iOS app如何获取 IMEI app获取imei做什么

前言

Android逆向是一个很大很深的话题，我们这个系列探讨的是爬虫工程师日常的逆向需求，比如签名算法啊，post请求中的加密啊，乱七八糟的随机字段等,下面看看我们每次要分析的app。

抓包

1. 抓包前将手机和电脑连接到同一WIFI，在手机设置好代理，装好证书，就可以开始抓包了,抓包工具随意
2. 抓包环境配置好后，在注册页面随便输入一个账号,然后点击注册
3. 查看抓到的数据包,找需要分析的参数进行分析

deviceCode 是IMEI 码,这次逆向的重点也就是分析sign,appcode生成逻辑。

分析

看到这个sign 我首先想到用objection trace 一下,没了解过 objection的可以自行百度,也可以参考roysue的文章:

https://www.anquanke.com/post/id/197657?from=timeline&isappinstalled=0

使用命令:

android hooking search classes sign

找到含有sign的类

其中有条成功引起了我的注意,找的时候先查找携带包名的类,然后触发一下:

android hooking watch class com.******hotel.app.whnetcomponent.utils.SignUtil

触发后得到以下结果,又发现两个比较可疑的方法,继续跟踪：

android hooking watch class_method com.******wehotel.app.whnetcomponent.utils.SignUtil.getAppCode --dump-args --dump-return
android hooking watch class_method  com.******wehotel.app.whnetcomponent.utils.SignUtil.getSignString --dump-args --dump-return

再次触发后看到拿到的正好是我们需要的结果,这样就定位到了参数位置:

现在我们去看看app 代码。

脱壳加验证

这个app 使用某数字壳,直接使用葫芦娃的脱壳工具：

https://github.com/hluwa/FRIDA-DEXDump

对于体积比较大的app来说,使用dex-finder能让我们更快速的查看需要的类和参数,Gitub地址：

https://github.com/LeadroyaL/dex-finder

找到我们需要查看的类所在的dex,使用命令:

使用下面命令

java -jar dex-finder.jar -f 目录 -c com.******wehotel.app.whnetcomponent.utils.SignUtil

找到我们需要的dex后 ，用jadx 打开查看:

一眼就能看见sign 是md5,appcode 是AES加密,然后跟进去就找到了key,加密模式和填充方式

AesUtil.encrypt(timestamp + "+" + ascii + "+" + devicesNo + "+" + latlng);
1585278419269, 51405, 00000000-30ae-6a3e-a3c1-fe290033c587, 0,0
1585274763545+1974+00000000-30ae-6a3e-a3c1-fe290033c587+0,0

这里可以看到ascii ,但是不知道怎么来的，打印下堆栈，然后去上一级找，很快找到了生成位置decodeASCII，

Python改写如下:

query = {"systemVersion":"5.1.1", "sid":"306259","userId":"0", "mobile":mobile, "clientVersion":"4.2.9", "deviceType":"google Pixel 2","nationCode":"86","deviceCode":"865166010285875"}
 k = list(query.values()) 
 asc = str(sum([sum([ord(i) for i in j]) for j in k ]))

然后接下来看sign ,加密方式就是这样,hook 下参数:

md5.getMD5ofStr(md5.getMD5ofStr(userId + appChannel + devicesNo + timestamp + latlng + ascii) + timestamp + ascii + devicesNo + latlng);


0, vadjlr4k3o;qj4io23ug9034uji5rjn34io5u83490u5903huq, 00000000-30ae-6a3e-a3c1-fe290033c587, 1585278419367, 0,0, 1974


"0vadjlr4k3o;qj4io23ug9034uji5rjn34io5u83490u5903huq00000000-30ae-6a3e-a3c1-fe290033c58715852784193670,01974"


B4BB10ECF03A740174AFABA1EC93E00E1585278419367197400000000-30ae-6a3e-a3c1-fe290033c5870,0


A298CD04C866C7F0BF9E0D4456AFD7B1
A298CD04C866C7F0BF9E0D4456AFD7B1


两次md5 对比后发现appChannel是固定，其他就可以自己伪造了

最后再说下 deviceId 的生成方式,其实不重要，uuid伪造就行了,

clientInfo.setDeviceId(new UUID((long) androidId.hashCode(), (((long) tmDevice.hashCode()) << 32) | ((long) tmSerial.hashCode())).toString());

到此 分析完毕，Python改写请求即可:

// 下面是验证参数用到的fria脚本
function showStacks() {
    Java.perform(function() {
        console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
    });
}


function hook(){
    Java.perform(function(){
        var util = Java.use('com.******wehotel.app.whnetcomponent.net.JJSignInterceptor');
        var Buffer = Java.use("okio.Buffer");
        var aci = Java.use("com.******wehotel.app.whnetcomponent.utils.SignUtil")
        var device = Java.use("com.******wehotel.app.whnetcomponent.utils.DeviceUtil");
        var ut = Java.use("com.******wehotel.app.whnetcomponent.utils.Utils");
        var client = Java.use("com.******hotel.app.whnetcomponent.net.ClientInfo");
        var WHGetDeviceIdUtil = Java.use("com.******hotel.app.componentservice.WHGetDeviceIdUtil");
        var Settings = Java.use("android.provider.Settings$Secure");
        var TelephonyManager = Java.use("android.telephony.TelephonyManager");
        var UUID = Java.use("java.util.UUID");


        util.handlerRequest.implementation = function (request) {
            showStacks();
            var ret = this.handlerRequest(request);
            console.log(request);
            try {
                console.log("MyInterceptor.intercept onEnter:", request, "\nrequest headers:\n", request.headers());
                var requestBody = request.body();
                var contentLength = requestBody ? requestBody.contentLength() : 0;
                if (contentLength > 0) {
                    var BufferObj = Buffer.$new();
                    requestBody.writeTo(BufferObj);
                    console.log("\nrequest body String:\n", BufferObj.readUtf8(), "\n");
                };
            } catch (error) {
                console.log("error 1:", error);
            };
            console.log(ret);


            var context = ut.getApp();
            var a = device.readClientInfo(context);
            var tmDevice = "" + WHGetDeviceIdUtil.getDeviceId(context);
            var pm = context.getSystemService("phone")
            var b = Java.cast(pm,TelephonyManager);
            var tmSerial = b.getSimSerialNumber();
            var androidId = "" + Settings.getString(context.getContentResolver(), "android_id");
            console.log(tmDevice,tmSerial,androidId);
            console.log(a.getDeviceId());


            return ret;
        }


        aci.decodeASCII.implementation = function (a) {
        // showStacks();
            console.log(a);
            var ret = this.decodeASCII(a);
            console.log(ret);
            return ret;
        };


        aci.stringToAscII.implementation = function (a) {
            // showStacks();
                console.log(a);
                var ret = this.stringToAscII(a);
                console.log(ret);
                return ret;
        };


        UUID.$init.implementation = function (a,b) {
            // showStacks();
            console.log("a",a);
            console.log("b",b);
            var ret = this.$init(a,b);
        };
    });
};


setImmediate(function(){
    setTimeout(hook, 2000);
});

大功告成！就这样，下次再见。