Flutter逆向系列--实战技术

已于 2022-07-07 17:25:09 修改
阅读量3.8k 收藏 10
点赞数 1
分类专栏: Flutter安全 文章标签: flutter android ios
于 2022-07-07 17:18:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_30135181/article/details/125662312
版权

背景

  由于Flutter本身开发标准一致,降低了RD人员适配多端的工作量,且本身具有很好的安全性,因此越来越多的应用尝试使用Flutter。而逆向Flutter应用却不像Java一样简单,常用的IDA、JEB等工具完全失效。
   本文主要通过一个实际例子,讲解逆向分析Flutter的具体步骤和方法论

逆向步骤简述

  1. 确定APP是否为Flutter应用
    • Android: lib/xxx/libapp.so lib/xxx/libflutter.so
    • IOS: Payload/Frameworks/Flutter.framework
  2. 获取逆向关键信息
  3. 将libapp.so或app等相关Flutter代码拖入IDA进行分析
    • [可选] 重命名函数(混淆时使用)
  4. 获取_kDartIsolateSnapshotInstructions偏移
  5. 利用frida动静结合进行算法分析

例子

以某🐟为例子

  1. 确认是否为Flutter应用
    Flutter
  2. reFlutter
  • 安装 pip3 install reflutter
  • 使用 reflutter example.apk/reflutter example.ipa
  • 重签名后在真机上安装并运行应用
  • 获取
    • Android adb -d shell "cat /data/data/<PACKAGE_NAME>/dump.dart" > dump.dart
    • IOS scp /private/var/mobile/Containers/Data/Application/<UUID>/dump.dart .
Library:'package:anyapp/navigation/DeepLinkImpl.dart' Class: Navigation extends Object {  
String* DeepUrl = anyapp://evil.com/ ;
 Function 'Navigation.': constructor. (dynamic, dynamic, dynamic, dynamic) => NavigationInteractor { 
    Code Offset: _kDartIsolateSnapshotInstructions + 0x0000000000009270
}
    

Library:'package:anyapp/auth/navigation/AuthAccount.dart' Class: AuthAccount extends Account {
PlainNotificationToken* _instance = sentinel;
 
Function 'getAuthToken':. (dynamic, dynamic, dynamic, dynamic) => Future<AccessToken*>* { 
	Code Offset: _kDartIsolateSnapshotInstructions + 0x00000000003ee548
}
  1. IDA分析
    • IDA运行以下脚本,重命名函数 [遇到混淆时使用]
import sys, os, json
import idaapi, ida_kernwin
try:
    import flure
except ImportError:
    sys.path.append(os.path.dirname(os.path.abspath(__file__)))

idaapi.require("flure.code_info")
idaapi.require("flure.ida.patch_names")
from flure.code_info import CodeInfo
from flure.ida.patch_names import create_ida_folders

if __name__ == "__main__":
    function_info_file = ida_kernwin.ask_file(False, f"*.json", "Flutter snapshot function name filename")
    if function_info_file is not None:
        with open(function_info_file, 'r') as fp:
            code_info = CodeInfo.load(json.load(fp))
        create_ida_folders(code_info)

如果混淆相对严重,也可使用BinDiff或者Diaphora进行新旧版本比对

  1. 获取_kDartIsolateSnapshotInstructions
    • readelf -Ws libapp.so
    • let kDartIsolateSnapshotInstructions = Module.findExportByName("Flutter", "kDartIsolateSnapshotInstructions")
  2. Frida分析
/**
* 利用第二步dump出来的信息,查找关键的函数偏移地址之后进行HOOK,并追踪调用链路
**/
function hook_flutter_function() {
    let kDartIsolateSnapshotInstructions = Module.findExportByName("App", "kDartIsolateSnapshotInstructions")
    let sign = kDartIsolateSnapshotInstructions.add(0x0000000000xxxxx); //从dump.dart中获取对应地址
    Interceptor.attach(sign, {
        onEnter(args) {
            console.log("sign:", Thread.backtrace(this.context, Backtracer.ACCURATE).map(DebugSymbol.fromAddress).join('\n'));
        }
    })
}

利用上述Frida打印的调用链路,进入IDA进行分析,获取对应的函数地址并进行下一步Hook分析

/**
* Precompiled_xxxx_xxxx 由IDA解析获取,前提条件是函数名没有混淆
**/
function hook_flutter_function_ida() {
    let flutter_fun = DebugSymbol.fromName("Precompiled_xxxx_xxxx")
    Interceptor.attach(flutter_fun.address, {
        onEnter(args) {
            this.log = []
            this.log.push(flutter_fun.name + " onEnter:\r\n")
            for(let i = 0; i < 8; i++) {
                try {
                    this.log.push(hexdump(args[i]), "\r\n");  
                } catch (error) {
                    this.log.push((args[i]), "\r\n");
                }
            }
        }, onLeave(retval) {
            this.log.push(flutter_fun.name + " onLeave:\r\n")
            try {
                this.log.push(hexdump(retval), "\r\n");  
            } catch (error) {
                this.log.push((retval), "\r\n");
            }
            this.log.push("=======================")
            console.log(this.log);
        }
    })
}

