【Android安全】Frida 主动加载apk

已于 2022-10-11 07:54:11 修改
阅读量874 收藏 2
点赞数
分类专栏: 安卓安全 文章标签: android 安全
于 2022-10-10 05:11:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39441603/article/details/127237115
版权

Frida 主动加载apk

最近遇到一个app,该app会动态加载assets目录下的apk文件,之后再通过反射调用apk的dex中的类的方法。

我想hook动态加载的类的方法,所以需要切换到对应的loader(参考:https://blog.csdn.net/qq_39441603/article/details/126732909);
但是,如果直接切换loader并hook类的方法,由于apk未被加载,会报错提示类不存在(TypeError: cannot read property ‘overload’ of undefined)。

如果等待app自己去加载apk中的dex,确实是可以hook,但是app自己加载完dex之后,我想hook的方法已经被调用完了,hook就没意义了。

所以需要用Frida去主动加载apk,代码示例如下:

jscode = """
Java.perform(function () {

    // 主动加载apk
    var DEXCL = null
    var DEXFactory = null
    function loadAPK(path) {
        var ActivityThread = Java.use("android.app.ActivityThread");
        var app = ActivityThread.currentApplication();
        Java.classFactory.cacheDir = "/data/data/" + app.getPackageName() + "/cache";
        Java.classFactory.codeCacheDir = "/data/data/" + app.getPackageName() + "/code_cache";
        var DexClassLoader = Java.use("dalvik.system.DexClassLoader");
        DEXCL = DexClassLoader.$new(path, Java.classFactory.codeCacheDir, null, DexClassLoader.getSystemClassLoader());
        DEXFactory = Java.ClassFactory.get(DEXCL);
        DEXFactory.cacheDir = "/data/data/" + app.getPackageName() + "/cache";
        DEXFactory.codeCacheDir = "/data/data/" + app.getPackageName() + "/code_cache";
    }

// 这里为了简便直接硬编码了apk路径,其实可以通过 enumerateClassLoaders找class获取到apk路径   
loadAPK('/data/user_de/0/com.google.android.gms/app_chimera/m/00000009/CronetDynamite.apk');


    Java.enumerateClassLoaders({
        onMatch: function (loader) {
            try {
                // cronet apk contains class: org.chromium.net.AndroidNetworkLibrary
                if (loader.findClass("org.chromium.net.AndroidNetworkLibrary")) {
                    // should be: /data/user_de/0/com.google.android.gms/app_chimera/m/00000009/CronetDynamite.apk
                    if (loader.toString().indexOf("CronetDynamite") != -1) {
                        Java.classFactory.loader = loader;
                        send("loader: " + loader);
                        // console.log(loader);
                    }

                }
            } catch (error) {

            }
        }, onComplete: function () {
        }
    });

    // android.net.http.X509TrustManagerExtensions.checkServerTrusted(java.security.cert.X509Certificate[], java.lang.String, java.lang.String) : java.util.List

    var class_name = 'android.net.http.X509TrustManagerExtensions';
    var DymClass = DEXFactory.use(class_name);

    const ArrayList = Java.use("java.util.ArrayList");
    DymClass.checkServerTrusted.overload('[Ljava.security.cert.X509Certificate;', 'java.lang.String', 'java.lang.String').implementation = function (arg1, arg2, arg3) {

        var bt = Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new());
        if (bt.indexOf("dh.a") != -1) {
            // if (1) {
            console.log("Backtrace:" + bt);

            send('orin arg1 : ' + arg1);
            send('orin arg2 : ' + arg2);
            send('orin arg3 : ' + arg3);

            const res = ArrayList.$new();
            for (let cert of arg1) {
                res.add(cert);
            }
            return res;
        }
        return this.checkServerTrusted(arg1, arg2, arg3);
    }
});

"""

