作者:Python進(jìn)階者
來源:Python爬蟲與數(shù)據(jù)挖掘
frida rpc算法轉(zhuǎn)發(fā)
前言
Hello,大家好����,我是碼農(nóng)星期八�����。
本章來給大家介紹一個爬蟲利器���,嗯。。���。,app協(xié)議還原利器更合適�����,當(dāng)然���,自己用的話是利器�,別人用是折磨
因?yàn)樗枰蕾嚹M器或手機(jī)�����。對于環(huán)境來說是有些麻煩的���!
這個東西我們一般稱它為frida rpc算法轉(zhuǎn)發(fā)
為什么使用rpc算法轉(zhuǎn)發(fā)
我們都知道現(xiàn)在開發(fā)app主流的方案是Java���,一些中大廠app是Java+C++,C++最后生成的是so����,是arm匯編。
一般分析arm匯編才是最難的,所以中大廠會更傾向把重要加密放在so中�����,來增強(qiáng)爬蟲或者破解的難度?����。��?��!
但是如果使用rpc的話����,你就不太需要分析繁瑣的Java層和so層的加密了����!
你需要通過frida主動調(diào)用Java層或so層的方法,然后拿到被加密的內(nèi)容�����,然后其他的操作不是就可以為所欲為了���?
環(huán)境
pixel2 v10(已root) Magisk v23.0 Charles v4.6.2 Drony v1.3.154 Python v3.8.6 frida v14.2.18
rpc轉(zhuǎn)發(fā)案例
本次使用的app是嘟嘟牛�,百年只剛嘟嘟牛,哈哈哈
抓包
通過抓包發(fā)現(xiàn)���,走的接口是
http://api.dodovip.com/api/user/login
提交的是一個Encrypt:xxxx��,返回的是一串字符串,這���?����?����?啥玩意?����??
所以我們要模擬這個請求����,必定要捋清這個請求和響應(yīng)是怎么生成的����!
分析
app拖入jadx中
搜索關(guān)鍵字Encrypt
主要加密邏輯在這一塊,
分析不是這一章的重點(diǎn)����,相關(guān)hook代碼,稍微研究一下就懂了�!
Java.perform(function () { function printMap2(map) { return Java.cast(map, Java.use("java.util.HashMap"));
} Java.use("com.dodonew.online.http.RequestUtil").encodeDesMap.overload('java.lang.String', 'java.lang.String', 'java.lang.String').implementation = function (data, desKey, desIV) { console.log("RequestUtil encodeDesMap is call") console.log("data:", data) console.log("desKey:", desKey) console.log("desIV:", desIV) let result = this.encodeDesMap(data, desKey, desIV) console.log("RequestUtil encodeDesMap result:", result) return result
}
Java.use("com.dodonew.online.http.RequestUtil").paraMap.overload('java.util.Map', 'java.lang.String', 'java.lang.String').implementation = function (addMap, append, sign) { console.log("RequestUtil paraMap is call") console.log("addMap:", addMap) console.log("addMap:", printMap2(addMap)) console.log("append:", append) console.log("sign:", sign) let result = this.paraMap(addMap, append, sign) console.log("RequestUtil paraMap result:", result) return result
}
Java.use("com.dodonew.online.http.RequestUtil").decodeDesJson.implementation = function (json, desKey, desIV) { console.log("RequestUtil decodeDesJson is call") console.log("json:", json) console.log("desKey:", desKey) console.log("desIV:", desIV) let result = this.decodeDesJson(json, desKey, desIV) console.log("RequestUtil decodeDesJson result:", result) return result
}
})
整理
根據(jù)上述hook,整理出來主動調(diào)用應(yīng)該是這樣調(diào)用的��,一個加密����,一個解密。
function callparaMap(username, userPwd, timeStamp) { let result = "";
Java.perform(function () { let map = Java.use("java.util.HashMap").$new();
map.put("timeStamp", timeStamp)
map.put("loginImei", "Androidnull")
map.put("equtype", "ANDROID")
map.put("userPwd", userPwd)
map.put("username", username) let r1 = Java.use("com.dodonew.online.http.RequestUtil").paraMap(map, "sdlkjsdljf0j2fsjk", "sign") result = Java.use("com.dodonew.online.http.RequestUtil").encodeDesMap(r1, "65102933", "32028092") }) return result;
} function calldecodedesjson(data) { let result = "";
Java.perform(function () {
