使用Frida逆向分析KGB Messenger

已于 2024-06-08 21:40:26 修改
阅读量520 收藏 4
点赞数 3
分类专栏: Android逆向 文章标签: android 安全 安全威胁分析
于 2024-06-08 21:36:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/faint23/article/details/139551540
版权
1. 第一个Activity有2个检测点:
  • System.getProperty(“user.home”)
  • System.getenv(“USER”)
    @Override  
    public void onCreate(Bundle bundle) {
        String property = System.getProperty("user.home");
        String str = System.getenv("USER");
        if (property == null || property.isEmpty() || !property.equals("Russia")) {
            a("Integrity Error", "This app can only run on Russian devices.");
            return;
        }
  
        if (str == null || str.isEmpty() || !str.equals(getResources().getString(R.string.User))) {
            a("Integrity Error", "Must be on the user whitelist.");
        } else {
            a.a(this);
            startActivity(new Intent(this, (Class<?>) LoginActivity.class));
        }
    }

1.1 hook System.getProperty

Java.perform(() => {
    var stringCls = Java.use('java.lang.String');

    var systemCls = Java.use('java.lang.System');
    systemCls.getProperty.overload('java.lang.String').implementation = function (val) {
        var ret = this.getProperty(val);	
        console.log("user.home : " + ret);
        var newString = stringCls.$new("Russia");	//返回Russia
        return newString;
    }
});

1.2 查找到 getResources().getString(R.string.User) 字符串

 <string name="User">RkxBR3s1N0VSTDFOR180UkNIM1J9Cg==</string> // flag

1.3 hook System.getenv(“USER”)

    systemCls.getenv.overload('java.lang.String').implementation = function (val) {
        var newString = stringCls.$new("RkxBR3s1N0VSTDFOR180UkNIM1J9Cg==");
        return newString;
    }
2. 第二个Activity有2个检测点:
    public void onLogin(View view) {
        EditText editText = (EditText) findViewById(R.id.login_username);
        EditText editText2 = (EditText) findViewById(R.id.login_password);
        this.mw_loginActivity_str_username = editText.getText().toString();
        this.mw_loginActivity_str_passwd = editText2.getText().toString();
        if (this.mw_loginActivity_str_username == null || this.mw_loginActivity_str_passwd == null || this.mw_loginActivity_str_username.isEmpty() || this.mw_loginActivity_str_passwd.isEmpty()) {
            return;
        }
  
        if (!this.mw_loginActivity_str_username.equals(getResources().getString(R.string.username))) {
            Toast.makeText(this, "User not recognized.", 0).show();
            editText.setText("");
            editText2.setText("");
        } else if (mw_loginActivity_CheckPSWD()) {
            mw_loginActivity_ToastShowFlag();
            startActivity(new Intent(this, (Class<?>) MessengerActivity.class));
        } else {
            Toast.makeText(this, "Incorrect password.", 0).show();
            editText.setText("");
            editText2.setText("");
        }
    }

2.1 字符串查找得到 username

 <string name="username">codenameduchess</string>

2.2 密码使用MD5加密

Google搜索codenameduchess password是一个动画片里面中的密码:guest (离谱)
这里如果使用frida hook函数破解的话会得不到第二个Flag. 第二个Flag需要用户名和密码来解码.

3. 第三个Activity有2个检测点:
	//第一个检测
  	if (mw_messengerAcitivty_EncodeInputText1(inputText.toString()).equals(this.mw_messengerActivity_str_check1)) {
  	    Log.d("MessengerActivity", "Successfully asked Boris for the password.");
			...
  	}
  	//第二个检测
  	if (mw_messengerAcitivty_EncodeInputText2(inputText.toString()).equals(this.mw_messengerActivity_str_check2)) {
  	    Log.d("MessengerActivity", "Successfully asked Boris nicely for the password.");
  	    ...
  	}

3.1 mw_messengerAcitivty_EncodeInputText1

高位^2, 低位^A , 然后反转字符数组. 反过来即可得到正确结果 : Boris, give me the password

 	private String mw_messengerActivity_str_check1 = "V@]EAASB\u0012WZF\u0012e,a$7(&am2(3.\u0003";
 
    private String mw_messengerAcitivty_EncodeInputText1(String str) {
        char[] charArray = str.toCharArray();
        for (int i = 0; i < charArray.length / 2; i++) {
            char c = charArray[i];
            charArray[i] = (char) (charArray[(charArray.length - i) - 1] ^ '2');
            charArray[(charArray.length - i) - 1] = (char) (c ^ 'A');
        }
        return new String(charArray);
    }