参考:http://www.manongjc.com/detail/23-ufhpuglczgmhgxs.html

Jouzzy
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FRIDA_GADGET_2_APK_ONE_SCRIPT
haiw2的博客
09-14 197
编译、注入FRIDA-GADGET、反编译、密钥库生成、签名一站式脚本,拒绝频繁操作,拒绝纷杂的网络资料 可在文章末尾的 给特 和 码云 下载脚本哦` 1.1 介绍 1. 使用基础的FRIDA已经被移动端常见的APP给识别监听与扼杀 2. 关于APK编译、反编译、签名、密钥库生成网上资料很多很杂,难辩别真伪,本人也是屡次入坑 3. 目前关于FRIDA-GADGET的教程比较少,且官网的介绍也让我似懂非懂。 4. 本人对JAVA、SMALI语言的掌握不是很好,故着手于Python-Frida 1.2 项目功
Frida spawn 启动app
小龙在线
12-25 7977
有一些方法在系统启动时被调用,如获取系统参数配置System.getProperty、环境变量System.getenv。为了尽早Hook到函数,需要用spawn模式启动app。 启动方法是-f参数,如frida -U --no-pause -f com.xx.messenger -l hook.js。 function hook_java() { Java.perform(function () { var System = Java.use("java.lang.System")
使用APK进行Frida注入,免电脑联机麻烦,批量解决更新脚本或frida麻烦
专注安卓前沿科技
03-18 4059
代码来源于,本文记录其实现过程 https://github.com/iGio90/FridaAndroidInjector 我们平时测试最多的是使用android端的server + 电脑端的frida-tools结合使用注入脚本到进程,这是开发最方便的。 使用frida-inject可以直接脱离frida-tools或者python绑定,注入脚本到进程。 如下图,看下help参数。 而server参数是通过socket端口监听与frida-tools通讯的。 参数如下: 摘取apk端重要注入代码如
使用Frida渗透Android app
TronX
10-15 5610
原文链接1.Frida简介 在之前这篇博客中,Rohit Salecha指导渗透新手如何使用Frida审计Android应用程序以挖掘漏洞。 任何应用程序的审计都无法离开逆向工程得以完成,这篇文章主要关注使用一种叫做Frida的工具来在运行时动态修改应用程序的行为的实施方法。 在某些情况下,修改Android应用程序的行为是可取的,比如禁用指纹验证等应用程序的某些敏感功能,或
Frida遍历启动App所有Activity/Service
zhu6201976的博客
06-28 1772
那么,如果给定任意App,在不反编译的前提下,如何获取并自动化批量遍历启动App所有Activity或Service?
Frida两种操作模式和操作APP的两种方式
小龙在线
09-01 2385
Frida两种操作模式 操作模式 说明 CLI命令行 Javascript脚本注入进程 RPC Python进行Javascript脚本注入 Frida操作APP的两种方式 方式名称 方式说明 CLI下启动方式 spwan 将启动APP的权利交由Frida来控制。不管APP是否启动,都会重新启动APP。 -f参数指定包名 attach 建立在目标APP已经启动的情况下,Frida通过ptrace注入程序从而执行Hook的操作 不加-f参数 ...
Androidfrida注入检测的demo
08-14
Androidfrida注入检测的demo,端口检测,libc检测。
frida server android x86-64
05-10
frida server android x86_64 frida 相对应的server版本:(注意要跟frida的版本一致) 解压缩之后使用 Frida 分为客户端和服务端。 客户端:PC(控制端) 服务器:手机设备(被控制端) 客户端编写的 Python 代码...
frida server android arm
最新发布
05-10
frida server android arm frida 相对应的server版本:(注意要跟frida的版本一致) 解压缩之后使用 Frida 分为客户端和服务端。 客户端:PC(控制端) 服务器:手机设备(被控制端) 客户端编写的 Python 代码,...
frida server android x86
05-09
frida server android x86 frida 相对应的server版本:(注意要跟frida的版本一致) 解压缩之后使用 Frida 分为客户端和服务端。 客户端:PC(控制端) 服务器:手机设备(被控制端) 客户端编写的 Python 代码,...
frida server android arm64
05-09
frida server android arm64 frida 相对应的server版本:(注意要跟frida的版本一致) 解压缩之后使用 Frida 分为客户端和服务端。 客户端:PC(控制端) 服务器:手机设备(被控制端) 客户端编写的 Python 代码,...