result = Java.use("com.dodonew.online.http.RequestUtil").decodeDesJson(data, "65102933", "32028092") }) return result;
}
搭建服務(wù)
既然上述已經(jīng)把邏輯捋清楚了��,并且也已經(jīng)寫好的主動調(diào)用的js代碼����。
那么就來了,如何和python結(jié)合到一起�,跑成一個web,這樣爬蟲只需要響應(yīng)的參數(shù)拿到返回值即可�。
代碼
from fastapi import FastAPI
import uvicorn
import frida
jsCode = """
function callparamap(username, userPwd, timeStamp) {
let result = "";
Java.perform(function () {
let map = Java.use("java.util.HashMap").$new();
map.put("timeStamp", timeStamp)
map.put("loginImei", "Androidnull")
map.put("equtype", "ANDROID")
map.put("userPwd", userPwd)
map.put("username", username)
//
let r1 = Java.use("com.dodonew.online.http.RequestUtil").paraMap(map, "sdlkjsdljf0j2fsjk", "sign")
// console.log("r1:", r1)
//
result = Java.use("com.dodonew.online.http.RequestUtil").encodeDesMap(r1, "65102933", "32028092")
// console.log("r2:", r2)
})
return result;
}
function calldecodedesjson(data) {
let result = "";
Java.perform(function () {
result = Java.use("com.dodonew.online.http.RequestUtil").decodeDesJson(data, "65102933", "32028092")
// console.log("decode:", decode)
})
return result;
}
rpc.exports = {
encrypt: callparamap,
decode: calldecodedesjson,
};
""" process = frida.get_usb_device().attach('com.dodonew.online')
script = process.create_script(jsCode)
print('[*] Running 小肩膀')
script.load()
app = FastAPI() @app.get("/getencrypt")
async def getencrypt(username, password, timestamp):
result = script.exports.encrypt(username, password, timestamp) return {"data": result}
from pydantic import BaseModel class Item(BaseModel): data: str
@app.post("/getdecode")
async def getdecode(item: Item):
result = script.exports.decode(item.data) return {"data": result} if __name__ == '__main__':
uvicorn.run(app, port=8080)
運(yùn)行
構(gòu)造請求
代碼
import requests
import time
import json
dt = time.time() * 1000 url = f"http://127.0.0.1:8080/getencrypt?username=18903916120&password=1111×tamp={dt}" r1 = requests.get(url)
print(r1.json()) url = "http://api.dodovip.com/api/user/login" headers = { "Content-Type": "application/json;charset=utf-8" }
data = { "Encrypt": r1.json().get("data")
}
print(data)
r = requests.post(url=url, headers=headers, data=json.dumps(data))
print(r.text) data = { "data": r.text
}
url = "http://127.0.0.1:8080/getdecode" r = requests.post(url=url,headers=headers, data=json.dumps(data))
print(r.text)
運(yùn)行
總結(jié)
這個app還是很簡單的,但是應(yīng)該用到了倆加密����,如果要是硬剛代碼的話�����,還是需要研究研究的����。
但是如果使用rpc這種轉(zhuǎn)發(fā)方案的話���,你就可以發(fā)現(xiàn)幾行代碼就完事了!
但是缺陷也是明顯的���,需要依賴電腦和手機(jī)���,如果只是采集數(shù)據(jù)的話,應(yīng)該還是挺合適的�����!
如果在操作過程中有任何問題����,記得下面留言�����,我們看到會第一時間解決問題�����。
越努力,越幸運(yùn)�����。
我是碼農(nóng)星期八����,如果覺得還不錯�,記得動手點(diǎn)贊一下哈。
CDA數(shù)據(jù)分析師考試相關(guān)入口一覽(建議收藏):
? 想報(bào)名CDA認(rèn)證考試�,點(diǎn)擊>>>
“CDA報(bào)名”
了解CDA考試詳情;
? 想學(xué)習(xí)CDA考試教材�,點(diǎn)擊>>> “CDA教材” 了解CDA考試詳情;
? 想加入CDA考試題庫��,點(diǎn)擊>>> “CDA題庫” 了解CDA考試詳情��;
? 想了解CDA考試含金量��,點(diǎn)擊>>> “CDA含金量” 了解CDA考試詳情;
京公網(wǎng)安備 11010802034615號
經(jīng)營許可證編號:京B2-20210330