【Android安全】Frida 复制任意类型对象数组 | 处理对象数组

已于 2022-10-17 20:38:08 修改
阅读量2.2k 收藏 1
点赞数
分类专栏: 安卓安全 文章标签: android 安全 java
于 2022-10-16 08:31:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39441603/article/details/127343564
版权

Frida 复制任意类型对象数组

需求是,第一次hook到一个方法的参数,类型是任意类型的数组([Ljava.security.cert.X509Certificate;);第二次hook到一个方法,要将之前hook到的数组赋给其参数。

复制参数可以使用Java.retain(obj),但由于Frida不认为对象数组是java.lang.Object对象(参考https://bbs.pediy.com/thread-261052-1.htm),所以对整个[Ljava.security.cert.X509Certificate;调用Java.retain是不行的,报错如下:

{‘type’: ‘error’, ‘description’: ‘TypeError: not a function’, ‘stack’: ‘TypeError: not a function\n at retain (frida/node_modules/frida-java-bridge/lib/class-factory.js:123)\n at retain (frida/node_modules/frida-java-bridge/index.js:267)\n at (/script1.js:79)\n at apply (native)\n at ne (frida/node_modules/frida-java-bridge/lib/class-factory.js:620)\n at (frida/node_modules/frida-java-bridge/lib/class-factory.js:598)’, ‘fileName’: ‘frida/node_modules/frida-java-bridge/lib/class-factory.js’, ‘lineNumber’: 123, ‘columnNumber’: 1}

取而代之,可以对数组的每个元素进行Java.retain,再将它们组装回数组。

代码如下:

jscode = """
setImmediate(function() {
Java.perform(function () {

    // 主动加载apk
    var DEXCL = null
    var DEXFactory = null
    function loadAPK(path){
        var ActivityThread = Java.use("android.app.ActivityThread");
        var app = ActivityThread.currentApplication();
        Java.classFactory.cacheDir = "/data/data/" + app.getPackageName() + "/cache";
        Java.classFactory.codeCacheDir = "/data/data/" + app.getPackageName() + "/code_cache";
        var DexClassLoader = Java.use("dalvik.system.DexClassLoader");
        DEXCL = DexClassLoader.$new(path, Java.classFactory.codeCacheDir, null, DexClassLoader.getSystemClassLoader());
        DEXFactory = Java.ClassFactory.get(DEXCL);
        DEXFactory.cacheDir = "/data/data/" + app.getPackageName() + "/cache";
        DEXFactory.codeCacheDir = "/data/data/" + app.getPackageName() + "/code_cache";
    }

    loadAPK('/data/user_de/0/com.google.android.gms/app_chimera/m/00000009/CronetDynamite.apk');


    Java.enumerateClassLoaders({
        onMatch: function (loader) {
            try {
                // cronet apk contains class: org.chromium.net.AndroidNetworkLibrary
                if (loader.findClass("org.chromium.net.AndroidNetworkLibrary")) {
                    // should be: /data/user_de/0/com.google.android.gms/app_chimera/m/00000009/CronetDynamite.apk
                    if (loader.toString().indexOf("CronetDynamite") != -1) {
                        Java.classFactory.loader = loader;
                        send("loader: " + loader);
                        // console.log(loader);
                    }
                    
                }
            } catch (error) {

            }
        }, onComplete: function () {
        }
    });

    Java.deoptimizeEverything();
    
    // android.net.http.X509TrustManagerExtensions.checkServerTrusted(java.security.cert.X509Certificate[], java.lang.String, java.lang.String) : java.util.List

	var class_name = 'android.net.http.X509TrustManagerExtensions';
	// var DymClass = Java.use(class_name);
    var DymClass = DEXFactory.use(class_name);

    var time = 0;

    var ArrayX509Certificate = Java.array("Ljava.security.cert.X509Certificate;",[]);
    var tempArg0;
    var tempArg1;
    var tempArg2;

