JAVA逆向ampamp反混淆追查Burpsuite的破解原

　　0x00摘要：
　　本系列文章通过对BurpLoader的几个版本的逆向分析，分析Burpsuite的破解原理，分析Burpsuite认证体系存在的安全漏洞。
　　0x01JDGUI的用途与缺陷：
　　JDGUI是一款从JAVA字节码中还原JAVA源代码的免费工具，一般情况下使用这款工具做JAVA逆向就足够了，但是由于其原理是从JAVA字节码中按照特定结构来还原对应的JAVA源代码，因此一旦字节码结构被打乱（比如说使用混淆器），那么JDGUI就会失去它的作用，如图为使用JDGUI打开Burpsuite时的显示：
　　显然，JDGUI没能还原JAVA源代码出来，因为Burpsuite使用了混淆器打乱了字节码结构所以，JDGUI适用于‘没有使用混淆器’的JAVA字节码，而缺陷是一旦字节码结构被打乱，则无法发挥它的作用
　　0x02字节码分析：
　　Java的字节码并不像普通的二进制代码在计算机中直接执行，它通过JVM引擎在不同的平台和计算机中运行。
　　JVM是一个基于栈结构的虚拟计算机，使用的是JVM操作码（及其助记符），在这一点上和普通二进制反汇编的过程非常相似。对Java字节码进行反编译其实非常简单，JDK内置的Javap工具即可完成这项任务。示例：对Javar。class进行反编
　　注意javap的c参数是显示详细代码，否则只显示method，而按照java的老规矩Javar不要加后缀名同时你也可以使用eclipse的插件BytecodeVisualizer来反编译字节码
　　注意右面的流程图，大家在上程序设计导论课时都画过吧，现在发现它的用途了吧，一眼就看出是一个ifelse结构，前两句定义i变量，然后取i2压栈常数1，比对i和1以后就都java。lang。system。out了，一个输出wooyun，一个输出lxj616。
　　0x03老版本的BurpLoader分析：
　　随着Burpsuite的更新，BurpLoader也在跟着进行更新，我们从老版本的BurpLoader入手，简要分析一下之前老版本的burpsuite破解原理。本处选用了1。5。01版本的BurpLoader进行分析首先试着用JDGUI载入BurpLoader：
　　成功还原了BurpLoader源代码，只可惜由于是对burpsuite的patch，所以burpsuite的混淆在burploader里仍然可读性极差，不过可以推断burploader本身没有使用混淆工具。publicstaticvoidmain（String〔〕args）
　　｛
　　try
　　｛
　　intretJOptionPane。showOptionDialog（null，Thisprogramcannotbeusedforcommercialpurposes！，BurpLoaderbylarrylau163。com，0，2，null，newString〔〕｛IAccept，IDecline｝，null）；
　　显示选择对话框：这程序是出于学习目的写的，作者邮箱larrylau（at）163。com
　　if（ret0）选择我同意
　　｛
　　以下用到的是java反射机制，不懂反射请百度
　　for（inti0；ilt；clzzData。length；i）
　　｛
　　ClassclzzClass。forName（clzzData〔i〕）；
　　是burpsuite的静态类（名字被混淆过了，也没必要列出了）
　　Fieldfieldclzz。getDeclaredField（fieldData〔i〕）；
　　静态类中的变量也被混淆过了，也不必列出了
　　field。setAccessible（true）；
　　访问private必须先设置这个，不然会报错
　　field。set（null，strData〔i〕）；
　　把变量设置成strData（具体那一长串到底是什么暂不讨论）
　　｝
　　PreferencesprefsPreferences。userNodeForPackage（StartBurp。class）；
　　明显preferences是用来存储设置信息的
　　for（inti0；ilt；keys。length；i）
　　｛
　　key和val能猜出是什么吧
　　Stringvprefs。get（keys〔i〕，null）；
　　if（！vals〔i〕。equals（v））
　　｛
　　prefs。put（keys〔i〕，vals〔i〕）；
　　｝
　　｝
　　StartBurp。main（args）；
　　｝
　　｝
　　catch（Exceptione）
　　｛
　　JOptionPane。showMessageDialog（null，Thisprogramcanonlyrunwithburpsuiteprov1。5。01。jar，BurpLoaderbylarrylau163。com，
　　0）；
　　｝
　　｝
　　｝
　　因此，BurpLoader的原理就是伪造有效的Key来通过检测，Key的输入是通过preference来注入的，而我猜测它为了固定Key的计算方法，通过反射把一些环境变量固定成常量了
