Crack App | 某搜索 App 中关于 x 信文章检索功能的加密参数分析（Frida Hook 篇）

点击上方“咸鱼学Python”，选择“加为星标”

第一时间关注Python技术干货！

图源：极简壁纸

今日目标

今天的目标是很多读者朋友在采集微信文章时常用站的 app 版本

aHR0cHM6Ly93d3cud2FuZG91amlhLmNvbS9zZWFyY2gvNjU1NTQ3NDYwMzMwMTAyMDk0MQ==

抓包分析

抓包使用的是 Charles + Postern 的组合

使用大黄鸟 app 抓包也是可以的，Charles 看着会更舒服一些

打开 app 搜索任意内容，切换到微信栏目就可以抓到以下的请求包了

点击这个请求可以看到请求参数还有请求的结果都是加密的

请求的参数是k、v、u、r、g、p的名字，所以通过参数名检索的方法很难定位到很准确的结果

静态分析定位逻辑

apk 包推荐使用 jadx 1.2 打开，用 1.3 搜索的时候老是崩溃

通过以请求链接的部分v2.get作为搜索关键词可以定位到下面的搜索结果

最后一个搜索的结果和我们的请求链接最匹配

点进去可以看到下面的内容

可以看到图中红框的部分应该是请求的部分，红框下面是返回的部分

分别经过了encrypt和decrypt两个方法

先讲讲我是怎么确定是这两个方法的

红框部分中定义了一个hashMap，通其中put了一个Content-Length，这个搞过 js 逆向的都知道，这个是代表了请求提交内容的长度

这个长度是通过encrypt.length得到的，而encrypt是通过ScEncryptWall.encrypt(str, str2, str3);得到的

而返回部分的代码是在判断了f0.b得出的，在f0.b的判断中有一关于response success的输出，进一步确认了我们的判断

所以这里的encrypt和decrypt两个方法是分析的重点

进一步追进去可以看到这两个方法都是native方法，定义在libSCoreTools.so里面

动态调试确认逻辑

既然是 native 方法，通过 IDA 分析这几个也是导出方法，这里 hook 的方法就很多了。

我们直接用frida hook看下出入参看看是不是符合我们在上一部分的猜想

先看encrypt

functionhook_encrypt(){Java.perform(function(){varScEncryptWall=Java.use("包名.类名");ScEncryptWall.encrypt.implementation=function(str1,str2,str3){console.log("str1:",str1);console.log("str2:",str2);console.log("str3:",str3);varres=this.encrypt(str1,str2,str3);console.log("res:",res);returnres;}})}setImmediate(hook_encrypt)

通过hook可以得到以下结果

str1=请求的urlstr2=请求提交的参数（明文）str3=空

返回的结果就是加密好的参数了

同样的hook decrypt

functionhook_decrypt(){Java.perform(function(){varScEncryptWall=Java.use("包名.类名");ScEncryptWall.decrypt.implementation=function(data){console.log("data:",data);varres=this.decrypt(a);console.log("res:",Java.use("java.lang.String").$new(res));returnres;}})}setImmediate(hook_decrypt)

打印结果如下

参数是请求的返回值，解密的结果是列表页的内容

完事~，Python RPC 调用一下就可以爽爽的采集相关的文章了

好了，以上就是今天的全部内容了。

我是没有更新就在摸鱼的咸鱼

收到请回复~

我们下次再见。

对了，看完记得一键三连，这个对我真的很重要。

关键词： 使用的是 收到请回复 就很多了