Flutter App逆向技术研究

最新推荐文章于 2024-08-23 12:11:58 发布
最新推荐文章于 2024-08-23 12:11:58 发布
阅读量1.8k 收藏 3
点赞数
分类专栏: Flutter安全 文章标签: 逆向flutter flutter
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30135181/article/details/118151906
版权
本文探讨了Flutter移动应用的逆向技术,包括Flutter框架简介、抓包方法,重点在逆向分析部分,介绍了使用darter和Doldrums等工具辅助分析,并详细讲解了在Android和iOS上的逆向思路,特别是如何利用Frida Hook iOS Flutter Plugin来获取敏感信息。文章还提到了检查Flutter APP是否使用特定module以及hook plugin的方法。
摘要由CSDN通过智能技术生成

文章目录

Flutter 简介

Flutter 是 Google推出并开源的移动应用开发框架,主打跨平台、高保真、高性能。开发者可以通过 Dart语言开发 App,一套代码同时运行在 iOS 和 Android平台。 Flutter提供了丰富的组件、接口,开发者可以很快地为 Flutter添加 native扩展。同时 Flutter还使用 Native引擎渲染视图。

《Flutter实战》

Flutter 抓包

  1. Disable Flutter SSL

原理: Hook session_verify_cert_chain 返回0x1

function hook_ssl_verify_result(address){
  Interceptor.attach(address, {
    onEnter: function(args) {
    },

    onLeave: function(retval){
      retval.replace(0x1);
      console.log('Retval: ' + retval + " Done...");
    }
  });
}
/**
 *  frida -U xxx -l hook_ssl_verify_result.js 
 *  需要主动调用该函数disablePinning()
 */
function disablePinning(){
  var m = Process.findModuleByName('libflutter.so');
  // 32位so
  var pattern = '2d e9 f0 4f a3 b0 81 46 50 20 10 70'
  // 64位so
  // var pattern = "FF 03 05 D1 FD 7B 0F A9 9A E3 05 94 08 0A 80 52 48 00 00 39 16 54 40 F9 56 07 00 B4 C8 02 40 F9 08 07 00 B4";
  var res = Memory.scan(m.base, m.size, pattern, {
    onMatch: function(address, size) {
      hook_ssl_verify_result(address.add(0x01));
    },

    onError: function(reason){
      console.log('[!] There was an error scanning memory');
    },

    onComplete: function(){
      console.log('[*] DisablePinning All done ...');
    }

  });
}

  1. 流量代理转发

    Drony.apk

    右滑进入设置->选择网络WIFI->设置主机名、端口
    (注意: Wi-Fi配置那里不需要手动修改)

    ->过滤默认值选择过滤全部->编辑过滤规则(+、本地代理连全部、选择应用程序、保存)

  2. 抓包分析

    burp->proxy->options->add->主机、端口
    注意: 需要将burp证书安装到系统证书里面

Flutter 逆向分析

工具

darter:Dart snapshot parser

Doldrums
解析libapp.so类符号,函数偏移值等,无具体代码,仅可用于辅助分析

Android
IOS
逆向分析辅助脚本

Frida_Hook_Ios_Flutter.js

逆向分析思路

类似于JNI,Flutter与原生需要有通讯的桥梁,这个桥梁在IOS称为Flutter Plugin

  1. Flutter Plugin

Flutter Plugin是Fultter和原生通讯渠道。
在Flutter端,MethodChannel API 可以发送与方法调用相对应的消息。
在宿主平台iOS上, FlutterMethodChannel iOS API可以接收方法调用并返回结果,实现调用iOS原生代码。如存储敏感数据时使用的keychain(flutter_secure_storage),身份认证相关功能TouchID和FaceID(local_auth),苹果登录(flutter_apple_sign_in Plugin),SSL Pinning(ssl_pinning_plugin)等Plugin。

