Private Keeper OpenBullet BAS Разбор шифрования APK приложения для новичков

Всех приветствую. Разберем не сложное приложение: Litres
Все что вы увидите в этой статье это не призыв к действию, а только материал для ознакомления

Список софта, который мы будет использовать:

Софт

Python3 - нужен для Frida (не забудьте поставить галочку Add to Path во время установки)
Frida - фреймворк, который поможет нам быстро снять SSL pinning
ADB - через него будем запускать Frida
Jadx - показывает код apk приложения
Fiddler - софт для снифа
Genymotion / MuMu / Nox / Bluestacks - андроид эмулятор

Скачиваем apk

Пишем в гугле "litres google play", переходим на сайт маркета

Код

Пишем в гугле "litres google play", переходим на сайт маркета

Опускаем страницу ниже отзывов и видим(выделено красным). Копируем:

Код

Опускаем страницу ниже отзывов и видим(выделено красным). Копируем:

Идем в гугл и пишем "litres apk 3.35-gp", переходим на любой сайт и скачиваем

Код

Идем в гугл и пишем "litres apk 3.35-gp", переходим на любой сайт и скачиваем

Подготовка

Закидываем apk в наш эмулятор или скачиваем это же приложение из Play Market



Открываем консоль(cmd) и пишем:

adb shell

Код

adb shell

cd data/local/tmp

Код

cd data/local/tmp

./frida &

Код

./frida &

Консоль не закрываем

Заходим в эмулятор и открываем наше приложение(Litres)
Открываем новую консоль и пишем:

frida-ps -U

Код

frida-ps -U

Находим в списке и копируем:

ru.litres.android

Код

ru.litres.android

Запускаем Fiddler / Charles:



Открываем третью консоль и пишем

frida -U -f ru.litres.android -l Desktop/frida/code.js --no-pause

Код

frida -U -f ru.litres.android -l Desktop/frida/code.js --no-pause

Desktop/frida/code.js - путь к скрипту frida(кликабельно)

Снифаем трафик

Frida запустила нам приложение, открываем эмулятор и пробуем авторизоваться, чтобы посмотреть на трафик.

Вот что получилось в Fiddler:

Код

Вот что получилось в Fiddler:

[CODE]Ищем именно тот запрос, который отвечает за авторизацию(т.е. где передаются введенные нами почта и пароль):[/CODE]
[CODE]Выделяем POST данные и ПКМ -> "Send To TextWizard":[/CODE]


[CODE]Я нашел онлайн JSON Viewer и запихнул данные, чтобы удобнее было анализировать:[/CODE]

Непонятные данные:
[CODE]"sid" - session id, но пока что не понятно откуда берется
"sha" - какой-то хеш, дальше будем разбирать
"time" - отформатированный timestamp, без смещения, т.к. у меня такое же время
"user_id" - пока что не понятно откуда он берется[/CODE]

"sid"

[CODE]Нажимаем Ctrl + F в фидлере и пишем "sid":[/CODE]
[CODE]Нажимаем "Find Sessions" и переходим в первый запрос где был найден sid[/CODE]
[CODE]Отсюда мы видим, что "sid" мы получаем от сервера. Теперь анализируем то, что мы отправляем:[/CODE]
[CODE]"pwd" - непонятно откуда берется
"login" - какой-то странный uuid
Кроме этих двух пунктов ничего нового нет, идем дальше[/CODE]

"user_id"

[CODE]В запросе авторизации "user_id" был равен 852385973. Теперь делаем как и с "sid"(ищем 852385973 через Ctrl + F):[/CODE]
[CODE]Теперь приводим, данные которые мы отправляем, в порядок:[/CODE]
[CODE]"sid" мы разобрали в предыдущем спойлере и после его получения мы с помощью него получаем "user_id"
Остальные данные уже нам известны, ничего нового, идем дальше[/CODE]

[CODE]"time" и "sha" разберем с след. спойлере "Смотрим шифрование"[/CODE]

Смотрим шифрование

[CODE]Открываем Jadx:[/CODE]
[CODE]Перетаскиваем туда наше apk приложение:[/CODE]
[CODE]После того как загрузит, нажимаем на "волшебную палочку":[/CODE]
[CODE]Ждем, пока приложение декомпилируется:[/CODE]
[CODE]Ставим такие же галочки, как у меня и вписываем в поисковую строку "sha":[/CODE]

[CODE]У нас есть 2 результата.
Первый результат сразу отпадает, т.к. судя по пути это апи Вконтакте.
Остается один вариант, кликаем два раза ЛКМ по второму результату[/CODE]Нас перекидывает в код и главное на что мы должны обратить внимание это:



[CODE]Обратите внимание на hashMap.
Судя по всему это map в котором как раз и билдится наш запрос на авторизацию. Нас интересует "time" и "sha".[/CODE]