参考

The Current State & Future of Reversing Flutter™ Apps
Guardsquare/flutter-re-demo

Tasfa
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Flutter应用安卓逆向之hook分析研究---附dart版本对照表(必看篇)
云霄IT的博客
07-15 2154
搜索md5、rsa、aes等关键字分析要破解的加密算法,使用frida进行hook可疑函数的偏移地址。,双击进去找到ssl_crypto_x509_session_verify_cert_chain函数的偏移地址进行hook掉;Flutter应用是内置进行ssl证书校验的,无法通过常规方法抓到包,需要通过frida把它内置的ssl校验hook掉。重构完成后会生成新的apk,把它安装到模拟器或者真机中并打开运行,此时系统会在。关键字的函数进行hook(因为其返回的是字符串类型)中,拖进ide搜索字符串。
B(l)utter:一款针对Flutter移动端应用程序的逆向工程分析工具
FreeBuf_的博客
01-21 1661
B(l)utter是一款针对Flutter移动端应用程序的逆向工程分析工具,当前版本的B(l)utter仅支持Android libapp.so(ARM64),可以帮助广大研究人员对基于Flutter开发的移动端应用程序进行逆向工程分析。bin:包含针对每个Dart版本的blutter可执行程序,格式为"blutter_dartvm<ver>_<os>_<arch>";如果blutter可执行程序搜索的Dart版本数据不存在,脚本将会自动检测Dart源代码并进行代码编译。
如何逆向Flutter应用
hdwhappy的专栏
02-22 2450
目前大多数使用Flutter的应用都是采用add2app的方式,在APP中与Flutter相关的内容主要有FlutterEngine、APP产物、资源文件。我们可以在应用市场上寻找一个接入Flutter的应用做实验。(apk可在各大应用市场下载,ipa下载可以在mac上安装Apple Configurator 2进行),apk和ipa中flutter相关产物目录如下: iOS包文件为ipa,下载后将其后缀重命名为zip进行解压,解压后Payload下即可看到应用文件夹,其中FlutterEngine、APP
Flutter-Chat-App
05-17
Flutter群聊应用 。 遵循 Codelabs。 :)
两个强大的APP反编译工具.zip
01-22
两个强大的APP反编译工具.zip,适合于android开发,应用于APP安卓方向的反编译工具,很强大
Python库 | reflutter-0.2.9.tar.gz
04-14
资源分类:Python库 所属语言:Python 资源全名:reflutter-0.2.9.tar.gz 资源来源:官方 安装方法:https://lanzao.blog.csdn.net/article/details/101784059
flutter开发的某app逆向
一起学习哈
04-30 6932
参考文章: 对flutter开发的某app逆向分析 [原创]一种基于frida和drony的针对flutter抓包的方法 版本:3.2.1 解压apk文件 很明显我们可以看到有flutter.so 然后我们跟着上边的帖子操作一下子; 此处展示代码 function hook_ssl_verify_result(address) { Interceptor.attach(address, { onEnter: function(args) { console.log("Disa
Android安全】Flutter app逆向
Juruo@Security
06-25 2939
使用《Flutter逆向助手》逆向Flutter app
如何逆向Flutter应用(反编译)
microxp的博客
09-14 7726
研究基于android flutter开发的APP逆向 连续碰到好几个用flutter的APP,比加密的还难搞,不加壳都无从下手,研究了一下,发现一个软件Doldrums,https://github.com/rscloura/Doldrums 用来反编译flutter的dart文件的, 先把app解压出来,找到lib/armeabi-v7a/libapp.so,这个就是程序核心代码了,然后反编译它: python src/main.py -v libapp.so output 输出结果在output .
flutter逆向初探-- 2023国赛ctf的flutterror
qq_41866334的博客
06-04 1321
flutter逆向真的还挺难的,做的时候搜到的资料里最有用的是这个系列的三篇: https://www.guardsquare.com/blog/current-state-and-future-of-reversing-flutter-apps。基本能了解flutter的一个运行机制。reflutter 对这个题来说是能用的,但是能给到的有效信息并不多所以用处不大。之前照着别的文章做,都是先reflutter然后对着dump出来的offset进行hook, 所以比赛时就卡在这里了。
