逆向分析某X视频APP通信协议

声明:破解他人的软件是违法行为,本文的逆向工程仅供学习研究用途。

最近朋友间流行一个国产的X视频App,其特点是使用国内网络便可以自由地观看视频。但是支持国内网络环境的在线服务往往会承担被审查的风险,因此有点好奇他的视频存储和获取是怎么实现的,于是便对其APP客户端进行了逆向分析。本文出发点仅仅是技术学习,因此所有与该App有关的信息都将打码。在下文中将称该App为JK,其对应的几个关键api接口部分字符使用x替换。

  • 目标平台:Android
  • 分析对象:JK.apk,Version=3.13.2
  • 分析工具:Charles,Jadx,IDA Pro,Frida

TL;DR 最终对JK App的视频请求协议逆向分析结果如下图所示:


APP视频获取协议逆向结果

0x01 抓包分析

在逆向之前我们先对其通信数据进行抓包,观察JK App的行为,如下图:


使用Charles抓包分析

首先定位到包含视频文件的http请求,可以看出最终的视频是以m3u8格式进行播放的。观察获取m3u8的http请求,对其结构进行修改并反复实验重放后可以确定其中起到关键作用的部分为

  1. avid开头的字符串
  2. 时间戳t以及
  3. 请求参数k

只要我们成功地获取到或者构造出以上三个部分,便可以得到m3u8视频了。经过实验我们甚至可以直接在浏览器打开该连接,然后使用chrome的HLS等m3u8播放插件播放,或者下载到本地用vlc播放。首先从avid入手,搜索该字符串,可以其包含在如下请求的Response Body中:

对该http请求体进行修改和重放,多次试验后确定起关键作用的部分为Header中的Bearer Token。我们继续使用全局搜索往前追溯token的来源,发现token来自于如下请求的Response Body中:

同样地,对该请求进行修改和重放,多次实验后确定其参数中起关键作用的是uuid后跟的字符串(
“`9e…“`)和key=后面的参数(“`5072..“`),而且就暂时看来这两个参数在每次重启app后的抓包请求中都不变。再往前找抓包记录就没有其他与这两个参数有关的信息了,只能通过直接逆向apk来分析。

0x02 逆向&Hook

根据抓包分析的结果,我们现在的目标很明确,首先要找出uuid后跟的字符串与参数key的生成规则。使用Android package info工具查壳,发现该app并没有加壳,于是直接使用Jadx打开apk,进行java反编译。使用adb连接安卓手机进行usb调试,打开app任意点开一个视频,使用adb打印当前的函数调用栈,可以很快的定位到该app的
“`MainActivity“`的位置在“`package i999.tv“`内。在Jadx内全局搜索uuid,并没有发现有用的线索,猜测其生成函数位于native层中。根据经验,在Jadx中全局搜索”crypt”,可以发现在“`i999.tv.MVVM.API“`包中有一个名为 “`videoCrypt“` 的函数,怀疑其与视频加密相关。查找到其声明可以发现为native层函数:

不仅如此,还同时发现了另外两个函数
“`getToken“`和“`getUrl“`。结合之前抓包分析的结果,这三个函数便成为了下一阶段的重点分析对象。

将apk文件后缀名改为zip然后解压,进入其中的lib文件夹,选择任意一种自己熟悉的架构对应的nativelib进行分析,本文这里选择了
“`arm64-v8a“`架构。使用IDA打开该文件夹下的“`libnative-lib.so“`文件,可以发现也没有进行加密,存在大量的函数名信息:

非常有趣的一点是,这里看到一个函数名为
“`findHookAppName“`,点进去后可以发现,这是一个检测当前app有没有被hook的函数,主要是通过查找安卓系统当前运行的进程中有无“`xposed“`和“`substrate“`来做的。如果有的话会发送给服务器一个”Crack”的字符串。。。感觉是开发者为了防止破解设下的监控,只不过本文意图只在于协议分析,对破解不感兴趣(笑)。

回归正题,我们在函数列表中搜索之前在Jadx里发现的三个函数,发现并没有对应的函数名。猜测这三个native函数使用了动态注册方式,在IDA中Shift+F12搜索字符串,发现了三个函数名的字符串所在位置:

按X查找交叉引用,定位到数据段信息:

根据动态注册JNI函数的机制可以知道,三个java中调用的native函数对应的库函数就是上图中的三个由下划线组成的函数了,接下来就是各个击破的环节。首先为了我们审计的方便,先按N把三个下划线函数名改成对应的真实名字:
“`getToken“` 、“`getUrl“` 和 “`videoCrypt“`。首先进入“`getToken“`函数:

可以看到这里也有一个防破解的检测,似乎是检查apk文件中某个数据(也就是参数a3)的sha1值。然后后面的部分就是把参数a4作为字符串接到了”Bearer”的后面(第69-70行)。根据JNI函数的特点,第一个参数是_JNIEnv表示JNI环境,第二个是jclass表示一个类的引用,因此第三个和第四个函数才是我们在Java中调用时的真正参数。回到Jadx中查找getToken的用例,重点关注第二个参数,发现如下调用:

我们一路查找用例过去,发现对于getToken真正的调用在BG8Application.m6884h中发生(m6884h是Jadx反混淆自动生成的方法名)。而BG8Application.m6884h的调用发生在对如下代码中:

根据该类的信息可以知道这里的调用就是从ResponseBody中取出了一个AssistPushConsts.MSG_TYPE_TOKEN对应的字段,而经过查找AssistPushConsts.MSG_TYPE_TOKEN=”token”。所以nativelib中的getToken其实就是把抓包分析中服务器返回来的token读出来然后加上Bearer而已。(这也需要写一个native函数来完成???)

因此对于getToken函数的分析并没有得到很多有用的信息,下一步看getUrl函数,按F5反编译,发现其中包含了”key=”、”?model=”等关键信息:

回忆之前抓包分析的结果,可以确定getUrl就是构造获取token请求的函数。按照之前分析的结果,我们需要重点关注uuid后跟的字符串(
“`9e…“`)和key=后面的参数(“`5072..“`)的构造方式。从反编译代码中151行左右的部分可知uuid后出现的串就是我们当前设备的android_id。根据162行的strcat推断key应该是157行getHashKey的结果,但是进入getHashkey之后却发现参数有三个,而上图中可以看到IDA 7.5只识别出了一个。猜测跟157行的前面几行没有正确反编译有关,首先手动重新load “`jni.h“`文件,重新将“`a1“`参数转换为“`struct JNIEnv_*“`类型,然后手动将153-156行的函数调用Force Call Type,经过修复后的反编译代码如下:

可知getHashKey的主要参数是变量v26,而由上面的代码可知v26便是调用接口获取到的android_id。接下来进入getHashKey。F5反编译可以发现如下代码:

由以上代码可知,该函数的作用就是将android_id两边加上两个字符串变成FokU2020avnightANDROID_IDavnightFokU2020,然后再传入my_sha256。进入my_sha256可以发现就是普通的sha256,我们可以对抓包获取到的url进行计算验证:

可以看到我们构造的参数成功获取到了token,证明了上述分析。现在我们已经确定了token的获取方式,也就可以获取到avid所在的JSON响应,下一步需要确定获取m3u8地址的请求的构造方式。

经过在Jadx和IDA之间来回搜索了几番之后,发现本地似乎根本没有构造m3u8的代码。此时重新查看抓包结果,发现在请求m3u8之前有一个响应返回结果是一大串很长的base64,而且解码之后发现是加密过的数据:

如果本地并没有m3u8的构造函数的话,这一串加密数据很可能就包含了视频真实地址信息。回忆之前和getToken、getUrl并列的第三个函数videoCrypt。一开始我以为这个函数是对视频本身进行解密的,后来使用frida hook之后发现对于每个视频它都只会运行一次,而且必定在前述加密的response返回之后运行,故而察觉这个函数可能是对这个加密响应进行解密的函数。使用frida对
“`javax.crypto.spec.SecretKeySpec“`的构造函数进行hook,从而打印出到app运行中所有用到过的密钥

Java.perform(function () {
    var SecretKeySpec = Java.use('javax.crypto.spec.SecretKeySpec');
    SecretKeySpec.$init.overload('[B', 'java.lang.String').implementation = function(p0, p1) {
        console.log('SecretKeySpec.$init("' + bytes2hex(p0) + '", "' + p1 + '")');
        return this.$init(p0, p1);
    };
});
function bytes2hex(array) {
    var result = '';
    console.log('len = ' + array.length);
    for(var i = 0; i < array.length; ++i)
        result += ('0' + (array[i] & 0xFF).toString(16)).slice(-2);
    return result;
}

发现在我们每次点开一个视频之后都会输出如下结果:

SecretKeySpec.$init("3032633365306166373534633038323638653961666336323836653136626433", "AES")
len = 32

看来对于该响应体的内容JK app使用了AES-256进行解密。进入videoCrypt,发现其同样检测了class.dex有没有被修改。。与之前一样是发送”Crack”信息到服务器,看来开发人员还是非常关心程序破解问题的。

继续进入decrypt函数,其主要内容可以大致分为三部分,第一部分为对输入的a4参数调用
“`getDataEncrypt“`函数进行加密,然后与”avnight”进行拼接并求MD5:

而getDataEncrypt函数仅仅是将参数a4转换为了“`yyyyMMdd-HHmmss“`格式,看来a4参数就是加密响应的header中的时间戳字段了;

在得到MD5之后,decrypt进行了如下的运算:

