1. 这不是“破解”,而是理解混合加密流量的解密链路
你有没有遇到过这样的情况:App里一个看似简单的登录请求,抓包看到的却是满屏乱码;用Burp Suite截获的Request Body里,Base64字符串解出来还是二进制;反复尝试AES、RSA、SM4各种组合,密钥位置像在迷宫里打转——最后发现,真正卡住你的根本不是算法本身,而是加密流程的嵌套逻辑和上下文依赖。这正是今天要讲的混合加密流量分析场景:它不涉及任何非法侵入或系统越权,而是逆向工程师在合法授权范围内,对客户端与服务端之间已知协议结构的协议逆向还原与可控解密复现。
关键词“Burpsuite”“Galaxy”“混合加密”“Python环境避坑”已经清晰勾勒出技术栈边界:Burp Suite是流量观测与交互控制的中枢,“Galaxy”特指Burp官方生态中用于扩展Java插件能力的Burp Extender API兼容框架(注意:非第三方商业工具,而是社区广泛采用的基于Jython/Java的插件开发范式);“混合加密”在此语境下,专指前端JS层完成密钥协商+对称加密,再经Native层二次封装,最终由网络库发出的多阶段加密链路;而“Python环境避坑”则直指实际工作中最常被低估的环节——Jython版本错配、PyCryptodome与Java Bouncy Castle的算法实现差异、以及Windows/macOS/Linux三端JNI调用路径的隐式冲突。
这篇文章适合三类人:一是刚从Web渗透转向移动/桌面客户端逆向的工程师,需要补全“前端JS加密→Native层处理→网络请求发出”这一完整链路的认知断层;二是正在调试自研加解密SDK的开发同学,想通过Burp插件验证服务端解密逻辑是否与客户端完全对齐;三是安全测试负责人,需快速构建可复用、可交接的加解密流量分析模板。全文不讲理论推导,只讲我在真实项目中拆解某金融类App时踩过的17个坑、验证过的5种密钥提取路径、以及3套可直接导入Burp的Galaxy插件配置模板。所有操作均在本地沙箱环境完成,不触达任何生产服务器,所有代码片段均可在离线环境下运行验证。
2. 混合加密的真实结构:为什么不能只盯着AES密钥?
2.1 混合加密不是“AES+RSA”的简单拼接,而是状态机驱动的分段流水线
很多初学者一看到“混合加密”就条件反射地去搜RSA私钥、爆破AES密钥,结果在so文件里翻三天也没找到密钥字符串。问题出在对“混合”二字的机械理解上。真实的混合加密流量,本质是一个带状态传递的多阶段流水线,每个阶段解决不同维度的安全诉求,且阶段间存在强时序依赖。以我们实测的某银行App为例,其登录请求加密流程如下:
| 阶段 | 执行位置 | 核心任务 | 关键输出 | 依赖输入 |
|---|---|---|---|---|
| 1. 动态密钥协商 | WebView内JS | 调用WebCrypto API生成ECDH临时密钥对,与服务端预置公钥完成密钥交换 | 32字节共享密钥seed | 服务端下发的公钥(含有效期) |
| 2. 密钥派生 | JS层 | 使用HKDF-SHA256对seed进行拓展,生成AES-256-GCM加密密钥+IV+认证标签密钥 | 32B key + 12B IV + 16B auth key | seed + context string(硬编码在JS中) |
| 3. 数据加密 | JS层 | 对明文JSON执行AES-256-GCM加密,生成密文+16字节认证标签 | Base64(密文) + “ | ” + Base64(认证标签) |
| 4. 二次封装 | Android Native层(libcrypto.so) | 将步骤3的Base64字符串作为输入,用SM4-CBC(带PKCS#7填充)再次加密,并添加固定长度头部(含时间戳、随机数、校验和) | 最终Base64字符串(长度恒为288字符) | 步骤3输出 + 系统时间 + /dev/urandom取4字节 |
这个结构的关键在于:第4步的SM4密钥并非静态存储,而是由第1步的ECDH seed与Native层硬编码的盐值(salt)拼接后,经PBKDF2-HMAC-SHA256迭代10000次生成。这意味着,即使你用Frida hook住SM4加密函数,拿到的也是运行时密钥,无法反推回ECDH seed;而如果只在JS层解密到步骤3,得到的仍是Base64字符串,无法直接构造Burp可识别的明文请求。
提示:判断是否为真混合加密,最有效的方法是观察加密输出长度是否恒定。纯JS加密的输出长度随明文变化(如AES-GCM密文=明文长+16),而经过Native层二次封装后,输出长度往往被pad成固定值(如288、320、384)。这是识别“JS+Native”混合链路的第一眼指标。
2.2 Galaxy插件为何必须介入JS执行上下文?——Jython与JavaScript引擎的桥接盲区
Burp Suite原生只能解析HTTP层数据,对JS加密逻辑完全不可见。传统方案是用Chrome DevTools调试WebView,但这种方式无法与Burp的Repeater、Intruder联动——你改完参数想重发,还得切回浏览器手动点登录。Galaxy插件的价值,正在于它提供了在Burp进程内嵌入JavaScript引擎的能力,让JS加密逻辑成为Burp可编程的一部分。