flutter-embedded-linux:Flutter的嵌入式Linux嵌入式
03-12
Flutter的嵌入式Linux嵌入式 创建该项目是为了开发的非官方嵌入式Linux嵌入。 该嵌入程序着重于嵌入式Linux系统用例。 它还基于Windows的Flutter桌面实现,并且具有一些独特的功能可在嵌入式系统中使用。 目的与目标 我们的目标是在嵌入式系统中使用Flutter。 我们正在开发此嵌入器,以在嵌入式产品中使用Flutter。 最终,我们希望向的主线提出并贡献该软件,这意味着我们希望为所有嵌入式开发人员正式向Flutter添加嵌入式系统支持。 请注意,这只是我们的理想,而不是Flutter社区的官方意见。 如果您能向我们提供有关错误和新功能要求的反馈,我们将不胜感激。 我们想介绍通用嵌入式系统的规范。 特征 适用于嵌入式系统 一些依赖库 比Linux的Flutter桌面轻巧(不使用X11和GTK) 该嵌入器的主要目标是Arm64设备。 我们尚未在Arm 32bit
flutter-master_flutter_flutter-master_
09-29
Flutter 是 Google 开源的 UI 工具包,帮助开发者通过一套代码库高效构建多平台精美应用,支持移动、Web、桌面和嵌入式平台。Flutter 开源、免费,拥有宽松的开源协议,适合商业项目。
flutter_lucklyshop-master.zip
02-09
flutter实战,代码结构严密,不仅做毕业设计可用,公司项目亦可用
xflutter:FlutterAndroid逆向工程
04-12
颤抖 FlutterAndroid逆向工程 快照哈希
Flutter 实战开发-网络请求demo
09-19
Flutter 实战开发-网络请求,具体可参考https://blog.csdn.net/liuxingyuzaixian/article/details/120378959
Flutter Console运行命令报错解决
c_studer_的博客
04-22 352
通过clone远程仓库到本地后问题得到解决。通过将包下载到本地点击打开发生闪退。
Android项目集成flutter模块
fengyulinde的博客
04-24 355
Android项目集成flutter模块
Flutter 之 Widget
最新发布
XT4625的专栏
04-25 664
无论是简单的文本、按钮、图标,还是复杂的布局、列表、滑动容器,甚至包括动画效果、手势处理、主题样式等,一切都是以 Widget 的形式来实现和组织的。Widget 类通常包含一系列可设置的属性(通过构造函数参数),用于定制其外观、行为和与其他 Widget 或系统资源的交互。总的来说,Widget 是 Flutter 中用来构建和管理用户界面的核心概念,它封装了界面元素的结构、样式、行为以及响应状态变化的能力,通过组合和配置各种 Widget,开发者可以高效地构建出丰富多样的跨平台应用程序。
使用 Flutter 打造引人入胜的休闲游戏体验
谷歌开发者
04-22 736
作者 / Zoey Fan去年,Flutter 休闲游戏工具包进行了一次重大更新。近期在旧金山举办的游戏开发者大会 (GDC)上,Flutter 首次亮相。GDC 是游戏行业的顶级专业盛会,致力于帮助游戏开发者不断提升开发技能。欢迎您继续阅读,了解开发者利用 Flutter 构建游戏的进展,以及 Flutter 游戏开发的未来发展方向。△ Flutter for Games 宣传图Flutter...
best-flutter-ui-templates
08-06
best-flutter-ui-templates 是一个提供优质 Flutter UI 模板的资源库。在 Flutter 开发中,UI 模板是为了加快开发速度,提供了预先设计好的组件和样式,使得开发者可以更轻松地创建美观的用户界面。 best-flutter-ui-templates 包含了各种各样的 UI 模板,涵盖了不同领域,比如社交媒体、电子商务、新闻等等。每个模板都具有独特的风格和特点,开发者可以根据自己项目的需求进行选择。 这些模板不仅仅是简单的界面设计,它们还包含了交互功能和动画效果,以提供更好的用户体验。开发者可以通过修改模板中的组件和样式,快速定制出适合自己项目的独特UI。 通过使用 best-flutter-ui-templates,开发者可以节省大量的时间与精力,避免从零开始设计并实现每个界面。这样,开发者可以更专注于业务逻辑的实现,加快项目的开发进度。 此外,best-flutter-ui-templates 还提供了示例代码和文档,方便开发者理解和使用模板。开发者也可以根据需要对模板进行定制和扩展。 综上所述,best-flutter-ui-templates 提供了丰富的优质 Flutter UI 模板,帮助开发者快速构建出美观、交互丰富的移动应用界面,并加速开发进度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值