上一节我们已经拿到了视频号个人主页信息 但是发现传过来的用户名是一个以V2开头的数据 接下来我们就需要根据用户名去获取V2数据
DDMS问题
上一节根据ddms 可以很好的定位到视频号触发点
但是很多人会遇到一个问题就是 Monitor 使用
- 如果打开报错 需要装Java1.8 版本太高了不行
- 如果找不到进程名 需要使其 getprop ro.debuggable 查询为0 [Android修改ro.debuggable 的四种方法]
- monitor 工具路径 一般在 C:\Users\admin\AppData\Local\Android\Sdk\tools\lib\monitor-x86
分析定位
当我们不知道哪个是执行函数的时候就可以找响应函数:onGYNetEnd (根据经验每个业务都会有这个响应函数)
然后根据ddms确定是哪个响应 写出frida 代码
Java.use("com.tencent.mm.plugin.websearch.a.ac");
C83728ac["onGYNetEnd"].implementation = function (i, i2, i3, str, interfaceC22814t, bArr) {
console.log('onGYNetEnd is called' + ', ' + 'i: ' + i + ', ' + 'i2: ' + i2 + ', ' + 'i3: ' + i3 + ', ' + 'str: ' + str + ', ' + 'interfaceC22814t: ' + interfaceC22814t + ', ' + 'bArr: ' + bArr);
let ret = this.onGYNetEnd(i, i2, i3, str, interfaceC22814t, bArr);
console.log('onGYNetEnd ret value is ' + ret);
return ret;
};
经过调试 每次搜索信息都会调用这里 所以我们可以根据他的构造函数 看看是哪里调用
不幸的是jadx 无法反编译出它的构造函数
不过没关系 只需要找到这个调用的构造函数方法就行了:手动查找引用 或者 动态的打印堆栈
跟踪可以发现它
是在一个线程里面去执行~(在java中可有两种方式实现多线程,一种是继承Thread类,一种是实现Runnable接口)
往上看 可以看到视频号搜索 是通过线程池投递执行的 所以我们只需要构造C83787X这个类就可以执行了~
用gson 打印参数
Java.openClassFile('/data/local/tmp/r0gson.dex').load()
const gson = Java.use('com.r0ysue.gson.Gson')
let C83797b = Java.use("com.tencent.mm.plugin.websearch.b$b");
C83797b["b"].implementation = function (c83787x) {
console.log('b is called' + ', ' + 'c83787x: ' + gson.$new().toJson(c83787x));
let ret = this.b(c83787x);
console.log('b ret value is ' + ret);
return ret;
};
可以看到很多参数 无关紧要的就先不构造 主要是 需要拿到用户名是哪个
完整调用代码如下:
var query = '李白'
// 执行额外参数构造函数 实例化对象
let C83787x = Java.use('com.tencent.mm.plugin.websearch.a.x')
var qeyObj = C83787x.$new()
qeyObj.iEb.value = query
qeyObj.offset.value = 0
qeyObj.businessType.value = 33554434 // 0
qeyObj.scene.value = 123
qeyObj.amQm.value = ''
qeyObj.amQo.value = 0
qeyObj.amQn.value = ''
qeyObj.amQy.value = ''
// c83787x.amQk = C83867h.m24156a(map, "isHomePage", false) ? 1 : 0;
qeyObj.amQk.value = 0
qeyObj.GeQ.value = ''
qeyObj.sessionId.value = '7805274457003576069'
qeyObj.jbU.value = 1
qeyObj.amQq = 2
qeyObj.amQr.value = 0
qeyObj.amQs.value = ''
qeyObj.iUD.value = '359eeeea-44f5-42fd-9788-9e1b8f2094a2'
qeyObj.jbQ.value = '7805274457003576069'
qeyObj.amQz.value = ''
qeyObj.amQC.value = false
qeyObj.amQG.value = 0
qeyObj.jbN.value = 180828080
qeyObj.language.value = 'zh_CN'
qeyObj.subtype.value = 0
qeyObj.amQw.value = 0
qeyObj.amQB.value = 0
qeyObj.iEs.value = ''
// 执行构造函数 实例化对象
var FinderWebsearchClass = Java.use('com.tencent.mm.plugin.websearch.b')
var myfinderwebsearch = FinderWebsearchClass.$new()
log('初始化成功!!!!')
log('开始调用刷新请求.......')
//刷新请求
myfinderwebsearch.amOe.value.b(qeyObj)
log('搜索完成!')
感觉这样分析起来还是蛮简单的~~
但是会有个问题就是构造参数没有原生的的完整 这样可能就会触发风控
如果想找其他hook点 还得往上找一下~ 就是只接受一个简单的入参 其他的让WeChat自己组参
好了接下来就是开始编写Xposed了 待续