Frida安装与apk脱壳脚本使用
qq_30441857的博客
12-31 998
Frida 是一款基于 Python + JavaScript的 Hook 与调试框架,可运行在Win、Mac、Linux、Android、iOS等平台它是一款易用的跨平台Hook工具,主要被用作动态二进制插桩技术。
AndroidFrida框架完全使用指南
鬼手的博客
10-20 1万+
文章目录Frida简介环境搭建python安装与虚拟环境配置Frida安装配置代码提示Server环境配置Frida Hook执行HOOKJava层hookHook普通方法重载方法构造方法修改类字段hook内部类和匿名类枚举所有类和方法hook动态加载的DexClassNative层hookhook有导出函数hook无导出函数 Frida简介 Frida是一款基于Python + JavaScript 的hook框架,本质是一种动态插桩技术。可以用于Android、Windows、iOS等各大平台,其执行脚
[原创]安卓复制assets目录下的文件及文件夹(1)
findsafety的专栏
11-25 2346
声明:本博客带有[原创]标志的均为原创文章,转载时请注明出处http://blog.sina.com.cn/felonwan并声明作者felonwan。 参考资料: http://android.9tech.cn/news/2013/1125/38867.html http://my.oschina.net/haquanwen/blog/54746
看雪3万课程笔记-FRIDA高级API实用方法:主动调用so函数
kfyzjd2008的博客
05-17 2109
一、简介: 本节为延伸内容, 本节使用APP为攻防世界: APP漏洞第二题.apk 二、实战: 1、jadx-gui 打开,查看 MainActivity 定位关键代码: 来到SecondActivity类 导出窗口直接搜索doRawData,.mytext 代码无法F5 查看伪代码,选中代码下拉后按P 解析成函数。 箭头处为秘钥, 此时我们 根据java层的if对比"VEIzd/V2UPYNdn/bxH3Xig==" 进行解密得出:aimagetencent 但这并不是我..
[解决]“TypeError: Cannot read property ‘xxx‘ of undefined“
m0_64838460的博客
11-18 1万+
错误解决。
TypeError: Cannot read property 'xxxx' of undefined的解决方法
热门推荐
静幽水
10-12 9万+
TypeError: Cannot read property ‘length’ of undefined
小程序循序给对象赋值时报Cannot read property 'xxx' of undefined解决方法!!
Kamto
12-01 4万+
一、错误重现 1、我在wx:request的success函数中拿到的数据结构如下: 2、data为接口成功返回数据的名字,代码逻辑如下:             3、如何解决: 这个页面我当时开发完没有任何问题可以正常跑,突然报这个错误让我一时摸不到头脑,我先是查阅了小程序对es6语法的支持,后来以为小程序不能直接给对象直接赋值,需要向thi.setData()一样使用特定的函数,...
出现Cannot read property 'entry' of undefined错误的处理方法
alifj9932的博客
08-26 1541
var path = require("path"); var htmlWebpackPlugin = require("html-webpack-plugin"); module.exports = { entry: { main: './src/script/main.js', a: './src/script/a.js', ...
androidfrida
01-06
Android是一种流行的移动操作系统,Frida是一个用于应用程序逆向和动态分析的强大工具。AndroidFrida是指针对FridaAndroid应用程序上的使用进行防护和逆向分析。 Android应用程序可以使用各种技术来防止Frida的使用,例如应用程序可以检测Frida的存在并采取相应措施,或者加密和混淆应用程序的代码以使Frida难以进行动态分析。 另外,开发人员还可以选择使用其他安全工具和技术来增强对抗Frida的能力,例如使用代码混淆和应用程序加固技术来改变应用程序的代码结构,使其对于Frida的动态分析变得更加困难。 除了防止Frida的使用外,Android应用程序还可以采取其他安全措施来提高应用程序的安全性,例如使用安全网络通信协议,实施权限管理和安全认证控制等。 总的来说,AndroidFrida是指针对FridaAndroid应用程序上的使用进行防护和提高应用程序安全性的一系列技术和措施。这些技术和措施可以帮助开发人员保护应用程序的安全性,防止恶意攻击者利用Frida等工具对应用程序进行恶意操作和逆向分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值