最新版wifi万能钥匙协议分析

0x01 前言随着Wifi万能钥匙不断的升级，目前协议字段全部被加密了，所以想要干些羞羞的事情还是比较困难的。可以肯定的是，不管怎么变化，某些字段肯定是不会变的，只是加密方式在不断变化，所以先拿旧版本的分析出所有的字段后，再对最新版本app进行分析。抓包后发现数据经过了加密。按部就班的，用jeb反编译源码，分析发现有签名校验，猜测有多处校验，如果不想一个一个的修改，最好采用hook的方式，直接hook系统函数，这是一个万能的方法，能有效的解决所有的签名校验。幸运的是，apk没有加壳，可以分析协议的所有过程，以及app的运行机制，去广告什么的基本都没问题了。不幸的是so被加壳了，猜测应该是某个重要的字段放在了so中加密，如果想要分析加密算法，就必须对so进行脱壳，尝试用IDA动态分析定位到关键的加密函数，或者dump出来简单修复一下扔到IDA静态分析(参考看雪的elf修复文章)，方法很多，需要逐一去尝试。总之，整个过程很操蛋。





0x02 分析过程
第一步、先对apk进行抓包。
找到获取密码的url：http://ap.51y5.net/ap/fcompb.pgs  method：post
发送的data： 构造头(明文) + 加密数据

第二步、对抓包数据进行分析。所有字段我已经分析出来了，可以参照着自行分析。
抓包数据 = 构造头 + 加密数据
构造头：
headerFlag(00000000) + headerLen(57) +
appIdFlag(0A) + appIdLen(05) + appId(A0008) +
DhidFlag(12) + dhidLen(20) + dhid(20长度的字符串) +
unknowFlag(22) + unknowLen(01) + unknow(k) +
verCodeFlag(2A) + verCodeLen(04) + verCode(3138) +
OrigChanIdFlag(32) + origChanIdLen(0E) + origChanId(guanwang170828) +
langFlag(3A) + langLen(02) + lang(cn) +
imeiFlag(42) + imeiLen(0F) + imei

header:四个字节，默认为0
appId：A008，执行动作对应的id，获取密码的动作id为A008
dhid：这个字段限制每天获取密码的次数，大概十几次，就需要重新获取dhid，要分析
unknown：未知的字段
verCode：版本号
origChanId：猜测应该是上线到官网的时间标识
Lang：语言
Imei：手机的IMEI
第三步、对加密数据进行分析。附件中给出了这部分的源码，而且所有字段都在第二步解释过，就不细说了。
加密数据由以下部分组成：
headerFlag(02000000) +
headerLen(头的长度) +
header +
bodyFlag(00049BB2) +
bodyLen(body的长度) +
Body

Header:
dhidFlag + dhidLen + dhid +
langFlag + langLen + lang +
appIdFlag + appIdLen + appId +
macFlag + macLen + mac +
verCodeFlag + verCodeLen + verCode +
origChanIdFlag + origChanIdLen + origChanId +
chanIdFlag + chanIdLen + chanId +
imeiFlag + imeiLen + imei +
verNameFlag + verNameLen + verName +
capSsidFlag + capSsidLen + capSsid +
capBssidFlag + capBssidLen + capBssid +
netModelFlang + netModelLen + netModel +
tsFlag + tsLen + ts +
longiFlag + longiLen + longi +
latiFlag + latiLen + lati +
unknowFlag + unKnowLen +
unKnow

Body:
第四步、对最终需要post数据的加密过程进行分析。
1.构造自定义的数据格式(附件中提供了实体类)

2.对该数据进行zip压缩

3.采用so中的s16函数对压缩过的数据进行加密(这一步的关键就是so脱壳)

4.在加密的数据前面添加构造头



0x03 用到的技能
1、Xposed hook

2、无源码动态调试

3、ida和jeb静态分析

0x04 结论
在本次分析中，最大的收获就是细心，有时候一个简单的编码错误能折磨自己好几天，惨不忍睹。
本文给出了分析过程的执行步骤，和最终的正确结果，还有很多细节没有细说，留给有需求的人去研究吧！
至于为什么不给出全部源码，我认为，思路才是最重要的！


0x05 附件
Java类为post数据的实体（构造的自定义数据格式），new对象，调用getWifiInfo()方法，返回字hex字符串，代码略丑、将就着看吧。