3.2 mw_messengerActivity_EncodeInputText2

  • charArray[index] = charArray[index] >> index % 8 ^ charArray[index]
  • 反转数组
	private String mw_messengerActivity_str_check2 = "\u0000dslp}oQ\u0000 dks$|M\u0000h +AYQg\u0000P*!M$gQ\u0000";
	
    private String mw_messengerActivity_EncodeInputText2(String str) {
        char[] charArray = str.toCharArray();
        for (int i = 0; i < charArray.length; i++) {
            charArray[i] = (char) ((charArray[i] >> (i % 8)) ^ charArray[i]);
        }
  
        for (int i2 = 0; i2 < charArray.length / 2; i2++) {
            char c = charArray[i2];
            charArray[i2] = charArray[(charArray.length - i2) - 1];
            charArray[(charArray.length - i2) - 1] = c;
        }
        return new String(charArray);
    }

反转数组
这时需要思考一下: char_x >> index %8 ^ char_x = char_y
char_y 和 index 己知. 只需要遍历一下char_x即可得到正确结果 : May I PLEASE have the password?
index % 8 时在8的整数倍时为0 . 此时 char xor char = 0, 所以会有空字符.

    private static char GetChar(char ch, int shift) {
        for (char i = 0; i < 128; i++) {
            if ((i >> (shift % 8) ^ i) == ch)
                return i;
        }
        return 0;
    }

    private static String mw_messengerActivity_encode(String str) {
        char[] charArray = str.toCharArray();
        for (int i2 = 0; i2 < charArray.length / 2; i2++) {
            char c = charArray[i2];
            charArray[i2] = charArray[(charArray.length - i2) - 1];
            charArray[(charArray.length - i2) - 1] = c;
        }