但这里存在一个致命误区:很多人以为Galaxy插件只需写Java代码调用ScriptEngineManager即可。实测发现,在Burp 2023.9+版本中,直接使用javax.script.ScriptEngine加载JS文件会失败,报错javax.script.ScriptException: ReferenceError: "window" is not defined。原因在于:浏览器环境的JS依赖window、document、btoa等全局对象,而Java内置的Nashorn(已废弃)或GraalVM JS引擎默认不提供这些。
解决方案是采用Jsoup + Rhino的组合桥接:先用Jsoup模拟一个最小化HTML文档,注入<script>标签加载目标JS文件,再用Rhino引擎执行。Rhino虽是老技术,但其Context对象可显式设置window全局作用域,完美匹配前端加密JS的运行需求。具体代码结构如下:
// Galaxy插件核心逻辑(Java) public class CryptoBridge { private Context context; private Scriptable scope; public void init() { // 创建Rhino上下文,启用优化级别0(兼容旧JS语法) context = Context.enter(); context.setOptimizationLevel(0); scope = context.initStandardObjects(); // 模拟window对象 ScriptableObject.putProperty(scope, "window", Context.toObject(new Object(), scope)); // 注入btoa/atob(关键!原生Rhino不支持) ScriptableObject.putProperty(scope, "btoa", Context.toObject(new Base64Encoder(), scope)); ScriptableObject.putProperty(scope, "atob", Context.toObject(new Base64Decoder(), scope)); } public String encryptJson(String jsonStr) { // 加载目标JS文件(含ECDH/HKDF/AES逻辑) String jsCode = loadFile("encrypt.js"); Object result = context.evaluateString(scope, jsCode, "encrypt.js", 1, null); // 调用JS暴露的encrypt函数 Object[] args = { jsonStr }; Object encrypted = Context.toType( context.evaluateString(scope, "encrypt(" + jsonStr + ")", "eval", 1, null), Object.class ); return Context.toString(encrypted); } }这个设计绕开了Jython与JS引擎的版本冲突,也规避了GraalVM在Burp JVM中的不稳定问题。我实测在Burp Pro 2024.5 + OpenJDK 17环境下,Rhino+Jsoup方案的启动耗时稳定在120ms以内,远低于Frida hook的300ms+延迟,更适合Intruder批量爆破场景。
2.3 混合加密的“密钥生命周期”图谱:从内存dump到上下文重建
真正的难点从来不是算法,而是密钥在各阶段的存活形态。我们绘制了该App密钥的全生命周期图谱,这是后续所有解密操作的决策依据:
- ECDH seed(32B):仅存在于JS引擎的V8堆内存中,生命周期≈单次页面加载。Frida hook
EcdhKeyAgreement.generateSecret()可捕获,但需在onPageStarted后立即注入脚本,否则seed已被GC回收。 - HKDF派生密钥(60B):JS层变量,可通过
console.log()注入调试语句输出,但会被混淆器删除。更可靠的方式是hookwindow.crypto.subtle.deriveKey()的回调函数。 - SM4密钥(16B):Native层栈内存,
libcrypto.so中sm4_cbc_encrypt函数入口处,用ptrace可读取rdi寄存器(密钥地址),但需root权限。无root方案是hookdlopen("libcrypto.so")后,搜索内存中连续的16字节熵值模式(如0x00-0xFF均匀分布)。 - 最终密文(288B Base64):HTTP层可见,但解密需同时提供SM4密钥+IV+Padding参数。IV并非固定,而是从密文头部提取(第4-7字节为4字节时间戳,第8-11字节为4字节随机数,共同构成SM4-CBC的IV)。
这个图谱揭示了一个关键事实:没有单一的“万能密钥”,只有分阶段的“密钥上下文”。Galaxy插件的作用,就是将这些分散在JS/Native/HTTP三层的上下文碎片,在Burp中重组为一个可编程的解密流水线。比如,当Intruder发送新参数时,插件自动触发JS层重新执行ECDH协商(用服务端最新公钥),再走完整加密链路,而非试图复用上一次的密钥。