由于FlutterMethodChannel是由OC实现,因此可以采用hook OC的方式,hook该类的调用,从而在运行时获取到可能有用的信息。

  1. Flutter Plugin hook
  • 检查Flutter
    APP在运行时,应用会加载的需要的module,以笔者的demo app为列子,已加载的module有:
/var/containers/Bundle/Application/70288CAB-186A-453E-8FBA-B00FEF608CC0/Runner.app/Runner
/Library/MobileSubstrate/MobileSubstrate.dylib
/usr/lib/libsqlite3.dylib
/System/Library/Frameworks/AVFoundation.framework/AVFoundation
/private/var/containers/Bundle/Application/70288CAB-186A-453E-8FBA-B00FEF608CC0/Runner.app/Frameworks/FMDB.framework/FMDB
/private/var/containers/Bundle/Application/70288CAB-186A-453E-8FBA-B00FEF608CC0/Runner.app/Frameworks/Flutter.framework/Flutter
/private/var/containers/Bundle/Application/70288CAB-186A-453E-8FBA-B00FEF608CC0/Runner.app/Frameworks/MTBBarcodeScanner.framework/MTBBarcodeScanner
/System/Library/Frameworks/QuartzCore.framework/QuartzCore
/private/var/containers/Bundle/Application/70288CAB-186A-453E-8FBA-B00FEF608CC0/Runner.app/Frameworks/ai_barcode.framework/ai_barcode
/private/var/containers/Bundle/Application/70288CAB-186A-453E-8FBA-B00FEF608CC0/Runner.app/Frameworks/device_info.framework/device_info
/private/var/containers/Bundle/Application/70288CAB-186A-453E-8FBA-B00FEF608CC0/Runner.app/Frameworks/flutter_custom_dialog.framework/flutter_custom_dialog
/private/var/containers/Bundle/Application/70288CAB-186A-453E-8FBA-B00FEF608CC0/Runner.app/Frameworks/flutter_secure_storage.framework/flutter_secure_storage
/private/var/containers/Bundle/Application/70288CAB-186A-453E-8FBA-B00FEF608CC0/Runner.app/Frameworks/package_info.framework/package_info
/private/var/containers/Bundle/Application/70288CAB-186A-453E-8FBA-B00FEF608CC0/Runner.app/Frameworks/path_provider.framework/path_provider
/private/var/containers/Bundle/Application/70288CAB-186A-453E-8FBA-B00FEF608CC0/Runner.app/Frameworks/sqflite.framework/sqflite

Frameworks/Flutter.framework/Fluttermodule为切入点,通过检查是否加载该module,从而判断该应用是否采用了Flutter技术。

function hasFlutter() {
    var modules = Process.enumerateModules()
    for (var i = 0; i < modules.length; i++) {
        var oneModule = modules[i]
        if (oneModule.path.endsWith('flutter')) {
            return true
        }
    }
    return false
}
  • hook plugin
    以下代码采用Frida框架,进行hook。
//code from https://gist.github.com/AICDEV/630feed7583561ec9f9421976e836f90

// https://api.flutter.dev/objcdoc/Classes/FlutterMethodChannel.html#/c:objc(cs)FlutterMethodChannel(im)invokeMethod:arguments:
function traceFlutterMethodCall() {
    var className = "FlutterMethodCall"
    var methodName = "+ methodCallWithMethodName:arguments:"
    var hook = ObjC.classes[className][methodName];

    try {
        Interceptor.attach(hook.implementation, {
            onEnter: function (args) {
                this.className = ObjC.Object(args[0]).toString();
                this.methodName = ObjC.selectorAsString(args[1]);
                console.log(this.className + ":" + this.methodName);
                console.log("method: " + ObjC.Object(args[2]).toString());
                console.log("args: " + ObjC.Object(args[3]).toString());
            }
        })
    } catch (err) {
        console.log("error in trace FlutterMethodCall");
        console.log(err);
    }
}

FlutterMethodCall为类名,"+ methodCallWithMethodName:arguments:"为方法名。该信息可在Flutter的官方文档中找到;也可通过frida工具,遍历所有flutter相关的函数得到;也可使用MachOView等工具查看。

笔者Demo app中,采用flutter_secure_storage Plugin, 实现向keychain的write操作,代码如下:

SecureStorage.set("key", "AF4ItDx/2aUDKDk/s+Mdi3aGUJ0wTmMRBvMzMEg/yor6dGiQUEPDypQx5vNnfa+/")

通过frida hook FlutterMethodCall, 输出如下:

FlutterMethodCall:methodCallWithMethodName:arguments:
method: write
args: {
    key = "key";
    options = "<null>";
    value = "AF4ItDx/2aUDKDk/s+Mdi3aGUJ0wTmMRBvMzMEg/yor6dGiQUEPDypQx5vNnfa+/";
}

