(body,client,clientVersion,functionId,openudid){
    var param_dict = ObjC.classes.NSMutableDictionary.alloc().init();
    param_dict.setObject_forKey_(body,"body");
    param_dict.setObject_forKey_(client,"client");
    param_dict.setObject_forKey_(clientVersion,"clientVersion");
    param_dict.setObject_forKey_(functionId,"functionId");
    param_dict.setObject_forKey_(openudid,"openudid");

    // console.log("==== 1");
    var NSString = ObjC.classes.NSString;
    var sBody = NSString.stringWithString_('body');
    var sClient = NSString.stringWithString_('client');
    var sClientVersion= NSString.stringWithString_('clientVersion');
    var sFunctionId = NSString.stringWithString_('functionId');
    var sOpenudid = NSString.stringWithString_('openudid');

    var param_Key_Array = ObjC.classes.NSMutableArray.arrayWithObject_(sBody);
    param_Key_Array.addObject_(sClient);
    param_Key_Array.addObject_(sClientVersion);
    param_Key_Array.addObject_(sFunctionId);
    param_Key_Array.addObject_(sOpenudid);


    // console.log("==== 2");
    var signRc = ObjC.classes.XXSignService.getSignWithDic_keys_(param_dict,param_Key_Array);
    return signRc.toString();
}

結(jié)果是有了,至于對(duì)不對(duì),就留給大家去驗(yàn)證吧。

IOS 某電商App簽名算法解析(二) Frida RPC調(diào)用_flask_02

三、總結(jié)

及時(shí)保存是個(gè)好習(xí)慣。

正向編程經(jīng)驗(yàn)對(duì)逆向工作有很大的幫助。

Frida是神器。ORZ。

IOS 某電商App簽名算法解析(二) Frida RPC調(diào)用_安全_03我們最先衰老的不是容顏,是夢(mèng)想。

TIP: 本文的目的只有一個(gè)就是學(xué)習(xí)更多的逆向技巧和思路,如果有人利用本文技術(shù)去進(jìn)行非法商業(yè)獲取利益帶來(lái)的法律責(zé)任都是操作者自己承擔(dān),和本文以及作者沒(méi)關(guān)系。

關(guān)注微信公眾號(hào): 奮飛安全,最新技術(shù)干貨實(shí)時(shí)推送

本文摘自 :https://blog.51cto.com/u

開(kāi)通會(huì)員,享受整站包年服務(wù)立即開(kāi)通 >
推薦內(nèi)容