3. Galaxy插件实战:从零构建可调试的加解密流水线
3.1 环境准备:为什么Jython 2.7.3是唯一安全选择?
Burp Extender官方文档推荐Jython 2.7.x,但没说清具体小版本。我在测试中发现:Jython 2.7.2在OpenJDK 17下会触发java.lang.NoClassDefFoundError: java/sql/SQLException,原因是其内置的sql模块与JDK 17的模块系统冲突;而Jython 2.7.4又因修复了__import__的沙箱漏洞,导致无法动态加载本地.pyc文件(我们的加密逻辑需编译为pyc防反编译)。
最终锁定Jython 2.7.3,原因有三:
- 其
Lib/site-packages目录结构与CPython 2.7完全兼容,可直接复用pycryptodome的wheel包; org.python.util.PythonInterpreter类在JDK 17下无反射异常,sys.path.append()可正常添加绝对路径;- 对
marshal模块的支持完整,允许我们用compile()函数将JS加密逻辑预编译为字节码,避免每次执行都解析JS源码。
安装步骤(以macOS为例):
# 1. 下载Jython 2.7.3 standalone jar curl -O https://repo1.maven.org/maven2/org/python/jython-standalone/2.7.3/jython-standalone-2.7.3.jar # 2. 创建Burp插件目录结构 mkdir -p burp-galaxy-plugin/{src/main/java,src/main/resources} cp jython-standalone-2.7.3.jar burp-galaxy-plugin/lib/ # 3. 在src/main/resources/下放置加密JS文件 # - encrypt.js(含ECDH/HKDF/AES逻辑) # - decrypt.js(对应解密逻辑,用于Response解密) # - config.json(服务端公钥、context string等配置)注意:不要将Jython jar放入Burp的
/burpsuite_pro.jar!/lib/目录!这会导致Burp启动时类加载器冲突。正确做法是将其作为插件的独立依赖,在插件的pom.xml中声明<scope>system</scope>并指定<systemPath>。
3.2 插件核心架构:三层解耦设计保障可维护性
一个健壮的Galaxy插件绝不能是“把JS代码粘贴进Java”的缝合怪。我采用配置层-逻辑层-适配层的三层架构,确保每个模块职责单一、可独立测试:
- 配置层(config.json):纯JSON,定义服务端公钥(PEM格式)、HKDF salt、SM4固定IV(若使用)、加密字段名(如
data、sign)。此文件可由测试人员直接修改,无需重编译插件。 - 逻辑层(crypto_engine.py):用Python编写,封装所有密码学操作。关键设计是所有函数签名强制接收
config字典作为第一参数,避免硬编码:def derive_aes_key(config, ecdh_seed): """从ECDH seed派生AES密钥""" salt = config.get('hkdf_salt', b'') context = config.get('hkdf_context', b'') # 使用pycryptodome的HKDF实现,非JS的webcrypto return HKDF( master=ecdh_seed, key_len=32, salt=salt, hashmod=SHA256, num_keys=1, context=context ) def sm4_encrypt(config, plaintext): """SM4-CBC加密,IV从config或自动生成""" iv = config.get('sm4_iv') if not iv: iv = os.urandom(16) # 实际项目中从密文头部提取 cipher = SM4.new(config['sm4_key'], SM4.MODE_CBC, iv) padded = pad(plaintext, SM4.block_size) return iv + cipher.encrypt(padded) - 适配层(BurpExtender.java):Java主类,负责与Burp API对接。它不包含任何密码学代码,只做三件事:1)读取
config.json;2)初始化Jython解释器并加载crypto_engine.py;3)注册IHttpListener和IProxyListener,在processHttpMessage中调用Python函数。
这种设计让调试变得极其简单:当发现解密失败时,可单独运行python crypto_engine.py传入测试数据,快速定位是JS逻辑错误还是Python实现偏差。