"time"

[CODE]Для начала посмотрим на "time".
У нас есть hashMap.put("time", _dateToString)
Метод put означает, что мы кладем в hashMap ассоциацию. Т.е. мы ассоциируем строку "time" с переменной _dateToString.[/CODE]Чтобы понять, что на данном этапе хранит данная переменная нужно посмотреть в Fiddler данные нашего запроса:



[CODE]Т.к. "time" ассоциируется c переменной _dateToString, и у нас в запросе есть вот такая строка:
"time": "2021-02-22T09:40:12-05:00"
Это означает, что _dateToString = "2021-02-22T09:40:12-05:00".
Этот момент нужно запомнить, идем дальше[/CODE]

"sha"

[CODE]Возвращаемся в Jadx:[/CODE]
[CODE]Дальше нас интересует хеш. Смотрим на 98-ую строку и видим, что со строкой "sha" у нас ассоциируется переменная sha256.[/CODE]Теперь смотри на 95-ую строку, где объявляется переменная. Видим метод getSHA256, который как раз и шифрует строку
[CODE]a2.toString()[/CODE]Поднимаем глаза на 94-ую строку и видим как создается переменная с типом StringBuilder, которая сразу вызывает ф-цию:


[CODE]Зажимаем Ctrl и наводимся на j.b.b.a.a.a, потом у нас подчеркнется a и нажимаем по ней ЛКМ.
Нас перекидывает в эту функцию:[/CODE]
[CODE]Эта ф-ция создает как раз таки StringBuilder, кладет в него аргумент(str) и возвращает его.
Т.е. на пред. скрине на строке 94 у нас StringBuilder в котором при объявлении уже находится _dateToString[/CODE]Дальше идет строка 94(2):
[CODE]a2.append(b())[/CODE]Эта строка добавляет в наш StringBuilder(в котором уже лежит 2021-02-22T09:40:12-05:00) возвращаемое значение после вызова ф-ции b()
Переходим в эту ф-цию задержав Ctrl и нажав ЛКМ по ней и вот что мы видим:


[CODE]Данная ф-ция проверяет, является ли это приложением школьным(у litres есть apk для школ). Если оно есть таковым, то возвращает "2vHzgx.....Tei"
В ином случае возвращает "AsAAfd.....^]"[/CODE]Т.к. у нас не школьное приложение, то нас интересует вторая строка, а именно
[CODE]AsAAfdV000-1kksn6591x:[}A{}<><DO#Brn`BnB6E`^s\"ivP:RY'4|v\"h/r^][/CODE]Обратите пожалуйста внимание на экранирование символов:


[CODE]Если не убрать два обратных слеша, то хэш НЕ будет совпадать!!![/CODE][CODE]Структурируем информацию:[/CODE]

Строка 94(1):
[CODE]StringBuilder содержит только 'time", к примеру
2021-02-22T09:40:12-05:00[/CODE]Строка 94(2):
[CODE]В StringBuilder кладется результат ф-ции b()
В нашем случае это строка "AsAAfdV000-1kksn6591x:[}A{}<><DO#Brn`BnB6E`^s"ivP:RY'4|v"h/r^]"
Теперь переменная a2 выглядит так:
2021-02-22T09:40:12-05:00
AsAAfdV000-1kksn6591x:[}A{}<><DO#Brn`BnB6E`^s"ivP:RY'4|v"h/r^]
[/CODE]Строка 95:
[CODE]a2.toString() конвертирует наш StringBuilder в строку. Это означает, что все его элементы просто склеиваются в одну строку.[/CODE]Т.е. a2.toString() это строка, которая выглядит вот так:
2021-02-22T09:40:12-05:00AsAAfdV000-1kksn6591x:[}A{}<><DO#Brn`BnB6E`^s"ivP:RY'4|v"h/r^]

[CODE]Вернемся к нашему запросу на авторизацию, чтобы сверить хэш наш и приложения:[/CODE]

Берем "time" отсюда:

[CODE]2021-02-22T09:40:24-05:00[/CODE]Склеиваем с AsAAfdV000-1kksn6591x:[}A{}<><DO#Brn`BnB6E`^s"ivP:RY'4|v"h/r^] и получается

2021-02-22T09:40:24-05:00AsAAfdV000-1kksn6591x:[}A{}<><DO#Brn`BnB6E`^s"ivP:RY'4|v"h/r^]

[CODE]Дальше заходим на любой сайт, чтобы захэшировать в sha256:[/CODE]

Сверяем хэш в запросе и наш результат. Радуемся :)

Если статья понравится, то напишу другую(или дополню эту) с тем,
как применить информацию в этой статье и написать проект на Private Keeper'e
​