本文是大众点评APP的分析记录。

声明：文章内容仅供参考学习，如有侵权请联系作者进行删除。

案例环境：夜神安卓5，APP版本10.45.7。
工具：Frida、Charles。

点评看不到http/https数据包，它走了自己的CIP协议，网上的抓包方案有降级或者VPN转发。

本文通过hook的方式来抓http/https数据包。

用super-Jadx时内存溢出，我删除了一些无用文件，将dex分批反编译，这块就不再说了。

---

---

Hook 抓包

Hook代码：

执行hook脚本后，成功抓到包。

---

Hook http/https请求信息

Hook代码：

查看执行结果：

---

Hook 数据解密

Hook自定义的对象时，可以使用r0gson.dex的gson进行输出。
r0gson.dex下载链接: https://pan.baidu.com/s/1V59p4NKhrXSa_xpdM_LmtA?pwd=53nm
将其放到设备的 /data/local/tmp 目录中

查看执行结果。

---

Hook 明文响应内容

Hook代码：

查看执行结果：

格式化后和设备页面信息对比，发现内容一致。

---

Hook 代码整理

import frida, sys
def on_message(message, data):
    print("[%s] => %s" % (message, data))

session = frida.get_usb_device().attach('com.dianping.v1')

js_code = """
Java.perform(function(){
    
    Java.openClassFile("/data/local/tmp/r0gson.dex").load();
    const gson = Java.use('com.r0ysue.gson.Gson');
    
    var c1 = Java.use("com.dianping.nvnetwork.tunnel2.a");
        c1.isSocketConnected.implementation = function () {
        return false;
    }
    
    
    var bb = Java.use("com.dianping.dataservice.mapi.b");
    bb.b.overload('java.lang.String', 'com.dianping.dataservice.mapi.c').implementation = function(a1, a2){
        //console.log("**************************** http start");
        console.log(a1);
        // console.log('a2:', a2);
        var res = this.b(a1, a2);
        // console.log(res);
        //console.log("**************************** http end");
        return res;
    }
    
    var d = Java.use("com.dianping.dataservice.mapi.impl.d")
    d.a.overload('java.lang.String', 'java.lang.String').implementation = function(a1, a2){
        //console.log("**************************** https start");
        var res = this.a(a1, a2);
        console.log(res);
        //console.log("**************************** https end");
        return res;
    };
    
    
    var c3 = Java.use("com.dianping.picassocontroller.jse.c");
	c3.a.overload('com.dianping.picassocontroller.vc.e', 'java.lang.String', '[Ljava.lang.Object;').implementation = function (a,b,c) {
		console.log('a: ', a);
		console.log('b: ', b);
		console.log('c: ', c);
		var v = this.a(a,b,c)
		console.log(v.string())
	    return v;
	}
	
     hook decryptData
    var ByteString = Java.use("com.android.okhttp.okio.ByteString");
    var SocketSecureManager = Java.use("com.dianping.nvnetwork.tunnel.Encrypt.SocketSecureManager");
    SocketSecureManager.decryptData.implementation = function(bstr, str){
       console.log('bstr: ', bstr);
       console.log('bstr-tojson:',gson.$new().toJson(bstr));
       console.log('bstr-hex: ', ByteString.of(bstr).hex());
       console.log('str: ', str);
       var ret = this.decryptData(bstr, str);
       // console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()));
       console.log('decryptData Results: ', ByteString.of(ret).hex());
       return ret;
    }
    
    
    // var AESUtils = Java.use("com.meituan.android.common.unionid.oneid.util.AESUtils");
    // AESUtils.decrypt.implementation = function(str){
    //     console.log('decrypt is called');
    //     str = "RNtYlL8BsMe4EOqz-X0a1WAw3FwHsr1fdXSOBRnPEF_MiYYvJ1GSqvIIA1NwwTUxuoNWGGueSBRl50pmkidrgdQmVUUScNhW4FpBl1ZFPSyJAz4Zo0PpDNStJnb5JCf8fEe8oDXOCAsptjpuGpRJGClsKeIqe9ph6gAyvYfOk2XafwXbHf4VlsjATDVI7r4f-2s6QQ5Mfc6jvRMyqNdLJNtLwg5XDEmL4Leu7fCnHJbJ46O8hy8MFuN38avBqh6N-2s6QQ5Mfc6jvRMyqNdLJLVj6r8HF-qtkeIznxOc2qXKVyQ4dzMLEBQjCADd9vGF"
    //     var ret = this.decrypt(str);
    //     console.log('decrypt ret value is ' + ret);
    //     return ret;
    // };
  
})
"""

script = session.create_script(js_code)
script.on('message', on_message)
script.load()
sys.stdin.read()

---

备注

数据是通过AES算法进行的加解密，找到key和iv就能复写了。

作者只是简单分析并记录了下。

欢迎关注《pythonlx》公众号，可获取群聊二维码！