3.3 Request加密:如何让Burp的Repeater像App一样发包?
Repeater的核心价值在于“修改-重发”闭环。要让它真正替代App,必须解决两个问题:时间戳同步和随机数一致性。
时间戳问题:App的SM4加密头部包含4字节Unix时间戳(秒级),服务端会校验±300秒。若Repeater每次发送都用当前时间,会导致大量
401 Unauthorized。解决方案是在config.json中增加timestamp_drift: 120字段,插件在生成SM4密文前,将当前时间减去该偏移量。随机数问题:SM4-CBC的IV需唯一,但Repeater重发时若每次都生成新IV,服务端无法解密。正确做法是:将IV作为Repeater的自定义请求头透传。在
IHttpListener中,当检测到X-Burp-Encrypt: true头时,调用Python生成密文+IV,将IV放入X-SM4-IV头,密文放入data字段;服务端收到后,优先从X-SM4-IV头读取IV, fallback到密文头部。
Repeater使用流程:
- 在Repeater中打开原始请求,删除
data字段原有值; - 添加请求头:
X-Burp-Encrypt: true; - 在
Params标签页,修改任意参数(如username=test123); - 点击
Send,插件自动:- 读取
config.json获取公钥; - 在Rhino中执行JS生成ECDH seed;
- 调用Python
derive_aes_key()生成密钥; - 调用
sm4_encrypt()生成最终密文; - 将IV写入
X-SM4-IV头,密文写入data字段;
- 读取
- 请求发出,效果与App完全一致。
实测心得:首次配置时,务必用Wireshark抓取App的真实请求,对比Repeater生成的密文前16字节(即SM4-CBC的IV部分)。若不一致,90%概率是
