作者：绿盟科技

来源：https://forum.ezreal.cool/thread-67-1-2.html

1. Root检测，不能在root手机进行测试。

2. 代理检测，无法代理抓包。

3. 证书强校验，会出现“网络连接错误”等提示信息。

4. 请求包的body部分被加密，使用AES、RSA等等。

那么在遇到这些情况的如何去应对？

目前比较好用的方法是Hook抓包，绕过一些检测校验。（逆向加密算法成本太高，比较费时间，这里加密函数是在native层的。）

本文将讲述APP在密文通信下，通过hook手段看到明文数据。

1.请求包密文参数hook：

打开某APP，登入抓包发现数据加密处理了，想办法搞明文：

使用app查看工具查看apk是否加固，最终验证是360加固。

然后使用了脱壳机进行脱壳，脱壳机拖出了很多dex文件，最终目的是想知道 “明文”、“密文”相关的函数在哪个dex文件(仅展示部分文件)。

下一步思考，进行简单的定位，分析请求包的body部分，观察iv参数，很像base64编码。

尝试使用base64解码，解码后的数据为 “5b567f680892474e”，这数据可能是AES算法的IV，十六进制的。

既然body的iv部分使用了base64编码，下一步立马想到对“某APP”进行base64的hook，因为他的request请求体部分肯定调用了base64加密，js代码如下：

Java.perform(function () {
    function showStacks() {
        console.log(
            Java.use('android.util.Log').getStackTraceString(
                Java.use('java.lang.Throwable').$new()
            )
        )
    }

    var base64 = Java.use("android.util.Base64");
    base64.encodeToString.overload('[B', 'int').implementation = function (a,b) {
        showStacks();
        console.log("base64.encodeToString: ", JSON.stringify(a));
        var result = this.encodeToString(a,b);
        console.log("base64.encodeToString: ",result)
        return result;
    };
});

Hook的结果，确实调用了android内置的base64方法，但是，结果和iv的不一样。进一步分析，他这个的base64是请求体cookie里面部分数据的base64结果，不是body部分的，所以加密和这块无关。

但是这一部分有价值，他的调用栈显示了整个调用过程，分析调用栈有个 “encryption” 字眼，第一印象，这估计就是加密函数，所以，下面根据调用栈的类名，定位脱壳后的dex文件（为什么要定位dex？因为脱壳后的dex文件太多，无法准确定位功能点）

通过上图调用栈，将encryption的类名进行全文搜索,关联到是5856160这个dex文件：

然后用jadx分析这个dex，发现都是方法a的重载

直接用objection批量hook，发现是调用了2个a方法，一个参数是“[object Object]”，另一个是“int, java.util.Map”：

针对上述两个方法进行hook，编写hook脚本：

Java.perform(function () {
    var name = "com.xxx.xx.util.encryption.c";
    var encrypt = Java.use(name);
    encrypt.a.overload('java.util.Map').implementation = function (obj) {
        console.log("parameter is : ", JSON.stringify(obj));
        var retval = this.a(obj);
        console.log("1 return value : ",retval);
        return retval;
    };

    encrypt.a.overload('int', 'java.util.Map').implementation = function (num, map) {
        console.log("first parameter : ",num);
        console.log("second parameter : ",JSON.stringify(map));
        var retval = this.a(num, map);
        console.log("2 return value : ", retval);
        return retval;

    };
});

然后运行打印，验证一下，一个是明文数据，一个是密文数据：

分析过程到此结束，即可看到明文数据。

2.响应数据hook

再进一步分析，然后发现com.xxx.xx.h.a方法有响应内容输出：

进入com.xxx.xx.h.a方法：

然后反编译dex文件，发现response关键字眼，代码中是将内容放入af的c方法中，下面看看af是什么：

发现af好像是kotlin的有一个底层库：（af是混淆后的名字）

然后用objection打印参数查看，确实有响应包的数据，下面直接hook这个kotlin模块：

编写hook脚本：

Java.perform(function () {

    var name = "com.xxx.xx.util.encryption.c";
    var encrypt = Java.use(name);
    encrypt.a.overload('java.util.Map').implementation = function (obj) {
        //console.log("parameter is : ", JSON.stringify(obj));
        var retval = this.a(obj);
        send(retval);
        var tmp;
        var op = recv('python_send', function(value) {
                console.log("修改完的数据：", value.payload);
                tmp=value.payload;
                return value.payload;
            }).wait();
        //console.log("op: ",op);
        return tmp;

    };

    var response = Java.use("kotlin.jvm.internal.af");
    response.c.overload('java.lang.Object', 'java.lang.String').implementation = function (obj, s) {
        var r = s.indexOf("try");
        //console.log("r = ", r);
        if (r!=-1) {
            console.log("result is ",)
            console.log("one param is ", obj);
            //console.log("two param is ", s);
        }

        var retval = this.c(obj,s);
        return retval;

    };

});

这里hook脚本js和python脚本联合，将请求发送到burpsuite，再通过burpsuite将修改后的数据回调进app进行后序操作，如下图：

正常的请求过程

Hook的过程：

这个过程中需要一个中转服务器，一个和burpsuite通信的脚本：（其中hook的语句写入了通信脚本里面，让其自动加载进去）。最终控制台输出明文数据。

测试截图：

​