frida hook AES DES RSA 自吐算法

时间:2021-7-3 作者:qvyue

frida hook AES DES RSA 自吐算法

大家好,我是王铁头一个乙方安全公司搬砖的菜鸡 今天分享的是frida hook AES DES RSA 自吐算法

视频演示:https://space.bilibili.com/430241559

在分析通信协议的时候 经常遇到的加密算法就是那几个

  1. AES
  2. DES
  3. 3DES
  4. RSA

在hook AES DES RSA这些常见的加密算法之前
这里先看一下3个算法的java实现

1 AES加解密 java代码实现

1.1 AES加密

//bytesContent 要加密的数据
//key 密钥
public static byte[] aes_enc(byte[] bytesContent, String key) throws Exception
{
    //key相关
    byte[] raw = key.getBytes("utf-8");
    SecretKeySpec skeySpec = new SecretKeySpec(raw, "AES");

    //"算法/模式/补码方式" 初始化cipher
    Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
    cipher.init(Cipher.ENCRYPT_MODE, skeySpec);

    //执行加密
    byte[] enc = cipher.doFinal(bytesContent);
    return enc;
}

1.2 AES解密

//bytesContent 要解密的数据
//key 密钥
public byte[] aes_dec(byte[] bytesContent, String key) throws Exception
{
    //key相关
    byte[] raw = key.getBytes("utf-8");
    SecretKeySpec skeySpec = new SecretKeySpec(raw, "AES");

    //"算法/模式/补码方式" 初始化cipher
    Cipher cipher = Cipher.getInstance("AES/ECB/PKCS5Padding");
    cipher.init(Cipher.DECRYPT_MODE, skeySpec);

    //执行解密
    byte[] dec = cipher.doFinal(bytesContent);
    return dec;
}

这里AES加解密的区别只有一点

//Cipher.DECRYPT_MODE为解密  
//Cipher.ENCRYPT_MODE 加密
cipher.init(Cipher.DECRYPT_MODE, skeySpec)

2. DES加解密 java实现代码

2.1 DES加密

private static byte[] des_enc(byte[] data, byte[] key) throws Exception {
    // 生成一个可信任的随机数源
    SecureRandom sr = new SecureRandom();

    // 从原始密钥数据创建DESKeySpec对象
    DESKeySpec dks = new DESKeySpec(key);

    // 创建一个密钥工厂,然后用它把DESKeySpec转换成SecretKey对象
    SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DES");
    SecretKey securekey = keyFactory.generateSecret(dks);

    // Cipher对象实际完成加密操作
    Cipher cipher = Cipher.getInstance("DES");

    // 用密钥初始化Cipher对象
    cipher.init(Cipher.ENCRYPT_MODE, securekey, sr);

    return cipher.doFinal(data);
}

2.2 DES解密

private static byte[] des_dec(byte[] data, byte[] key) throws Exception {
    // 生成一个可信任的随机数源
    SecureRandom sr = new SecureRandom();

    // 从原始密钥数据创建DESKeySpec对象
    DESKeySpec dks = new DESKeySpec(key);

    // 创建一个密钥工厂,然后用它把DESKeySpec转换成SecretKey对象
    SecretKeyFactory keyFactory = SecretKeyFactory.getInstance("DES");
    SecretKey securekey = keyFactory.generateSecret(dks);

    // Cipher对象实际完成解密操作
    Cipher cipher = Cipher.getInstance("DES");

    // 用密钥初始化Cipher对象
    cipher.init(Cipher.DECRYPT_MODE, securekey, sr);

    return cipher.doFinal(data);
}

这里DES加解密的区别只有一点

//Cipher.DECRYPT_MODE为解密  
//Cipher.ENCRYPT_MODE 加密
cipher.init(Cipher.DECRYPT_MODE, securekey, sr);

3. RSA加解密 java代码实现

RSA加解密代码实现

public static void RSA(byte[] bytesData) throws Exception
{
    //秘钥长度为1024 生成秘钥对
    KeyPairGenerator keyPairGenerator=KeyPairGenerator.getInstance("RSA");
    keyPairGenerator.initialize(1024);
    KeyPair keyPair= keyPairGenerator.generateKeyPair();

    //获取公钥 私钥
    PublicKey publicKey=keyPair.getPublic();
    PrivateKey privateKey=keyPair.getPrivate();

    //公钥加密 java默认"RSA"="RSA/ECB/PKCS1Padding"
    Cipher cipher=Cipher.getInstance("RSA");
    cipher.init(Cipher.ENCRYPT_MODE, publicKey);
    byte[] encBytes = cipher.doFinal(bytesData);

    //私钥解密 java默认"RSA"="RSA/ECB/PKCS1Padding"
    Cipher cipher1=Cipher.getInstance("RSA");
    cipher1.init(Cipher.DECRYPT_MODE, privateKey);
    byte[] decBytes = cipher1.doFinal(encBytes);
    Log.d("xxx",new String(decBytes));
}