参考

Flutter_iOS_安全

深入理解 Flutter 的编译原理与优化

Flutter机器码生成gen_snapshot

Flutter APP 逆向 part-1

Tasfa
关注
专栏目录
Flutter-APP逆向分析
Codeoooo 博客
06-22 2645
图例: Flutter 打包后的so文件所在位置。
APP爬虫-抓包篇】巧妙使用工具与技巧绕过安卓APP抓包防护
吴秋霖的博客
01-05 9280
最新且最全APP抓包汇总!使用各种工具与技巧绕过APP抓包防护!
flutter开发的某app逆向
一起学习哈
04-30 7491
参考文章: 对flutter开发的某app逆向分析 [原创]一种基于frida和drony的针对flutter抓包的方法 版本:3.2.1 解压apk文件 很明显我们可以看到有flutter.so 然后我们跟着上边的帖子操作一下子; 此处展示代码 function hook_ssl_verify_result(address) { Interceptor.attach(address, { onEnter: function(args) { console.log("Disa
APP逆向百例五-Flutter逆向案例----某次元(AES+RSA)
最新发布
A_fanyifan的博客
08-23 1294
还原一下我逆向app的方法。
【Android安全】Flutter app逆向
Juruo@Security
06-25 4151
使用《Flutter逆向助手》逆向Flutter app
如何逆向Flutter应用
Java和Android架构
09-16 585
相关阅读:一个90后员工猝死的全过程作者:david09链接:https://www.jianshu.com/p/d55c0419d790目前大多数使用Flutter的应用都是采用add2...
逆向 Flutter 应用
iOS_开发
05-28 1954
Python实战社群Java实战社群长按识别下方二维码,按需求添加扫码关注添加客服进Python社群▲扫码关注添加客服进Java社群▲作者 | Andre Lipke来源 | PIXE...
Flutter开发之——AndroidView,整理出Android逆向系列学习进阶视频
m0_66264798的博客
02-16 400
2.6 嵌入Flutter void main() => runApp(PlatformViewDemo()); class PlatformViewDemo extends StatelessWidget { @override Widget build(BuildContext context) { Widget? platformView(){ if(defaultTargetPlatform == TargetPlatform.android){ return AndroidView( vie
Android开发技巧!10天用Flutter撸了个高仿携程App,年薪超过80万!
m0_52308677的博客
01-09 340
程序员职业生涯真的很短吗? 不短,我就是明证!我今年44岁,世界500强公司,编程20年,软件技术专家,一直都在编程一线,从来离开过。技术上,我深入的使用过Java、.net、Js等等。也许吧,我勉强算的上一个“全栈工程师”。 我看好多回答里说,程序员之所以干不长,那是因为经验不值钱,老程序员和年轻人没有区别,还不能加班,所以自然不受老板待见。我特别不理解,这么荒谬,不合逻辑的言论为什么还会有人相信。我可以非常肯定的说,在软件开发这个行业,只要不虚度光阴,时间会给你丰厚的回报,会建立足够的门槛,保证你长期在
谈一谈App的架构设计
a1661408343的博客
07-07 2152
如何在软件开发的道路上更进一步? 我们可能已经在研发的这条道路上持续了5年,甚至更久的时间,如何才能拉开和大众的距离,让自己的工作能力提升一步?架构设计应该是其中一个方向,大到app整个的设计,小到每一个页面、功能,都需要设计。这篇文章根据我的研发经验谈一谈App的架构设计。 一、代码需要可读性 可读性是十分必要的,我们甚至可以在一个UIViewController中完成一个APP的所有功能,它可能有几万行,几十万行代码,该怎么维护,怎么读,写的时候只有你和天明白是怎么回事,过了几天就只有天知道代码为什么
xflutter:Flutter和Android逆向工程
04-12
颤抖 Flutter和Android逆向工程 快照哈希
如何逆向Flutter应用(反编译)
microxp的博客
09-14 9233
研究基于android flutter开发的APP逆向 连续碰到好几个用flutterAPP,比加密的还难搞,不加壳都无从下手,研究了一下,发现一个软件Doldrums,https://github.com/rscloura/Doldrums 用来反编译flutter的dart文件的, 先把app解压出来,找到lib/armeabi-v7a/libapp.so,这个就是程序核心代码了,然后反编译它: python src/main.py -v libapp.so output 输出结果在output .
Flutter逆向系列--实战技术
Tasfa的博客
07-07 4446
本文主要通过一个实际例子,讲解逆向分析Flutter的具体步骤和方法论以某🐟为例子 由于Flutter本身开发标准一致,降低了RD人员适配多端的工作量,且本身具有很好的安全性,因此越来越多的应用尝试使用Flutter。而逆向Flutter应用却不像Java一样简单,常用的IDA、JEB等工具完全失效。.........
Flutter应用安卓逆向之hook分析研究---附dart版本对照表(必看篇)
云霄IT的博客
07-15 4574
搜索md5、rsa、aes等关键字分析要破解的加密算法,使用frida进行hook可疑函数的偏移地址。,双击进去找到ssl_crypto_x509_session_verify_cert_chain函数的偏移地址进行hook掉;Flutter应用是内置进行ssl证书校验的,无法通过常规方法抓到包,需要通过frida把它内置的ssl校验hook掉。重构完成后会生成新的apk,把它安装到模拟器或者真机中并打开运行,此时系统会在。关键字的函数进行hook(因为其返回的是字符串类型)中,拖进ide搜索字符串。
Flutter 逆向安全
唐僧的专栏
08-28 3133
前几天在 "学习" 一个项目, 发现是用 Flutter 开发的。之前研究flutter逆向,早期 Flutter 有工具可以通过快照进行反编译:《对照表如下》新的版本开发者没有维护了。目前没有很好的工具 可以对 Flutter 进行反编译!
flutter逆向初探-- 2023国赛ctf的flutterror
qq_41866334的博客
06-04 1644
flutter逆向真的还挺难的,做的时候搜到的资料里最有用的是这个系列的三篇: https://www.guardsquare.com/blog/current-state-and-future-of-reversing-flutter-apps。基本能了解flutter的一个运行机制。reflutter 对这个题来说是能用的,但是能给到的有效信息并不多所以用处不大。之前照着别的文章做,都是先reflutter然后对着dump出来的offset进行hook, 所以比赛时就卡在这里了。
flutter-app逆向分析
09-16
flutter-app逆向分析是指对于一个使用flutter框架开发的应用进行逆向工程分析。逆向工程是通过分析应用的代码、二进制文件等来了解其内部实现细节。 首先,我们需要获取该应用的安装包文件(APK或IPA文件),然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值