这一部分我不清楚是开发人员有意混淆还是编译器优化时自动混淆的,其实简单分析一下就可以发现是一个将MD5的16字节输出转化为一个Hex字符串的snippet,这样的目的应该是让16字节输出的MD5变成一个32字节的字符串,从而可以用作AES-256的密钥。最后一段的内容直接验证了我们的猜想,这里使用md5的HexString作为32字节的密钥,解密模式为“`AES-256-CBC“`,填充模式为“`AES/CBC/PKCS7Padding“`,初始向量(IV)为对“`yyyyMMdd-HHmmss“`格式的时间戳调用“`getIV“`的返回值,且数据在解密前先经过了一次base64解码。

进入“`getIV“`函数可以看到仅仅是简单地在“`yyyyMMdd-HHmmss“`格式的时间戳后面加上了一个’#’。到这里我们所有的解密流程就分析完了,下一步是编写代码复现解密过程。

0x03 编程验证

基于前一节的分析结果,编写解密代码对前述抓包过程中遇到的加密数据包进行解密,java代码如下:

package com.company;

import javax.crypto.BadPaddingException;
import javax.crypto.Cipher;
import javax.crypto.IllegalBlockSizeException;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.spec.IvParameterSpec;
import javax.crypto.spec.SecretKeySpec;
import java.io.UnsupportedEncodingException;
import java.nio.charset.StandardCharsets;
import java.security.InvalidAlgorithmParameterException;
import java.security.InvalidKeyException;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.util.Base64;

public class Main {
    private static final char hexDigits[] = {'0', '1', '2', '3', '4', '5', '6', '7', '8', '9', 'a', 'b', 'c', 'd', 'e', 'f'};

    public static String decodeBase64(String targetString) {
        Base64.Decoder decoder_Default = Base64.getDecoder();
        String result = null;
        try {
            byte[] result_temp = decoder_Default.decode(targetString.getBytes("utf-8"));
            result = new String(result_temp);
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }
        return result;
    }

    public static byte[] sign_MD5(String targetString) {
        byte[] result = null;
        try {
            MessageDigest generator_MD5 = MessageDigest.getInstance("MD5");
            generator_MD5.update(targetString.getBytes("utf-8"));
            result = generator_MD5.digest();
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        } catch (NoSuchAlgorithmException e) {
            e.printStackTrace();
        }
        return result;
    }

    private static String byteToHexString(byte[] target) {
        String result = null;
        int dataLength = target.length;
        char resultTemp[] = new char[dataLength * 2];
        try {
            int k = 0;
            for (int i = 0; i < dataLength; i++) {
                byte byte0 = target[i];
                resultTemp[k++] = hexDigits[byte0 >>> 4 & 0xf];
                resultTemp[k++] = hexDigits[byte0 & 0xf];
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        result = new String(resultTemp);
        return result;
    }

    public static String decryptAES(String raw_content, String key, String IV_STRING)
            throws InvalidKeyException, NoSuchAlgorithmException,
            NoSuchPaddingException, UnsupportedEncodingException,
            InvalidAlgorithmParameterException, IllegalBlockSizeException, BadPaddingException {


        byte[] byteContent=Base64.getMimeDecoder().decode(raw_content);

        byte[] enCodeFormat = key.getBytes(StandardCharsets.US_ASCII);
        SecretKeySpec secretKeySpec = new SecretKeySpec(enCodeFormat, "AES");

        byte[] initParam = IV_STRING.getBytes(StandardCharsets.US_ASCII);
        IvParameterSpec ivParameterSpec = new IvParameterSpec(initParam);

        Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5Padding");
        cipher.init(Cipher.DECRYPT_MODE, secretKeySpec, ivParameterSpec);

        byte[] decryptedBytes = cipher.doFinal(byteContent);
        String ret = new String(decryptedBytes, StandardCharsets.UTF_8);
        return ret;
    }

    public static void main(String[] args) throws NoSuchPaddingException, BadPaddingException, InvalidAlgorithmParameterException, NoSuchAlgorithmException, IllegalBlockSizeException, UnsupportedEncodingException, InvalidKeyException {
        String iv_str = "20210116-185205#";
        String targetString="avnight20210116-185205";
        String raw_content="";
        // MD5
        byte [] md5_bytes=sign_MD5(targetString);
        String md5_str=byteToHexString(md5_bytes);
        System.out.println(md5_str);
        // Decryption
        String ret=decryptAES(raw_content,md5_str,iv_str);
        System.out.println(ret);
    }
}

运行后结果如下:

可以发现解密结果中便包含了最终的m3u8地址。由于我们仅仅对其视频获取协议感兴趣,本次的逆向分析到这里就结束了。可以看出来,该app的安全防护还是有待改进的,认证加密机制有待加强。

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据