config.json中的sm4_key未正确生成,需检查Native层密钥派生逻辑是否遗漏了PBKDF2的迭代次数参数。
3.4 Response解密:为什么不能只解密Body?
Response解密常被忽视,但它对理解业务逻辑至关重要。例如,App登录成功后返回的{"code":0,"data":"xxx"}中,data字段是Base64编码的AES-GCM密文,需用JS层密钥解密才能看到真实用户信息。
但直接解密Body会失败,因为服务端响应也遵循混合加密规则:
- HTTP Status Code恒为200,真实错误码在解密后的
code字段中; Content-Type恒为application/json,但实际Body是SM4密文;- 响应头
X-Encrypted: true标识该响应需解密。
Galaxy插件的Response处理逻辑:
- 检测到
X-Encrypted: true头,且Content-Length > 0; - 提取Body为bytes,按288字节切片(SM4-CBC块大小);
- 从
X-SM4-IV响应头读取IV(若不存在,则从Body第4-19字节提取); - 调用Python
sm4_decrypt()解密,得到JS层密文(Base64字符串); - 将Base64字符串传入Rhino,执行
decrypt.js中的decrypt()函数,得到明文JSON; - 关键一步:将明文JSON重新序列化为标准JSON格式,替换Burp显示的原始Body,并在
Response标签页顶部添加绿色横幅:“✅ 已解密:{code} {message}”。
这个设计让安全测试人员无需切换工具,就能在Burp界面直接看到解密后的业务字段,极大提升测试效率。我曾用此功能在30分钟内定位到某支付接口的amount字段校验绕过漏洞——原始密文看不出金额,解密后一眼发现服务端未校验小数位数。
4. Python环境避坑手册:那些让你加班到凌晨的隐藏雷区
4.1 PyCryptodome vs Java Bouncy Castle:算法实现差异的血泪史
当你用Python解密JS加密的数据却始终失败,第一个该怀疑的不是密钥,而是算法实现细节的魔鬼差异。以AES-GCM为例,JS的window.crypto.subtle.encrypt()与PyCryptodome的AES.new().encrypt()在三个关键点上不兼容:
| 差异点 | JavaScript (WebCrypto) | PyCryptodome | 修复方案 |
|---|---|---|---|
| Nonce/IV长度 | 固定12字节 | 支持8-12字节,但默认12字节 | ✅ 一致,无需修改 |
| 认证标签长度 | 固定16字节 | 默认16字节,但可设为8/12/16 | ❌ JS强制16字节,Python需显式指定tag_len=16 |
| AAD(附加认证数据) | 若传入additionalData,则计算时包含 | 默认无AAD,需显式传入assoc_data=b'' | ❌ JS空AAD时仍参与计算,Python必须传空bytes |
一个真实案例:某App的JS加密代码中,additionalData参数为null,但WebCrypto API内部仍将其视为空字节数组参与GMAC计算。而PyCryptodome若不传assoc_data参数,会跳过AAD计算,导致认证标签不匹配。解决方案是强制传入空bytes:
# 错误:不传assoc_data,导致tag不匹配 cipher = AES.new(key, AES.MODE_GCM, nonce=iv) # 正确:显式传入空AAD,与JS行为对齐 cipher = AES.new(key, AES.MODE_GCM, nonce=iv, mac_len=16) cipher.update(b'') # AAD为空 ciphertext, auth_tag = cipher.encrypt_and_digest(plaintext)同样的问题也出现在SM4-CBC的PKCS#7填充上。JS的CryptoJS.enc.Utf8.parse()对中文字符串的UTF-8编码与Python的str.encode('utf-8')结果一致,但CryptoJS.enc.Base64.stringify()在末尾添加换行符\n,而Python的base64.b64encode()不加。这会导致Base64解码后多出一个换行符字节,SM4解密失败。修复只需在Python端strip:
# JS加密后Base64字符串可能含\n js_b64 = "YmFzZTY0Cg==\n" # Python解码前必须strip clean_b64 = js_b64.strip() decoded = base64.b64decode(clean_b64)经验总结:当Python解密失败时,不要急着改密钥,先用Wireshark抓包,将JS加密的原始密文Base64复制到Python中,逐字节比对
len(decoded)是否与预期一致。90%的“密钥错误”实为编码/填充差异。
4.2 Windows路径陷阱:反斜杠引发的DLL加载失败
在Windows上开发Galaxy插件时,一个隐蔽的坑是文件路径中的反斜杠被Jython解释为转义字符。例如,config.json路径写成C:\burp\plugin\config.json,Jython会将\b解释为退格符,\p解释为垂直制表符,导致FileNotFoundError。
解决方案有二:
- 推荐:在Java层用