        for (int i = 0; i < charArray.length; i++) {
            if ((char) charArray[i] == '\u0000') {
                charArray[i] = '?';
                continue;
            }
            charArray[i] = GetChar(charArray[i], i);
        }
        return new String(charArray);
    }
faint23
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Frida系列-Window逆向基础
Tasfa的博客
04-13 1776
Frida window逆向基础
安卓逆向之—Frida持久化方案
08-02
安卓逆向之—Frida持久化方案 实例代码。 Frida 持久化方案,不需要改room ,容易集成到现有代码中。 主程序也可以和 frida js 进行交互。Frida 反检测机制比较好,比如端口检测,进程检测,都检测不到。
Android10系统定制|frida逆向分析实战课程
哆啦安全
06-27 1246
Android10系统定制|frida逆向分析实战课程
Xposed 常用方法和技巧
chentaoxie的博客
02-25 5909
Xposed 常用方法和技巧修改IMEI;IMSI;;Android_id;wifi信息(wifi链接信息;扫描信息); sim卡信息;Build信息;Build.VERSION信息;TelephonyManager;屏幕信息;SystemHttpAgent;手机安装包列表;读取手机root文件;读取手机文件修改;CPU信息
system.getProperty()的作用以及如何使用
qq_60458298的博客
03-26 2957
方法用于获取系统属性的值。系统属性是指在系统配置文件中定义的属性,如操作系统名称、版本号等。该方法接受一个字符串参数,表示要获取的系统属性的名称,返回值为字符串类型,表示该属性的值。获取该属性的值,并将其打印出来。需要注意的是,由于系统属性是在系统配置文件中定义的,因此在不同的操作系统和不同的 JVM 中可能会有不同的属性名称和属性值。方法时,应该尽量避免硬编码属性名称和属性值,而应该根据具体情况动态获取。除了获取系统属性的值,方法还可以用于设置系统属性的值。获取了操作系统名称的值,并将其赋给变量。
深入研究java.lang.Runtime类
weixin_34387284的博客
01-17 344
  一、概述      Runtime类封装了运行时的环境。每个 Java 应用程序都有一个 Runtime 类实例,使应用程序能够与其运行的环境相连接。      一般不能实例化一个Runtime对象,应用程序也不能创建自己的 Runtime 类实例,但可以通过 getRuntime 方法获取当前Runtime运行时对象的引用。      一旦得到了一个当前的Runtime对象的引用,就...
burp抓不到手机app请求包
None安全团队
12-28 5672
今天来讨论一个APP安全渗透测试及漏洞挖掘中遇到的一个问题,相信也会有很多师傅在挖掘漏洞中遇到以下的几种令人抓头的场景,前不久挖掘一个app又遇到了以前都遇到过此类问题,决定在此总结一下: 等等。 一般情况下在对APP测试时burp抓包需要配置代理和下载安装burp的客户端证书才可以正常的进行下一步测试,但是在HTTPS信任机制和APK自有的安全机制下测试时或许就不是那么容易了,经常会出现网络错误、抓不到包、丢包,无法正常发送请求等情况。主要可以归结为:IOS/安卓系统的固有的信任机制问题,另一
使用System.getProperty方法,如何配置JVM系统属性
weixin_33998125的博客
04-06 882
原创文章,欢迎转载,转载请注明出处! 很多时候我们需要在项目中读取外部属性文件,用到了System.getProperty("")方法。这个方法需要配置JVM系统属性,那么如何配置呢? 那就是使用java -D 配置系统属性。使用格式是:java -Dkey=value 比如新建一个测试类,如下: public class Test { public static void ...
安卓逆向学习笔记之Frida 辅助分析ollvm指令替换
03-09
安卓逆向学习笔记之Frida 辅助分析ollvm指令替换
Android逆向分析工具与签名工具
11-02
5. **Frida**:这是一种动态代码插桩工具,允许在运行时注入JavaScript代码来调试、分析和篡改应用程序。这对于实时查看函数调用、修改内存或控制程序执行路径非常有用。 6. **Ghidra**:由美国国家安全局(NSA)...
Android应用安全实战:Frida协议分析.docx
09-13
本文的目标是深入探讨 Android 应用安全中的 Frida 协议分析,旨在帮助读者了解 Frida 协议的基本概念、特点和应用场景,同时掌握如何使用 Frida 协议进行 Android 应用安全测试的方法和技巧。 在 Android 应用安全...
安卓逆向学习笔记之Frida 辅助分析ollvm虚假控制流
03-10
安卓逆向学习笔记之Frida 辅助分析ollvm虚假控制流
property_get使用注意事项
热门推荐
zhangxinjieli3的专栏
03-02 2万+
之前虽然一直使用property_get函数,但是没有真正了解过,所以写出了这样一个bug char buf[PROPERTY_VALUE_MAX] = {‘\0’}; if(property_get(“debug.property.test”, buf, “0”)) { ALOGI(“true”); } else { ALOGI(“false”); } 结果就是一直...
System.getProperty("user.dir"); 获得系统属性
peterxiaoq的专栏
01-24 3240
System.getProperty("user.dir"); 获得系统属性 getProperties  public static Properties getProperties()  确定当前的系统属性。  首先,如果有安全管理器,则不带参数直接调用其 checkPropertiesAccess 方法。这可能导致一个安全性异常。  将 getProperty(String
java获取系统属性System.getProperty
11-22 553
在java中System.getProperty可以获取系统的属性,这个大家都知道。但是能获取到那些属性呢? 今天看了一下源码,如下: /* * @(#)System.java 1.158 06/03/13 * * Copyright 2006 Sun Microsystems, Inc. All rights reserved. * SUN PROPRIETARY/CONFIDENT...
展开说说:Android之View基础知识解析
最新发布
Hidanchaofan的博客
07-13 891
View虽不属于Android四代组件,但应用程度却非常非常广泛。在Android客户端,君所见之处皆是View。我们看到的Button、ImageView、TextView等等可视化的控件都是View,ViewGroup是View的子类因此它也是View。但是现在我们把View和ViewGroup当成两个类来看待,ViewGroup可以容纳View和ViewGroup,但View不可以再容纳其他View或ViewGroup,这种容纳的关系可以一直延伸仿佛一棵大树,从内而外有了父子关系,因此有个概念叫做Vi
frida逆向与抓包实战 pdf
08-27
本书以Frida为基础,详细介绍了如何使用Frida进行Android和iOS应用程序的逆向分析。读者可以学习到如何使用Frida的API来动态修改应用程序的行为,如动态调试、函数替换、Hook等。 其次,本书还介绍了抓包技术在移动...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值