破解前需要准备:
XCode、iPhone真机(无需越狱)、已砸壳的ipa包(可以从pp助手下载)、class-dump(用于导出头文件)、MonkeyDev(逆向神器,可在未越狱手机上逆向,必备)、IDA Pro(或Hopper Disassembler V3,反汇编工具)
准备工作:
砸壳ipa包。
从AppStore上下载的App,都是苹果加壳的。直接用class-dump,只会导出一个CDStructures.h文件,其它什么有用信息都没有,对于逆向App没有一点用处。
因此,推荐从pp助手上下载已砸壳的ipa包,这样能够节省自己砸壳的工作量,能够将更多的时间和精力放在逆向上。
有了已砸壳的ipa包以后,就可以顺序进行下面的步骤了。
1、查看ipa包是否已砸壳
otool -l ShareCarProject | grep crypt
2、使用class-dump导出头文件
class-dump -H ShareCarProject.app/ -o Headers
我们就可以在.h文件中查看所有公开方法的声明,方便之后使用MonkeyDev hook该方法。
从dump出的头文件,可以看出网络请求库使用了AFNetworking,一般实际工程中都会对AFNetworking再封装,然后发起网络请求。
该网络封装类就是我们要破解的目标。
dump出的头文件要好好保存,因为破解的过程中需要查看所有可能是签名的函数,而且下一步hook时必须知道函数声明。由于并不清楚网络请求和加密的类,所以只能不断尝试,可以试着搜索network、netengine、sign、md5、rsa之类的关键词,猜想哪个方法更有可能是签名函数。为了验证自己的判断,就必须使用MonkeyDev进行验证。
破解签名算法就是不断假设、不断验证的过程,虽然枯燥,但是能够了解到App的很多设计和实现,也是一种学习的方式。
3、MonkeyDev上场的时候到了
使用MonkeyDev hook应用,破解工程如链接所示:
经过多次尝试,才最终确定请求类是NetEngineHelper、签名方法在BasePublicParameModel。
破解工程只是打印了AFHTTPSessionManager、NetEngineHelper的请求参数,以及BasePublicParameModel类签名函数的参数和返回值,让我们能够以直观的方式看到数据在签名前和签名后区别。
生成的签名参数verification:
签名前字符串以及签名:
HTTP请求参数
这个工程已经是不断调整后结果了,至于这个结果是怎么来的,如何确定签名函数的内部实现细节,就必须进行下一步反汇编:查看伪码。
这里我们用的是IDA Pro。
4、IDA Pro反汇编
将砸壳后的安装包使用IDA打开,通过如下方式搜索BasePublicParameModel,能够快速定位到目标类:
这个类的所有方法就都展示在functions window中了:
还没有确定签名函数,所以必须在这些方法中继续寻找。
5、找到签名函数的位置和实现细节
经过一番寻找终于能够确定,汇编和伪码如下:
上面的截图已经展示签名函数的所有细节,有个非常重要的细节是构建的签名前字符串不仅仅是参数的组合,另外还有一个变量也参与了签名。
6、XCode快速验证签名算法
验证工程如链接所示:
Likechuxing签名验证工程
必须不断地试错,才能完整实现App的签名算法。
这里有个小tip,就是拿到签名前和签名后的参数,将签名前参数放入验证工程中,如果通过自己写的签名算法函数运算得到一样的签名后参数,就说明自己的算法实现是对的了。
7、python实现签名算法
这一步其实是必不可少的,因为如果签名算法只用
Objective-C实现,那就不可能移植到centOS等服务器上,也不可能移植到windows主机上,花这么多时间破解签名算法就真的只是浪费功夫了。
为了不依赖XCode和Mac环境,这里使用了python语言实现了请求接口,使用python是因为它的易用性与普及性,在其它机器只要有python环境就能非常容易地运行起来。
这里使用python的request类构建一个post请求,设置HTTP请求头、User-Agent等信息,按规则写入请求参数并对请求参数签名,写入HTTP请求体,从而达到抓取网点列表接口数据的目的。
python脚本如下:
https://github.com/xiaoL0204/likechuxing_request
脚本运行效果如下:
说明:示例中去掉了关键信息,直接运行likechuxing_request.py是会报“验证失败”的错误的。
本文出于学习目的,着重于学习App的设计、熟悉反汇编、熟悉python语言和库,练习urllib2、urllib、hashlib等库。