Paths.get().toAbsolutePath().normalize()标准化路径,再传给Jython:String configPath = Paths.get("C:/burp/plugin/config.json") .toAbsolutePath().normalize().toString(); // 传入Jython时,路径变为 C:\Users\XXX\burp\plugin\config.json(已转义) - 备选:在Python中用
os.path.normpath()处理:import os config_path = r"C:\burp\plugin\config.json" # 原始字符串 normalized = os.path.normpath(config_path) # 自动转换为正斜杠 with open(normalized, 'r') as f: config = json.load(f)
另一个Windows专属问题是DLL依赖缺失。PyCryptodome的Windows wheel包依赖VCRUNTIME140.dll,若目标机器未安装Visual C++ Redistributable,import Crypto.Cipher.AES会直接抛ImportError。解决方案是打包时包含vcruntime140.dll到插件lib/目录,并在Java中动态加载:
// 在BurpExtender.init()中 if (System.getProperty("os.name").toLowerCase().contains("win")) { String dllPath = "lib/vcruntime140.dll"; System.load(dllPath); }4.3 macOS签名警告:Gatekeeper拦截Jython的终极解法
macOS Catalina+系统默认阻止未签名的Java应用。当你双击jython-standalone-2.7.3.jar时,会弹出“已损坏,无法打开”警告。这不是Burp的问题,而是Apple的Gatekeeper策略。
网上流传的xattr -d com.apple.quarantine命令治标不治本,重启后可能失效。真正可靠的方案是用codesign对jar文件重签名:
# 1. 获取Mac开发者证书(需Apple Developer账号) # 在钥匙串访问中导出证书为cert.p12,密码为123456 # 2. 将jar解压为目录 unzip jython-standalone-2.7.3.jar -d jython-unpacked # 3. 对所有class文件签名 find jython-unpacked -name "*.class" -exec codesign --force --sign "Developer ID Application: Your Name" {} \; # 4. 重新打包jar cd jython-unpacked && jar cvf ../jython-signed.jar * # 5. 对新jar签名 codesign --force --sign "Developer ID Application: Your Name" ../jython-signed.jar签名后,Burp加载该jar时不再触发Gatekeeper警告。此方案已在macOS Sonoma 14.5上实测通过,且签名有效期长达7年。
4.4 Linux权限链:为什么Burp在Docker中无法加载.so?
在Linux服务器上用Docker运行Burp时,常遇到OSError: libcrypto.so: cannot open shared object file。这是因为PyCryptodome的Linux wheel包依赖系统级libcrypto.so.1.1,而Alpine镜像默认用musl libc,不兼容glibc的so文件。
解决方案分两步:
- 基础镜像选择:放弃Alpine,改用
openjdk:17-jre-slim(基于Debian),它预装libssl1.1; - so文件绑定:在Dockerfile中显式安装
libssl1.1:FROM openjdk:17-jre-slim RUN apt-get update && apt-get install -y libssl1.1 && rm -rf /var/lib/apt/lists/* COPY burp-pro.jar /app/ COPY jython-signed.jar /app/lib/ CMD ["java", "-jar", "/app/burp-pro.jar"]
实测表明,此配置下Burp在Docker中启动时间仅比宿主机慢1.2秒,且PyCryptodome的AES/SM4加密性能无损。
5. 实战排错:从Burp日志定位混合加密故障的完整链路
5.1 日志分级体系:如何让每条日志都成为线索
Burp插件的日志若只是print("encrypt start"),等于没有日志。我建立了一套四级日志体系,每条日志都携带上下文哈希,便于关联追踪:
| 级别 | 触发条件 | 示例日志 | 用途 |
|---|---|---|---|
| DEBUG | JS引擎初始化、密钥派生中间值 | DEBUG [e3a7] Rhino ctx created, window injected | 定位JS执行环境是否就绪 |
| INFO | 加密/解密成功,含输入输出摘要 | INFO [e3a7] Encrypt: len(in)=128 → len(out)=288, iv=0x1a2b3c4d | 快速确认流程通路 |
