一、简介:
偶然在看雪看到一篇传奇手游封包解密的文章:
[原创]某传奇封包解密-软件逆向-看雪论坛-安全社区|安全招聘|bbs.pediy.com
但是内容说的太简略,所以我上手实战一番,此贴为实战记录。
文章中没有说是哪款传奇手游,根据图标我们去百度搜图锁定到一款《yscq》的手游。
二、抓包:
我们第一步就是进行抓包,确认是否和文章中说的是一款手游。
charles、Drony代理、r0capture、frida hook 关键发包位置
com.android.org.conscrypt.OpenSSLSocketImpl$SSLInputStream -> write libc.so -> write libssl.so -> SSL_write以上方法我都尝试了。无法抓取socket数据。最后只能祭出通天神器 -> tcpdump
将文件放到 /data/local/tmp/tcpdump 并给予权限 chmod 777 tcpdump
tcpdump -p -vv -s 0 -w /sdcard/capture.pcap抓包并记录到文件
这个头和文章里是不是很像,那么基本可以肯定就是这个游戏了。
解压APK 来到lib目录下,发现libMyGame.so文件最大,有20M。那么就它了。拖入IDA
确实可以搜索到文章中提到的函数,下面我们来具体分析一下,并打印调用栈。
根据调用栈我们追出大致调用流程
SendMsg -> SendNetMessage -> Encode6BitBuf -> send
其中hook SendMsg 就可以获取到明文发包内容。
function hookSend(){ // _ZN20LuaNetworkController7SendMsgEiiiiiPKcj var libcmodule = Process.getModuleByName("libMyGame.so"); var SendMsg = libcmodule.getExportByName("_ZN20LuaNetworkController7SendMsgEiiiiiPKcj"); console.log("SendMsg:",SendMsg); //void __fastcall LuaNetworkController::SendMsg(LuaNetworkController *this, int a2, int a3, int a4, int a5, int a6, const char *a7, size_t a8) Interceptor.attach(SendMsg, { onEnter: function (args) { this.arg0 = args[0]; this.arg1 = args[1]; this.arg2 = args[2]; this.arg3 = args[3]; this.arg4 = args[4]; this.arg5 = args[5]; this.arg6 = args[6]; this.arg7 = args[7]; console.log("SendMsg ",this.arg6); console.log("SendMsg ",this.arg7); console.log("SendMsg this.arg1: " + ptr(this.arg6).readCString()); LogPrint("go into libMyGame.so->SendMsg"); printNativeStack(this.context, "SendMsg"); }, onLeave(retval) { LogPrint("leave libMyGame.so->SendMsg " ); } }); }这里有个小知识点,判断so加载后在加载hook代码,这样就不会出现找不到so文件的错误。
function testInit(){ var android_dlopen_ext = Module.findExportByName(null, "android_dlopen_ext"); console.log(android_dlopen_ext); if(android_dlopen_ext != null){ Interceptor.attach(android_dlopen_ext,{ onEnter: function(args){ var soName = args[0].readCString(); console.log(soName); // libconnectionbase // if(soName.indexOf("MyGame.so") != -1){ if(soName.indexOf("connectionbase.so") != -1){ this.hook = true; } }, onLeave: function(retval){ if(this.hook) { hookSend(); }; } }); } }
使用回城石SendMsg的传参!
第二部分:
Lua脚本加密解密:
首先我们先看看是cocos2d哪个版本,
在IDA中 shift+F12 调出Strings window窗口
Cocos2d-x对于lua脚本加密提供了一种轻量级解决方案, 加密算法是xxtea,具体可以github搜索xxtea开源算法
主要就是两个部分,sign和key,sign是加密标记,用于判断脚本是否加密,key是xxtea解密时候的秘钥
这里就是通过对比文件开头的字符串是否为所设置的sign判断是否加密,如果加密的话就解密,解密后才加载脚本
方法一、利用frida hook导出明文Lua脚本(最好在加载so完成第一时间hook哦~)
// 获取lua脚本文件 function hooklua(){ // luaL_loadbuffer var libMyGame = Process.getModuleByName("libMyGame.so"); console.log("libMyGame:",libMyGame); // var SendMsg = libcmodule.getExportByName("luaL_loadbuffer"); if (libMyGame){ //加载lua文件函数 Interceptor.attach(Module.findExportByName("libMyGame.so" , "luaL_loadbuffer"),{ onEnter:function (args){ // 文件保存路径 this.fileout = "/storage/emulated/0/frida/lua/" + Memory.readCString(args[3]).split("/").join("."); console.log("read file from: "+this.fileout); var tmp = Memory.readByteArray(args[1], args[2].toInt32()); var file = new File(this.fileout, "w"); file.write(tmp); file.flush(); file.close(); console.log("lual_loadbuffer (" +Memory.readCString (args[3] ) +" ," +Memory.readCString (args[1])+")"); }, onLeave:function (retval){ //console.log(retval) } }); } }将文件夹复制到电脑,随便打开一个.lua文件
哇哦~哇哦~~!明文脚本。成功了。
方法二、找到sign和key,使用python编写加密解密函数
在解压文件中找到lua脚本文件(\assets\mod_launcher\stab\scripts),用记事本打开:
头部就是sign,在IDA中 ALT+T 字符串搜索sign(一般情况下key就在sign附近)。
好啦,现在sign和key都有了。让我们编写代码吧
import xxtea def luaDecode(orig_path,new_path): xxtea_sign="!ltcszip" xxtea_key="QvnHJr3kl6" orig_file = open(orig_path, "rb") encrypt_bytes = orig_file.read() orig_file.close() decrypt_bytes = xxtea.decrypt(encrypt_bytes[len(xxtea_sign):], xxtea_key) new_file = open(new_path, "wb") new_file.write(decrypt_bytes) new_file.close() def luaEncode(orig_path,new_path): xxtea_sign=b"!ltcszip" xxtea_key="QvnHJr3kl6" orig_file = open(orig_path, "rb") encrypt_bytes = orig_file.read() orig_file.close() decrypt_bytes = xxtea.encrypt(encrypt_bytes, xxtea_key) new_file = open(new_path, "wb") new_file.write(xxtea_sign + decrypt_bytes) new_file.close() if __name__ == '__main__': #解密 orig_path= r"D:\base\assets\mod_launcher\stab\scripts\main.lua" new_path= r"D:\test\main.lua" luaDecode(orig_path,new_path) #加密 orig_path= r"D:\lua\scripts.config.cfg_item.lua" new_path= r"D:\test\cfg_item.lua" luaEncode(orig_path,new_path)好啦,加密解密都完成了。让我们来测试一下吧。
我们先来改个传送配置文件,看看是否有效果。例如:传送玛雅六层,需要5转和玛雅卷轴
[124] = { id=124, group=11, name="玛雅神殿", button=6, name1="玛雅六层", costitem=1, mapid="M019", positionx=83, positiony=84, condition="300005#400006", },我们把id为1的传送改成玛雅六层,并去除condition字段
[1] = { id=1, group=1, name="主城传送", button=1, name1="玛雅六层", costitem=1, mapid="M019", positionx=83, positiony=84, },现在需要把改过的.lua文件再加密回去,然后用MT放到指定目录。(如果加密后重新打包,进游戏时更新文件可能覆盖掉我们更改的文件)。
正常情况传送玛雅六层:
点我们更改的ID为1的传送:
其实这里是需要玛雅卷轴,不再需要转生5了。这个提示是因为我把本地提示的字符串改了。消耗物品这种应该是服务端有判断,所以改配置文件不太行。
好啦,基本的内容就是这些啦。感谢观看。