这里忽略前面RSA加解密都需要的生成公钥私钥的部分
核心功能代码如下

3.1 RSA加密代码

//公钥加密 java默认"RSA"="RSA/ECB/PKCS1Padding"
Cipher cipher=Cipher.getInstance("RSA");
cipher.init(Cipher.ENCRYPT_MODE, publicKey);
byte[] encBytes = cipher.doFinal(bytesData);

3.2 RSA解密代码

//私钥解密 java默认"RSA"="RSA/ECB/PKCS1Padding"
Cipher cipher1=Cipher.getInstance("RSA");
cipher1.init(Cipher.DECRYPT_MODE, privateKey);
byte[] decBytes = cipher1.doFinal(encBytes);

这里RSA加解密的区别也只有一点

//Cipher.DECRYPT_MODE为解密   publicKey  公钥加密
//Cipher.ENCRYPT_MODE为加密   privateKey 私钥解密
cipher.init(Cipher.ENCRYPT_MODE, publicKey);

看了上面的一些代码 这里可以找到一些共性
虽然实现处有些区别 但大体架构和使用的java接口是可以找到一些规律的

这里出镜率比较高的有

  1. secretKeySpec
  2. Cipher.getInstance
  3. cipher.init
  4. cipher.doFinal
  5. DESKeySpec
    …(后续还有 这里不一一列举)

查阅java帮助文档可以发现, 这些API都是一些加密算法常用的接口, 那么实现自吐 就是hook加密算法常用的API,打印相关参数,以便于快速的定位算法和相关参数 加密模式等

在网上查找 相关资料 我找到了一份frida自吐算法的源码 链接如下
[https://blog.csdn.net/weixin_34365417/article/details/93088342]

看了上面的源码 作者写的还是不错的 而且不仅hook了 我上面提到的加密算法 还hook了一些消息摘要算法 MAC家族和md家族等 也就是 md5 sha 等通信协议中常用的hash算法 另外也有对 IV这种加密中用到的向量成员的hook

这里 我修改了下源码
修改的部分主要分为下面几点

  1. 针对上面的打印堆栈的代码做了修改 修复在高版本 打印堆栈不换行的问题
  2. 增加了一些hook api
  3. 把原来的 python脚本换成了js
  4. 修复一个bug
  5. ui调整 增加显示 加密模式 解密模式 把原脚本的dec结果 改成str结果 增加dofinal str显示

4 修改后的源码

var N_ENCRYPT_MODE = 1
var N_DECRYPT_MODE = 2

function showStacks() {
    var Exception = Java.use("java.lang.Exception");
    var ins = Exception.$new("Exception");
    var straces = ins.getStackTrace();

    if (undefined == straces || null == straces) {
        return;
    }

    console.log("============================= Stack strat=======================");
    console.log("");

    for (var i = 0; i > 2),
                r += base64EncodeChars.charAt((3 & h) > 2),
                r += base64EncodeChars.charAt((3 & h) > 4),
                r += base64EncodeChars.charAt((15 & o) > 2),
            r += base64EncodeChars.charAt((3 & h) > 4),
            r += base64EncodeChars.charAt((15 & o) > 6),
            r += base64EncodeChars.charAt(63 & t)
    }
    return r
}
function base64ToString(e) {
    var r, a, c, h, o, t, d;
    for (t = e.length, o = 0, d = ''; o > 4);
        do {
            if (c = 255 & e.charCodeAt(o++), 61 == c)
                return d;
            c = base64DecodeChars[c]
        } while (o > 2);
        do {
            if (h = 255 & e.charCodeAt(o++), 61 == h)
                return d;
            h = base64DecodeChars[h]
        } while (o > 8;
        }
        while (ch);
        re = re.concat(st.reverse());
    }
    return re;
}
//将byte[]转成String的方法
function bytesToString(arr) {
    var str = '';
    arr = new Uint8Array(arr);
    for (var i in arr) {
        str += String.fromCharCode(arr[i]);
    }
    return str;
}
function bytesToBase64(e) {
    var r, a, c, h, o, t;
    for (c = e.length, a = 0, r = ''; a > 2),
                r += base64EncodeChars.charAt((3 & h) > 2),
                r += base64EncodeChars.charAt((3 & h) > 4),
                r += base64EncodeChars.charAt((15 & o) > 2),
            r += base64EncodeChars.charAt((3 & h) > 4),
            r += base64EncodeChars.charAt((15 & o) > 6),
            r += base64EncodeChars.charAt(63 & t)
    }
    return r
}
function base64ToBytes(e) {
    var r, a, c, h, o, t, d;
    for (t = e.length, o = 0, d = []; o > 4);
        do {
            if (c = 255 & e.charCodeAt(o++), 61 == c)
                return d;
            c = base64DecodeChars[c]
        } while (o > 2);
        do {
            if (h = 255 & e.charCodeAt(o++), 61 == h)
                return d;
            h = base64DecodeChars[h]
        } while (o 
frida hook AES DES RSA 自吐算法
image

视频演示:
https://space.bilibili.com/430241559

声明:本文内容由互联网用户自发贡献自行上传,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任。如果您发现有涉嫌版权的内容,欢迎发送邮件至:qvyue@qq.com 进行举报,并提供相关证据,工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。