Frida安装与使用,对nu1lbook第四章-数字壳的传说题目进行脱壳

已于 2023-06-08 17:43:57 修改
阅读量300 收藏 1
点赞数
分类专栏: N1book 文章标签: android android studio ide
于 2023-06-08 17:30:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_65364832/article/details/131110482
版权

工具介绍:

PKID-查壳工具:可以对apk包进行查壳处理。

下载链接:

window:apk查壳工具下载 apk查壳神器PKiD v0.12 中文绿色免费版 下载-脚本之家 (jb51.net)

Mac:APK查壳工具PKID - SecPulse.COM | 安全脉搏

Java版:[下载]PKID-APP查壳工具-Android安全-看雪-安全社区|安全招聘|kanxue.com

ADB-调试桥,连接Android和windows间的桥梁。

下载链接:ADB Download - Get the latest version of ADB and fastboot

下载完成后需要进行环境变量配置:

此电脑 -> 高级系统设置 -> 高级 -> 环境变量 -> 系统变量 -> 变量 Path -> 编辑环境变量

->新建一个与下载路径一样的环境变量。

形如../../../ platform-tools

安装完成后Win+R启动cmd命令行窗口可以通过adb version验证是否安装成功。

基本使用命令:

adb help //帮助文档
adb connect IP:port //连接
adb shell //命令行模式-使用linux命令
adb kill-server
adb start-server //关闭和开启服务

我使用的mumu模拟器,使用命令adb connect 127.0.0.1:7555完成连接。 

Frida-基于python+java-hook框架

Windows安装:

pip install python3 //需要python3,自习安装
pip install frida
pip install frida-tools //安装frida和工具包,%注意版本

网传的比较好用的版本,我没有尝试
frida              12.11.18
frida-tools        5.3.0
frida-server       12.8.10
 
 
frida              12.7.26
frida-tools        5.3.0
frida-server       12.8.10

Android服务端安装:

//注意手机型号,我使用的mumu模拟器进行的。

https://github.com/frida/frida/releaseshttps://github.com/frida/frida/releasesReleases · frida/frida (github.com)

 从上面链接找与刚才的Frida版本相同的,然后进行下载相应版本的server后进行解压。

 将文件重命名为frida-server,再使用push命令将文件发送到/data/local/tmp中。

adb push .\frida-server /data/local/tmp

通过ls命令,frida-server存在于tmp目录中,然后给予授权777权限于当前目录下即/data/local/tmp进行chmod 777 frida-server。

安装完成。

Frida-DECDump-脱壳

pip3 install frida-dexdump

jadx-反编译工具

GitHub - skylot/jadx: Dex to Java decompiler

 有JDK的就可以下载第一个,然后在lib中打开这个jadx-gui-1.4.7.jar文件。

N1BOOK

题目链接:https://book.nu1l.com/tasks/#/pages/apk/4.4

下载下来一个n1book1_android的apk包,

使用APK进行查壳

 

然后安装进模拟器。

然后adb connect  127.0.0.1:7555,之后进行adb shell

进入前面下载了frida-server的地方,cd /data/local/tmp

启动

 开启另一个命令框,以frida-ps -U,查看有哪些进程

frida-dexdump -U -p port //通过端口
frida-dexdump -U -n n1book1 //通过名字

然后就会在相关的文件夹下面出现相关的dex包。比如我的就是c:\users\18134中。

再通过jadx对大于500K的dex包查看按理来说就可以找到重要信息。

问题与不足:

并没有找到相关的flag,根据官方WP:

按照文章中提到的几种脱壳方式完成脱壳,
脱壳之后发现密文为u0uYYmh4yRpPIT/zSP7EL/MOCliVoVLt3gHcrXDymLc=,
采用AES加密,
密码为n1book,
iv为123456,
解密得到flag为:n1book{h3ckF0rfun}

然后看了另一位大佬的WP,是从dex中找到了onCreate()与secrect()类,在secrect类中存在以上密码与解密,但是我没有找到,大佬解出来是三个包,我解出了23个,也有可能是版本问题。

声明:

好好学习,跪拜大佬。仅供学习与参考。

想造一顶白cap
关注
专栏目录
安卓逆向之使用frida-dexdump进行脱壳
云霄IT的博客
05-13 1809
2、开启frida-server服务。4、开启frida-dexdump。1、给手机或模拟器root。3、找一个文件夹进入cmd。
iOS逆向之hook框架frida安装使用
热门推荐
╰つ栺尖篴夢ゞ
10-23 4万+
一、Frida Frida 是一款基于 Python + javascript 的 hook 框架,通杀 android\iOS\linux\win\osx 各平台。Frida 原理是手机端安装一个 server 程序把手机端的端口转到 PC 端写的 python 脚本进行通信,而 Python 脚本中采用 javascript 语言编写 hook 代码。 ① install frida on device Start Cydia and add Frida’s repository by navig
REVERSE-PRACTICE-BUUCTF-32
P1umH0的博客
08-10 1515
REVERSE-PRACTICE-BUUCTF-32[第四章 CTF之APK章]数字传说 [第四章 CTF之APK章]数字传说,360加固 用frida脚本脱壳后,jadx-gui分析得到的dex文件 输入作为明文,输入的前6个字符作为密钥,字符串"123456"作为iv 对输入进行AES.CBC加密,得到的密文经base64编码后与已知的base64字符串比较 分析AESUtils这个类 第19行把密钥扩展成长度为32的字符串,不足的补空格" " 第37行把iv扩展成长度为16的字符串,
android,浅谈Android数字“修复”
weixin_39863371的博客
05-27 637
真正的脱壳修复是脱壳后修复被抽空的onCreate方法里的代码,而这样的话需要从so中解密并自行修复代码。目前通用常见的所谓的脱壳修复,原理很简单,就是利用MultiDex机制,将脱出来的dex用作dex2,更多的还有dex3..等等,然后塞进安装包,当软件运行时,系统会优先加载脱出来的dex2,dex3.. ,从而达到修改的目的。这样做,可以去除签名校验,可以修改代码(当然除了onCreate方...
mac环境下搭建frida环境并连接网易mumu模拟器
数据知道的博客
09-05 2万+
frida是基于Hook的动态分析工具。是一款基于 python+javascript 的 hook 框架,核心是用C编写的,可运行在 android、ios、linux、win等各个平台,主要使用的动态二进制插桩技术。官网:文档:安卓相关文件:关于frda学习路线了,只需要了解两方面的内容:1)主控端和目标进程的交互(message)2)Python接口和js接口(查文档)frida框架分为两部分:1)一部分是运行在系统上的交互工具frida CLI。
搭建frida+木木模拟器运行环境
李玺
04-10 8235
目录pip安装frida安装木木模拟器开启模拟器的root权限打开模拟器USB调试安装RE文件管理器下载frida服务端-Android下载frida-server文件移动文件到tmp下使用adb连接mumu模拟器设置frida-server权限并启动查看是否启动成功 pip安装frida 本机环境win10 (AMD64)、python3.6.4 pip install frida 如果报错:...
BUUCTF笔记之N1BOOK
克格莫(有需要的私信)
06-18 5157
1.[第一章 web入门]常见的搜集 robots.txt得到一部分flag: flag1:n1book{info_1 备份文件index.php~得到第二部分flag: flag2:s_v3ry_im 访问.index.php.swp得到第三部分flag: flag3:p0rtant_hack}
python-3.7.9-arm64 下载 和 frida安装使用方法
10-29
安装完成后,Frida提供了一系列的命令行工具,如`frida-server`(需要在目标设备上运行)和`frida`(在控制台中使用,与目标设备通信)。`frida-server`需要在ARM64设备上启动,可以通过adb(Android Debug Bridge)...
记一次frida实战——对某视频APP的脱壳、hook破解、模拟抓包、协议分析一条龙服务1
08-03
一、前言前天看雪学院frida 是一个十分强大的工具,已经学习它有一段时间了,但也只是零零碎碎的练习与使用。最近在对一个 APP 进行分析的过程中,使用 fri
frida-unpack:基于Frida脱壳工具
05-06
frida-unpack 基于Frida脱壳工具 0x0 frida环境搭建 frida环境搭建,参考frida官网:。 0x2 原理说明 利用frida hook libart.so中的OpenMemory方法,拿到内存中dex的地址,计算出dex文件的大小,从内存中将dex导出...
手动百度脱壳
04-17
手动脱百度的,关于逆向破解百度加固过的app
frida脱二代数字全流程
siphre
01-05 2760
闲谈 drizzleDumper只能整体脱一代数字,原理是DEX整体脱壳,一代市面上较少见。 二代数字可能是分段式Dex,据说frida和Xposed能脱,Xposed的环境搭建条件苛刻,似乎要真机、root、Android低版本,不知道是不是真的,反正我是怕了,先Frida走一波。(frida是一款基于python + javascript 的hook框架,可运行在android、io...
Frida hook脱壳(n1book数字传说
最新发布
一个啥也不会的小菜鸡!
05-20 880
*MuMu模拟器:adb connect 127.0.0.1:7555夜神模拟器:adb connect 127.0.0.1:62001雷电模拟器:adb connect 127.0.0.1:5555逍遥安卓模拟器:adb connect 127.0.0.1:21503天天模拟器:adb connect 127.0.0.1:6555海马玩模拟器:adb connect 127.0.0.1:5300连接成功!
BUUCTF逆向wp findit
2302_81740139的博客
03-01 439
我们把这组换成下面的那组数字,得到的结果有大括号,提交了答案错误。把pvkq换成flag也不行。猜测可能是凯撒密码,因为f向后退10位是p,l向后退10位是v,以此类推。该题为apk文件则用androidkiller打开。下面是第一组数字的结果,显然与我们想要的结果不同,但与结果有关。第二步 点击mainactivity,发现有两组16进制数字。最后得到处理后的结果,提交,正确。
N1BOOK——[第五章 CTF之RE章]wp
mcmuyanga的博客
11-21 2670
[第五章 CTF之RE章]Hello, RE 附件 ida拖入直接查看字符串,发现flag [第五章 CTF之RE章]BabyAlgorithm 附件 步骤: 无,64位ida载入,112行的if可知,v10是加密后的数组 上面的一长串(我转换成了16进制) sub_400874函数 sub_40067A()和sub_400753()两个函数都是加密算法 sub_40067A() sub_400646函数的作用是两数交换 我们首先根据这个加密算法,算一下a2加密后的数据 sub_40075
N1BOOK BabyAlgorithm
qq_45935709的博客
11-16 962
N1BOOK [第五章 CTF之RE章] BabyAlgorithm 比较菜写的代码可能不太行 题目下载 64位程序拖入IDA 判断输入长度是否为45,是的话进行加密,然后比较。 进入sub_400874 两个函数是加密的步骤。 可以找到已经加密好的数据进行爆破,gdb动态调试获得加密数据 断点下在0x400A62这里为开始比较,生成45个字符输入防止直接退出。 IDA中查看地址为 rsp+A0 得到加密后的数据,注意这里是小端模式 所以加密后的密文需要反过来 0xc6,0x21,0xca,0xb
apk各种的检测
公众号shadow sock7
09-01 8983
其实就是解压apk文件,匹配到各大厂家用于加固的.so文件的名字。 说明一下apk的,应该叫packer,而不是shell。以下保留作者的信息。 import zipfile ''' first,get namelist from apk second,matching the features thrid,julging for the packerType so easy~~ by zs...
最新乐加固脱壳详细教程(有图有真相)
没有功夫的熊猫2 的博客
12-02 1万+
一、前言声明: 本次破解是基于Xposed Installer框架,具体使用方法请上网查询。假设你已经安装好框架,按照下面的步骤,实现乐加固加固脱壳修复DEX,并且重打包运行。本次选择脱壳的APP是小猿搜题,特此声明,本教程只用于个人学习交流,切勿用于商业用途,否则后果自负! 二、工具准备: FDex2 AndroidKiller Android逆向助手 三、操作步骤 1、从应用宝市...
【安卓逆向】360加固-脱壳修复
YJJYXM的博客
10-08 2万+
最近花了一些时间学习逆向脱壳,这方面一直投入的时间比较少。样本经过某加固宝进行加固,这里简单记录一下脱壳过程和思路,感谢某数字公司对安全加固的无私贡献,让我有机会小小的提高一下这方面的技能。 DUMP classes.dex 打开APK包中的classes.dex看一下: 已经变成了代{过}{滤}理,没有一点原APK的代码。在assets中,有两个相关的SO: 尝试从内存中DUMP原cla...
使用Frida进行脱壳测试,详细教程
06-10
Frida是一款强大的动态分析工具,可以用于脱壳测试。下面是使用Frida进行脱壳测试的详细教程: 1. 安装Frida 首先需要在电脑上安装Frida,可以从Frida官网下载安装进行安装安装完成后,可以在终端中输入以下命令来检查Frida是否安装成功: ``` frida-ps -U ``` 如果输出了设备中运行的进程信息,则Frida安装成功。 2. 查找目标应用程序 使用以下命令来查看设备上所有运行的应用程序: ``` frida-ps -U ``` 找到目标应用程序的进程ID或名称。 3. 编写Frida脚本 编写Frida脚本来实现脱壳功能。以下是一个简单的脚本示例: ``` function dump_memory(address, size, file_path) { var buffer = Memory.readByteArray(ptr(address), size); var file = new File(file_path, 'wb'); file.write(buffer); file.flush(); file.close(); console.log('Dumped memory to ' + file_path); } Interceptor.attach(Module.findExportByName(null, 'memcpy'), { onEnter: function(args) { if (args[0].toInt32() == 0x12345678) { dump_memory(args[1], args[2], '/sdcard/dump.bin'); } } }); ``` 这个脚本会在应用程序调用memcpy函数时,判断目标内存地址是否为0x12345678,如果是则将内存内容保存到指定的文件中。 4. 运行Frida脚本 使用以下命令来运行Frida脚本: ``` frida -U -l script.js -f com.example.app ``` 其中,-U表示连接USB设备,-l指定脚本文件,-f指定目标应用程序。 5. 测试脚本 运行目标应用程序,触发脚本中的条件,查看指定的文件是否成功保存了内存内容。 注意:脚本中的条件和保存路径需要根据实际情况进行修改。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

想造一顶白cap

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值