[某小说旗下漫画SFSecurity逆向记录]

某天心血来潮，弄了个书源，爬某平台的漫画

既然这样，那么第一步肯定就是抓包了
先MT看看

APP有某数字加固，不慌，通过一些手段绕过SSL检查，开始抓包

我们看看请求

https://api.*****.com/search/comics/result/new?q=血姬与骑士&expand=comics,typeName,authorName,intro,latestchaptitle,latestchapintro,tags,sysTags&sort=hot&page=0&size=12&systagids=&isFinish=-1&updateDays=-1

这里没啥特殊的

我们再看看请求头
有一个Authorization头，但分析了好几次后，发现是固定的，所以我们也写死就行
还有一个叫SFSecurity头，里面包含了一个随机的uuid，时间戳和deviceToken
nonce=1DD2FC4E-15C0-4FA7-AD33-599B8483B9A9&timestamp=1741955967576&devicetoken=5B1883D9-D7E9-BAD4-A60F-DF82A415E432&sign=6A92026619F3C78EAC36270E729C5EBB

那么我们的目标就很明确了，那便是拿下sign参数
32位HEX，盲猜MD5
经过一些奇奇怪怪的操作之后，我们成功把数字加固脱了下来
进dex分析

看到了一些奇怪的东西

上面的clinit里加载了二进制库libsfdata.so，所以算法大概率就在这里面
我这里没有电脑，所以是纯手机处理（其实我看过ida，一so有壳，二被混淆了，静态分析超级难）
我们先readelf一下

    47: 0000000000021a4c 21584 FUNC    GLOBAL DEFAULT   10 _ZN3MD59transformEPKh
    49: 0000000000020bdc   900 FUNC    GLOBAL DEFAULT   10 _ZN3MD5C2Ev
    97: 0000000000028c44    92 FUNC    GLOBAL DEFAULT   10 _Z3md5Ss
   109: 00000000000283fc  1632 FUNC    GLOBAL DEFAULT   10 _ZNK3MD59hexdigestEv
   113: 0000000000026e9c  1584 FUNC    WEAK   DEFAULT   10 _ZN3MD52HHERjjjjjjj
   444: 0000000000027aa4  2392 FUNC    GLOBAL DEFAULT   10 _ZN3MD56updateEPKhj
后面省略

发现了大量的MD5相关，所以MD5无疑
因为APP有数字加固，所以我决定自己搓一个APP，模拟调用函数
写APP这一步省略

那么，上frida吧

编写Hook脚本

1. 
   
2. Java.perform(function () {
   
3.     console.log('hook start');
   
4.     var checkInterval = 1000;
   
5.     var maxAttempts = 20;
   
6. 
   
7.     var attempt = 0;
   
8.     // 因为我APP逻辑问题，so不是启动时加载，所以需要这一步
   
9.     var interval = setInterval(function () {
   
10.         attempt++;
    
11.         var module = Module.findBaseAddress('lib**data.so');
    
12.         if (module) {
    
13.             clearInterval(interval);
    
14.             console.log('lib**data.so loaded at: ' + module);
    
15.             hookFunction();
    
16.         } else if (attempt >= maxAttempts) {
    
17.             clearInterval(interval);
    
18.             console.log('Failed to load lib**data.so within the given attempts');
    
19.         }
    
20.     }, checkInterval);
    
21. 
    
22.     function hookFunction() {
    
23.         var funcAddress = Module.findExportByName('lib**data.so', '_ZN3MD56updateEPKhj');
    
24.         if (!funcAddress) {
    
25.             console.log('Function _ZN3MD56updateEPKhj not found'); // 这是MD5最关键的MD5Update函数
    
26.             return;
    
27.         }
    
28.         console.log('Function address: ' + funcAddress);
    
29. 
    
30.         Interceptor.attach(funcAddress, {
    
31.             onEnter: function(args) {
    
32.                 // C++成员函数的第一个参数是this指针
    
33.                 // 后续参数为数据指针和数据长度
    
34.                 var thisPtr = args[0];
    
35.                 var dataPtr = args[1];
    
36.                 var dataLength = args[2].toInt32();
    
37. 
    
38.                 console.log('\nMD5::update called');
    
39.                 console.log('this:', thisPtr);
    
40.                 console.log('dataPtr:', dataPtr);
    
41.                 console.log('dataLength:', dataLength);
    
42. 
    
43.                 // 检查指针有效性
    
44.                 if (!dataPtr.isNull() && dataLength > 0) {
    
45.                     // 读取前N个字节（防止数据过长）
    
46.                     var readSize = Math.min(dataLength, 512);
    
47.                     var rawData = Memory.readByteArray(dataPtr, readSize);
    
48.                     console.log('Data:', rawData);
    
49.                 } else {
    
50.                     console.log('Invalid data pointer or length');
    
51.                 }
    
52.             }
    
53.         });
    
54.     }
    
55. });
    

复制代码

就酱紫，我们成功拿到了MD5哈希前的明文

1DD2FC4E-15C0-4FA7-AD33-599B8483B9A917419559675765B1883D9-D7E9-BAD4-A60F-DF82A415E432后面保密

一看，这不就是前面三个参数拼上一个固定的盐吗

最后经过测试，抓取的盐是正确的，那么我们的工作便顺利完成了

好厉害。谢谢澄子

橙子，牛批。

看不懂 但好厉害 夸夸

看不懂，但是感觉很牛逼

绝绝子。厉害哒

大佬厉害

漫画的盐xw*******

感谢分享

太厉害了，都是看不懂的代码