　　0x04新版本的BurpLoader分析：
　　以下用1。6beta版的BurpLoader进行分析：首先用JDGUI尝试打开BurpLoader：
　　看来这个版本的BurpLoader对字节码使用了混淆，这条路走不通了于是直接读字节码吧！
　　大家可以看到这里的字符串都是混淆过的，每一个都jsr到151去解密
　　这段解密代码特点非常明显，一个switch走5条路，给221传不同的解密key，这不就是ZelixKlassMaster的算法吗？简单的异或而已，轻松写出解密机：publicclassVerify｛
　　privatestaticStringdecrypt（Stringstr）｛
　　charkey〔〕newchar〔〕｛73，25，85，1，29｝；
　　chararr〔〕str。toCharArray（）；
　　for（inti0；ilt；arr。length；i）｛
　　arr〔i〕key〔i5〕；
　　｝
　　returnnewString（arr）；
　　｝
　　publicstaticvoidmain（Stringargs〔〕）｛
　　System。out。println（decrypt（xsdgu4t3xegjhs。7m7；hplamp；St7tn5v：j｝dx））；
　　｝
　　｝
　　里面的5个密钥就是上图bipush的传参，别忘了iconst1的那个1解密出来是：larry。lau。javax。swing。plaf。nimbus。NimbusLook：4其实这里解密出字符串没有什么用处，因为我们已经拿到老版本的源代码了，不过在别的软件逆向分析中可能会非常有用
　　0x05总结amp；POC
　　以下为我修改后的BurpLoader，其中的恶意代码我已经去除，并将修改前的原值输出，大家可以在添加burpsuitejar包后编译运行这段代码packagestratburp；
　　importburp。StartBurp；
　　importjava。lang。reflect。Field；
　　importjava。util。prefs。Preferences；
　　importjavax。swing。JOptionPane；
　　publicclassstartburp
　　｛
　　privatestaticfinalString〔〕clzzData｛burp。ecc，burp。voc，burp。jfc，
　　burp。gtc，burp。zi，burp。q4c，burp。pid，burp。y0b｝；
　　privatestaticfinalString〔〕fieldData｛b，b，c，c，c，b，c，c｝；
　　privatestaticfinalStringerrortipThisprogramcanonlyrunwithburpsuiteprov1。5。01。jar；
　　privatestaticfinalString〔〕keys｛license1，uG4NTkffOhFNon7RT1nbw｝；
　　publicstaticvoidmain（String〔〕args）
　　｛
　　try
　　｛
　　for（inti0；ilt；clzzData。length；i）
　　｛
　　ClassclzzClass。forName（clzzData〔i〕）；
　　Fieldfieldclzz。getDeclaredField（fieldData〔i〕）；
　　field。setAccessible（true）；
　　field。set（null，strData〔i〕）；
　　System。out。println（field。get（null））；
　　｝
　　PreferencesprefsPreferences。userNodeForPackage（StartBurp。class）；
　　for（inti0；ilt；keys。length；i）
　　｛
　　Stringvprefs。get（keys〔i〕，null）；
　　System。out。println（prefs。get（keys〔i〕，null））；
　　｝
　　StartBurp。main（args）；
　　｝
　　catch（Exceptione）
　　｛
　　JOptionPane。showMessageDialog（null，Thisprogramcanonlyrunwithburpsuiteprov1。5。01。jar，Notice，0）；
　　｝
　　｝
　　｝
　　其效果如截图所示
　　其中前8行输出为之前BurpLoader恶意修改的目标原值（对我的计算机而言），同一台设备运行多少遍都是不变的，后面的key由于我之前运行过BurpLoader因此是恶意修改后的值（但是由于前8行没有修改因此不能通过Burpsuite验证），可见BurpLoader其实是使用了同一个密钥来注册所有不同计算机的，只不过修改并固定了某些参与密钥计算的环境变量而已，这大概就是Burpsuite破解的主要思路了，至于最初能用的license是怎么计算出来的，我们以后再研究
　　本文作者：Drops，转载自：http：www。mottoin。comdetail3651。html