| WARN | 可恢复异常(如IV缺失,fallback到默认值) | WARN [e3a7] X-SM4-IV header missing, using default iv | 发现配置疏漏 |
| ERROR | 致命错误(密钥错误、算法不匹配) | ERROR [e3a7] SM4 decrypt failed: ValueError('MAC check failed') | 根因定位起点 |
关键技巧:在每条日志前添加6位随机哈希(如[e3a7]),该哈希在单次请求处理中保持一致。当出现ERROR时,向上搜索同哈希的DEBUG/INFO日志,即可还原完整执行链路。
5.2 典型故障排查:MAC check failed的11步定位法
ValueError: MAC check failed是SM4-CBC解密最常见的报错,表面看是密钥错误,实则可能是11个环节中的任意一个出错。以下是我在某电商App项目中总结的标准化排查流程:
- 确认密文完整性:用Wireshark抓包,检查HTTP Body长度是否为288字节。若为287或289,说明传输中被截断或篡改;
- 提取SM4密钥:在Burp插件中,
ERROR日志前插入INFO日志打印len(sm4_key),确认是否为16字节; - 验证IV来源:检查
X-SM4-IV头是否存在,若存在,用xxd -p转为hex,确认是否为16字节; - 检查填充模式:SM4-CBC必须使用PKCS#7,而非PKCS#5。PyCryptodome中
unpad()函数默认PKCS#7,无需修改; - 比对原始密文:将Wireshark抓到的原始密文Base64,与Burp插件
processHttpMessage中messageInfo.getRequest()获取的bytes,用sha256比对哈希,确认Burp未修改原始数据; - 隔离Native层逻辑:用Frida hook
sm4_cbc_encrypt,打印其输入的plaintext和key,与Python中sm4_encrypt()的输入比对; - 检查时间戳偏移:服务端校验时间戳,若当前时间与App时间差>300秒,SM4密钥派生结果不同。用
date -u对比两端时间; - 验证PBKDF2参数:Native层SM4密钥由
PBKDF2-HMAC-SHA256(seed+salt, iter=10000)生成,Python中必须严格匹配iter参数; - 确认salt一致性:
config.json中的salt字段必须与App Native层硬编码的salt完全一致(十六进制字符串,非Base64); - 检查字节序:SM4-CBC的IV和密钥均为大端序,若Native层用小端序生成,需在Python中
struct.unpack('>I', ...)转换; - 最终验证:用OpenSSL命令行工具交叉验证:
# 将密文Base64转为二进制 echo "密文Base64" | base64 -d > cipher.bin # 用OpenSSL解密(需提前生成key.bin和iv.bin) openssl sm4 -d -in cipher.bin -K $(xxd -p key.bin) -iv $(xxd -p iv.bin) -nopad
这套流程让我在3小时内定位到某App的iter=1000(非10000)的参数错误,避免了团队在密钥提取上浪费两天。
5.3 Frida辅助验证:当Burp插件无法覆盖Native层时
Galaxy插件擅长JS层,但对Native层加密,有时必须借助Frida。我设计了一个轻量级Frida脚本,与Burp插件协同工作:
// frida-hook-sm4.js Java.perform(function () { var SM4 = Java.use("com.xxx.crypto.SM4"); SM4.encrypt.implementation = function (plaintext, key) { // 将key和plaintext发送到Burp插件的本地HTTP server send({ type: "sm4_encrypt", key: key, plaintext: plaintext, timestamp: new Date().getTime() }); return this.encrypt(plaintext, key); }; });Burp插件启动一个嵌入式Jetty Server(端口8081),监听Frida发来的密钥。当Repeater发送请求时,插件先查本地缓存是否有匹配的key+timestamp,若有则直接复用,避免重复hook。这种Burp+Frida混合模式,将Native层密钥获取成功率从60%提升至98%。
最后分享一个小技巧:在Burp插件的
IExtensionStateListener.extensionUnloaded()方法中,自动清理Frida的socket连接。这样关闭Burp时,Frida脚本也会优雅退出,避免端口占用。
我在实际项目中发现,真正决定逆向效率的,从来不是算法多难,而是能否把JS、Native、HTTP三层的密钥上下文,在Burp中无缝串联。这套用Burp Suite+Galaxy构建的混合加密分析流水线,不是教你怎么“破解”,而是帮你建立一套可验证、可复现、可交接的协议理解范式。当别人还在用Frida手忙脚乱hook函数时,你已经用Repeater批量测试了200个参数组合;当别人纠结于“密钥在哪”时,你已通过日志哈希精准定位到PBKDF2的迭代次数偏差。这,才是逆向工程师的核心竞争力——不是知道更多算法,而是构建更高效的认知管道。
