当我们获取到Java类之后,我们直通过接
实战案例
java.cast,约等于强制类型转换
arg1就是要插入数据的表名, arg2是表的主键, arg3是要插入表的数据的字段名称跟值的集合。这样, 我们就可以轻松拿到每条消息的内容和发送者等相关信息。
我们先来看一下,当我们点击打开红包之时发生了什么呢? 下面是反编译得到的打开红包按钮的点击事件:
这行代码其实就是发送抢红包的请求, ad 就是一个网络请求类, 那么需要构成这个请求又需要哪些参数呢?
我们单独看看 ad 类的创建:
其中第1,2,3,4,9个参数都是来自luckyMoneyReceiveUI.kRG, 第8个参数是固定的 “v1.0”
接下来我们来打印一下第5,6,7个参数是什么:
重新加载这段js代码, 然后我们打开一个红包, 我们可以看到控制台打印如下信息:
第5,6个参数其实是自己的头像跟昵称信息,第7个是发送者的信息,而第4个参数跟上面红包内容里面的nativeurl的值是一样的。
那luckyMoneyReceiveUI.kRG 中的msgType,bxk,kLZ,ceR,kRC这些要怎么得到呢?
luckyMoneyReceiveUI.kRG 这个字段的类型是: com.tencent.mm.plugin.luckymoney.b.ag,ag类跟之前提到的ad类一样, 都是一个请求类, 他们都是继承同一个类。其中, msgType是固定的 1,bxk,kLZ,ceR 是在ag的构造方法里面就被初始化的:
而kRC则是在里面的a方法里面被赋值的:
这个a方法是请求类发起请求之后的一个回调,而在 LuckyMoneyReceiveUI的 OnCreate 方法里面我们可以看到 com.tencent.mm.plugin.luckymoney.b.ag 是怎么被构造出来的:
第一个参数是nativeurl中的channelid;
第二个参数是nativeurl中的sendid;
第三个参数是nativeurl本身;
第四个参数可以用0;
第五个参数是也是固定的 “v1.0”
经过上面的分析之后, 我们的思路就清晰了, 在收到红包信息后我们解析出红包信息里面nativeurl, channelid, sendid, 根据这些参数发送一个com.tencent.mm.plugin.luckymoney.b.ag的请求, 之后得到timingIdentifier, 最后根据得到的timingIdentifier 再发送一个com.tencent.mm.plugin.luckymoney.b.ad的请求就可以抢到红包了。
3
模拟请求
到这里我们也就剩最后一个问题了, 那就是怎么把请求发送出去?这个我们同样可以看看微信, 我们跟踪到红包界面的请求都是通过下面的方法发送的:
上面的g.Eh().dpP得到的是一个专门发送请求的Network, 得到这个Network之后我们就可以调用他的a方法把这个请求发送出去。需要注意的是frida不支持直接通过.dpP的方式拿到属性, 不过没关系, 我们可以通过反射的方式来获取:
得到Network之后我们就开始发送请求了:
第一步是收到红包信息之后要解析出ContentValues里面的信息,并根据解析出的内容发送ag请求。
我们单独把红包信息的content(具体内容)的解析拿出来:
nativeurl的具体内容如下:
通过上面的解析之后我们就可以得到如下的info:
第二步是Hook ag请求的a方法, 在里面我们可以拿到timingIdentifier的值:
注意:当一个类里面有重载的方法的时候, 我们需要用.overload(paramtype…)来表示我们hook的是哪个重载方法。
最后我们还需要改造一下之前Hook的SQL的insert方法, 我们需要过滤出表名为message,类型为436207665的消息: