Frida Hook的简单使用

最新推荐文章于 2024-08-10 21:45:25 发布
最新推荐文章于 2024-08-10 21:45:25 发布
阅读量2.3k 收藏 15
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nodely/article/details/118104012
版权
本文详细介绍了如何通过Frida工具动态分析Android应用的网络请求,特别是签名的生成过程。首先配置了抓包环境,通过Charles抓包获取请求URL和参数。接着对APK进行反编译,找到签名生成的相关代码,然后利用Frida进行动态hook,获取到签名的输入参数和密钥。最后,通过Python实现了签名的复现,成功模拟请求。
摘要由CSDN通过智能技术生成

0x01 环境

python3.6、pycharm、安卓反编译工具jadx、样本apk包、charles抓包工具、电脑安装adb(安卓调试桥)

python使用到的库:frida

一部root的安卓6.0手机:手机上安装frida-server

手机使用usb线连接电脑,且打开usb调试。使用adb的时候,选择授权该电脑。

0x02 抓包分析

配置代理

保证手机和电脑处于同一网络环境下,然后手机上设置电脑IP作为其代理IP。

查询电脑IP的方法:WIN+R打开运行->输入cmd->回车打开命令提示符->输入ipconfig,显示的内容中即有电脑IP信息。如:

… …
无线局域网适配器 WLAN:

连接特定的 DNS 后缀 . . . . . . . :
本地链接 IPv6 地址. . . . . . . . : fe80::1ea:ac16:a5f4:70dc%23
IPv4 地址 . . . . . . . . . . . . : 172.16.156.26
子网掩码 . . . . . . . . . . . . : 255.255.252.0
默认网关. . . . . . . . . . . . . : 172.16.156.1

则电脑IP为172.16.156.26。

手机上打开当前连接的WIFI(不同手机操作方法略有不同),修改网络->高级选项->代理->手动,代理服务器主机名填上面的172.16.156.26,端口为charles的默认端口8888

抓包

打开charles和手机,在样本apk中搜索。

拿到目标链接:

url:
https://api.xxxx.com/community/search/items/get?protocol=1&appKey=47cda90997074f10&start=0&versionCode=211&token=eed96c88-c110-4faa-bd9b-7fa6d6f0264a&key=%25E5%25A4%25A7%25E7%258E%258B&timestamp=1606190200165&count=20&channel=1002&type=3&sign=wUAXTQxOFolZP4FQuSXtZvtnn.E=

请求头:
Accept: application/json
Content-type: application/json
Host: api.xxxx.com
Connection: Keep-Alive
Cookie: acw_tc=ac11000116061900179143931e01610f6f99e840c7cae1c380c9a0a984caa7
Cookie2: $Version=1

返回内容:
{
    "rc": 0,
    "msgInfo": null,
    "errorInfo": null,
    "redirect": null,
    "redirectSign": null,
    "ccdVersion": null,
    "serverTime": null,
    "serAppInfo": null,
    "logTrackInfo": null,
    "adList": null,
    "resultUserList": [{
        "logTrackInfo": "{\"itemId\":18000119,\"itemType\":\"uid\"}",
        "algorithmId": null,
        "uid": 18000119,
        "displayName": "大王",
    ... ...
}

可以发现url中别的参数都是固定或可知的,只有sign参数未知,且不知构造方法。所以下面需要分析apk包,找到生成sign的方法。

0x03 apk反编译

打开反编译工具jadx,将样本apk包拖进去,ctrl+shift+f打开搜索,直接搜索sign=,这里可以看到有两条符合的结果:
在这里插入图片描述

而第二条左边有一个可疑的方法名叫getRequestParam,直接双击进入代码:
在这里插入图片描述

可以看到红框的代码是遍历参数,拼接字符串,再拼接一个config.getAppSecret()方法生成的字符串,最后再传入Sha1Util.calculateRFC2104HMAC中生成sign。

进入Sha1Util.calculateRFC2104HMAC可以看到,加密的过程是将传入的字符串和密钥转为bytes类型,使用HMAC_SHA1加密,然后再使用base64加密转为字符串。
在这里插入图片描述

这里知道了加密的过程,剩下就需要知道传入的参数:拼接出来的字符串str和密钥str2,分别是什么。

方法有三种:

  1. 静态分析JAVA源码
  2. 动态调试该apk
  3. 使用hook的方法拿到传入的参数样式

这里选择使用hook的方法。

0x04 hook

目前主流的hook方法有两种:xposed、frida,这里选择frida。

frida的环境安装可网上查找教程。

frida-server下载地址:https://github.com/frida/frida/releases

运行frida-server

打开cmd->运行adb shell,进入手机命令行,执行:

su
cd data/local/tmp
./frida-server

若没报错则代表执行成功。

再开一个cmd,执行端口转发:

adb forward tcp:27042 tcp:27042
adb forward tcp:27043 tcp:27043

python运行frida

代码:

#!/usr/bin/env python
# -*- coding: UTF-8 -*-


import frida, sys

def message(message,data):
    if message["type"] == 'send':
        print("[*] {0}".format(message["payload"]))
    else:
        print(message)


def main():
    # com.xxx.xxx.util.Sha1Util是calculateRFC2104HMAC所在的类名
    jscode = """
        Java.perform(function(){
            var hook_cls = Java.use('com.xxx.xxx.util.Sha1Util')
            hook_cls.calculateRFC2104HMAC.implementation = function(a,b){
                console.log("Hook Start...");
                send(arguments);
                var ret = this.calculateRFC2104HMAC(a,b);
                send(ret);
                return ret;
            }
        }
        );
    """
    # 这里的com.xxx.xxx是apk的包名
    process = frida.get_remote_device().attach('com.xxx.xxx')
    script = process.create_script(jscode)
    script.on("message", message)
    script.load()
    sys.stdin.read()


if __name__ == '__main__':
    main()

手机打开样本apk后,运行上面代码,注意一定是先在手机打开app后再运行代码,顺序不能错了,否则可能hook失败。

查找apk包名的方法有很多,这里介绍其中一种,手机上运行该app,打开cmd执行:

adb shell dumpsys window | findstr mCurrentFocus

显示:

mCurrentFocus=Window{8d82372 u0 com.xxx.xxx/com.xxx.xxx.MainTabActivity}

其中com.xxx.xxx即为包名。

开始hook
在这里插入图片描述

pycharm中输出的结果:

Hook Start...
[*] {'0': 'demokey大王011002160620003087520211347cda90997074f10eed96c88-c110-4faa-bd9b-7fa6d6f0264ademokey', '1': 'demokey'}
[*] QJHyIV3bywcxuTugNLGz1EfWq0o=

抓包的url:

https://api.xxxx.com/community/search/items/get?protocol=1&appKey=47cda90997074f10&start=0&versionCode=211&token=eed96c88-c110-4faa-bd9b-7fa6d6f0264a&key=%25E5%25A4%25A7%25E7%258E%258B&timestamp=1606200030875&count=20&channel=1002&type=3&sign=QJHyIV3bywcxuTugNLGz1EfWq0o=

对比抓包得到的sign和hook得到的sign,可以看到hook成功,而入参str为:

demokey大王011002160620003087520211347cda90997074f10eed96c88-c110-4faa-bd9b-7fa6d6f0264ademokey

密钥str2为:

demokey

所以我们看到的sgin就是对demokey大王011002160620003087520211347cda90997074f10eed96c88-c110-4faa-bd9b-7fa6d6f0264ademokey进行HMAC_SHA1加密,然后再使用base64加密后,就得到了QJHyIV3bywcxuTugNLGz1EfWq0o=

python实现:

import base64
import hmac
from hashlib import sha1

key = 'demokey'
data = 'demokey大王011002160620003087520211347cda90997074f10eed96c88-c110-4faa-bd9b-7fa6d6f0264ademokey'

hmac_code = hmac.new(key.encode(), data.encode(), sha1).digest()
print(base64.b64encode(hmac_code, altchars=b'._').decode())

而入参str就是由url中的各个参数排序后加上密钥demokey拼接而来:

密钥 + 各参数排序的结果拼接 + 密钥

0x05 请求demo

#!/usr/bin/env python
# -*- coding: UTF-8 -*-


import base64
import hmac
import re
from hashlib import sha1
import urllib.request
from urllib.parse import urlparse, parse_qs, unquote, quote

def format_headers(data):
    param = {}
    pattern = re.compile(r'([A-Za-z\d-]*):(.*?)$', re.M)
    items = re.findall(pattern, data)
    for key, value in items:
        if key.strip() in param:
            param[key.strip()] = '{}; {}'.format(param[key.strip()], value.strip())
        else:
            param[key.strip()] = value.strip()
    return param

keyword = '纸尿裤'
start = '20'
timestamp = '1606202497355'
# 如果是第一页,type设置为3
b_type = '3' if start == '0' else '2'
keyword = quote(quote(keyword))

base_url = 'https://www.xxxx.com/community/search/items/get?protocol=1&appKey=47cda90997074f10&start={0}&versionCode=211&token=eed96c88-c110-4faa-bd9b-7fa6d6f0264a&key={1}&timestamp={2}&count=20&channel=1002&type={3}'.format(
    start, keyword, timestamp, b_type
)

app_key = 'demokey'
query = urlparse(base_url).query
params = parse_qs(query)
param_value = [v[0] for v in params.values()]
param_value.sort()
data = app_key + ''.join([unquote(item) for item in param_value]) + app_key

hmac_code = hmac.new(app_key.encode(), data.encode(), sha1).digest()
sign = base64.b64encode(hmac_code, altchars=b'._').decode()

url = base_url + '&sign={}'.format(sign)

headers = '''
Accept: application/json
Content-type: application/json
Host: api.xxxx.com
Cookie: acw_tc=ac11000116061993369595582e0161fd5568e4a923920244fa6d166c20dfb6
Cookie2: $Version=1
'''

headers = format_headers(headers)
# 发现该app,python3直接使用requests会拒绝访问,所以改用urllib
req = urllib.request.Request(url, headers=headers)
html = urllib.request.urlopen(req).read()
print(bytes.decode(html, encoding='utf-8'))
nodely
关注
技术分享 | Frida 实现 Hook 功能的强大能力
hogwarts_beibei的博客
05-09 452
Frida 通过 C 语言将 QuickJS 注入到目标进程中,获取完整的内存操作权限,达到在程序运行时实时地插入额外代码和数据的目的。官方将调用代码封装为 python 库,当然你也可以直接通过其他的语言调用 Frida 中的 C 语言代码进行操作。
Frida-Hook普通方法
一个孤独漫步者的遐想的博客
11-10 334
Frida-Hook普通方法 查看包名 Code import frida, sys # """标识多行字符串 # @包名+类名 # @类名+方法名 jscode = """ Java.perform(function () { var utils = Java.use('com.##.##.##'); utils.getCalc.implementation = function (a, b) { console.log("Hook Start...");
记录安装mysql5.7 ODBC组件失败解决方法
sinat_35960326的博客
09-15 974
在安装mysql5.7时 ODBC模块安装失败,日志显示: 1: Error 1918.Error installing ODBC driver MySQL ODBC 5.3 ANSI Driver, ODBC error 13: 无法加载 MySQL ODBC 5.3 ANSI Driver ODBC 驱动程序的安装例程,因为存在系统错误代码 126: 找不到指定的模块。 原因:缺少Microsoft visual C++ 2013 解决办法:在网上下个Microsoft visual C++ 2.
Hook框架frida,让逆向更简单
最新发布
小李的便利店
08-10 946
Hook框架frida,让逆向更简单
Frida Hook方法大全(普通、重载、构造、hook某类下的所有方法、主动调用)
云霄IT的博客
05-31 2141
【代码】Frida Hook方法大全(普通、重载、构造)
2、frida入门教程-hook
键盘的起始页
03-04 1万+
frida常见命令 --------------------------------------------------------------------------------- 方式一、frida直接关联 js脚本hook 1、编写js hook函数 test.js源码: Interceptor.attach(Module.findExportByName("libc.so"...
frida-script:储存自己的FRIDA HOOK脚本
07-24
例如,一个简单Frida Hook脚本可能如下: ```javascript // 导入Frida模块 const frida = require('frida'); // 定义要Hook的目标函数地址 const targetFunctionAddress = Module.findExportByName('libname', '...
Frida_Windows_Hook
04-13
在您的python上安装frida的最简单方法是使用pip: pip install frida 有关如何安装frida的更多信息,请参见 免责声明 这是该软件的版本,所以我预计不是我的开发人员,但会出现一些错误,因此我的编码技能可能不是...
frida hook java 函数_frida hook常用函数分享
weixin_39542742的博客
02-23 1105
本帖最后由 骇客之技术 于 2020-6-12 13:33 编辑1. 免写参数[JavaScript] 纯文本查看 复制代码// 函数原型 encodeRequest(int i, String str, String str2, String str3, String str4, String str5, byte[] bArr, int i2, int i3, String str6, byt...
鬼鬼FriDA_hook注入调试工具 v1.2免费版
10-23
使用鬼鬼FriDA_hook注入调试工具时,有几个关键知识点需要了解: 1. **动态代码插桩**:这是FriDA的核心功能之一,允许你在运行时插入额外的代码片段,以便监控或改变程序的行为。这对于理解和调试复杂的应用程序...
enum_func.zip_FRIDA_frida hook_hook enum_安卓hook
09-24
2. **frida_hook**:表示使用Frida进行hook操作,这是Frida的核心功能之一,它能够拦截并控制目标进程中的函数调用。 3. **hook_enum**:这里的“hook枚举”指的是遍历并hook一组函数,比如一个.so库中的所有导出...
frida hook普通方法
qq_26158277的博客
11-03 741
windows端直接安装frida-tools: pip install frida-tools 手机端需adb push进fridaserver 设备配置前注意: 1.安卓系统是低版本,frida也尽量使用低版本 推荐使用高版本如安卓7.1 8.1及以上的安卓版本 2.fridaserver版本要与python下的frida库的版本一致 3.不同的平台用不同的fridaserver 模拟器中一般用x86的 可以用如下命令来判断模拟器的版本: 我这里用的雷电模拟器的版本位x86的。 nex x4
Frida hook零基础教程
cyjmosthandsome的博客
10-23 1万+
1. 环境搭建 1. 准备frida服务端环境 Releases · frida/frida · GitHub 根据手机具体版本下载对应文件并解压,Android手机一般是arm64架构。将解压后的frida-server推送到手机端的/data/local/tmp目录,并修改该文件的权限为 chmod 777 frida-server 2. 准备客户端环境(安装在本机window系统上) pip install frida pip instal...
FridaHook整理】Frida安装及Hook安卓常用脚本
热门推荐
杰孑的博客
04-06 2万+
1 概述 在逆向过程中,Frida是非常常用的Hook工具,这个工具在日常使用的过程中,有很多通用方法,这里记录一下,方便查阅,部分函数使用的时候,可能需要稍微修改一下,本文记录是Android的方法,不涉及其他的 主要是搬迁的一下参考文章的片段 Android逆向之旅—Hook神器家族的Frida工具使用详解 Frida官方文档 看雪 Frida官方手册 - JavaScript API(篇一) 看雪 Frida官方手册 - JavaScript API(篇二) Js中几种String Byte转换方法
Hook神器: frida超详细安装教程
爬虫进击之路
01-11 1万+
一、概述 Frida是个轻量级别的hook框架,是Python API,但JavaScript调试逻辑 Frida的核心是用C编写的,并将Google的V8引擎注入到目标进程中,在这些进程中,JS可以完全访问内存,挂钩函数甚至调用进程内的本机函数来执行。 使用Python和JS可以使用无风险的API进行快速开发。Frida可以帮助您轻松捕获JS中的错误并为您提供异常而不是崩溃。 关于frda学习路线了,Frida的学习还是蛮简单的,只需要了解两方面的内容: 1)主控端和目标进程的交互(message) 2)
Frida使用 hook
ShenZ的博客
09-05 1054
js hook不需要开监听
Frida Hook Java
qq_45414878的博客
12-19 2172
hook简述 Hook 技术又叫做钩子函数,在系统没有调用该函数之前,钩子程序就先捕获该消息,钩子函数先得到控制权,这时钩子函数既可以加工处理(改变)该函数的执行行为,还可以强制结束消息的传递。简单来说,就是把系统的程序拉出来变成我们自己执行代码片段。 要实现钩子函数,有两个步骤:  1. 利用系统内部提供的接口,通过实现该接口,然后注入进系统(特定场景下使用)  2. 动态代理(使用所有场景) 本次测试用到的工具有: ​ 夜神模拟器 ​ frida15.0.9 ​ GDA ​ adb Ja
一文带你轻松入门Frida框架,编写Hook脚本
个人笔记
11-29 8888
0x1 Frida框架简介 Frdia是一个强大的基于ptrace的trace工具,简言之,就是一个hook也就是跟踪并劫持函数的工具。 基于ptrace的动态trace 支持dalvik虚拟机、ART运行时以及native代码的hook 使用Javascript进行hook逻辑的编写 官方提供Python、C#、swift、node等语言 0x11 Frida的安装 由于Frida工具是一个...
使用frida进行hook(一)
iris的博客
04-24 1万+
刚接触了frida这个hook工具,因此利用ctf题进行进一步的学习,此处参考https://bbs.pediy.com/thread-227233.htm。 首先分析题目逻辑: VERIFY按钮的逻辑为 首先获取输入的license的值,将其与给定的url拼接向服务器进行请求,获得的回应如果为"LICENSEKEYOK",就将其与getMac的返回值进行xor运算,并运算的结果作为键值为"K...
使用frida hook Android应用实战
"frida hook的一些尝试" ...这篇文章旨在引导读者通过实践理解frida使用,特别是如何hook Android应用的方法,以便进行动态分析和逆向工程。后续的文章可能会扩展到更复杂的hook场景和针对其他应用的分析。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值