	DymClass.checkServerTrusted.overload('[Ljava.security.cert.X509Certificate;', 'java.lang.String', 'java.lang.String').implementation = function (arg1,arg2,arg3)
	{
        var bt = Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new());
        if(bt.indexOf("dh.a") != -1 && arg3.indexOf("www.googleapis.com") != -1) {
        // if (1) {
            send('hooked');
            console.log("Backtrace:" + bt);

            send('orin arg1 : ' + arg1);
            send('orin arg2 : ' + arg2);
            send('orin arg3 : ' + arg3);
            
            // 1st time
            if(time==0){
                send('1st time ');
                time = time + 1;

                var retval = this.checkServerTrusted(arg1,arg2,arg3);

                // store arg1
                send('orin arg1[0] : ' + arg1[0]);
                send('orin arg1[1] : ' + arg1[1]);
                send('orin arg1[2] : ' + arg1[2]);
                
                tempArg0 = Java.retain(arg1[0]);
                tempArg1 = Java.retain(arg1[1]);
                tempArg2 = Java.retain(arg1[2]);

                return retval;
            }

            // 2nd time
            if (time==1) {
                send('2nd time ');
                ArrayX509Certificate = [tempArg0,tempArg1,tempArg2];
                send('new arg1 : ' + ArrayX509Certificate);
                return this.checkServerTrusted(ArrayX509Certificate,arg2,arg3);
            }
        }
        else{
            return this.checkServerTrusted(arg1,arg2,arg3);
        }
		
        
	}

});

});

 function byteToString(arr) {
	if(typeof arr === 'string') {
		return arr;
	}
	var str = '',
		_arr = arr;
	for(var i = 0; i < _arr.length; i++) {
		var one = _arr[i].toString(2),
			v = one.match(/^1+?(?=0)/);
		if(v && one.length == 8) {
			var bytesLength = v[0].length;
			var store = _arr[i].toString(2).slice(7 - bytesLength);
			for(var st = 1; st < bytesLength; st++) {
				store += _arr[st + i].toString(2).slice(2);
			}
			str += String.fromCharCode(parseInt(store, 2));
			i += bytesLength - 1;
		} else {
			str += String.fromCharCode(_arr[i]);
		}
	}
	return str;
}

function utf8ByteToUnicodeStr(utf8Bytes){
    var unicodeStr ="";
    for (var pos = 0; pos < utf8Bytes.length;){
        var flag= utf8Bytes[pos];
        var unicode = 0 ;
        if ((flag >>>7) === 0 ) {
            unicodeStr+= String.fromCharCode(utf8Bytes[pos]);
            pos += 1;

        } else if ((flag &0xFC) === 0xFC ){
            unicode = (utf8Bytes[pos] & 0x3) << 30;
            unicode |= (utf8Bytes[pos+1] & 0x3F) << 24;
            unicode |= (utf8Bytes[pos+2] & 0x3F) << 18;
            unicode |= (utf8Bytes[pos+3] & 0x3F) << 12;
            unicode |= (utf8Bytes[pos+4] & 0x3F) << 6;
            unicode |= (utf8Bytes[pos+5] & 0x3F);
            unicodeStr+= String.fromCharCode(unicode) ;
            pos += 6;

        }else if ((flag &0xF8) === 0xF8 ){
            unicode = (utf8Bytes[pos] & 0x7) << 24;
            unicode |= (utf8Bytes[pos+1] & 0x3F) << 18;
            unicode |= (utf8Bytes[pos+2] & 0x3F) << 12;
            unicode |= (utf8Bytes[pos+3] & 0x3F) << 6;
            unicode |= (utf8Bytes[pos+4] & 0x3F);
            unicodeStr+= String.fromCharCode(unicode) ;
            pos += 5;

        } else if ((flag &0xF0) === 0xF0 ){
            unicode = (utf8Bytes[pos] & 0xF) << 18;
            unicode |= (utf8Bytes[pos+1] & 0x3F) << 12;
            unicode |= (utf8Bytes[pos+2] & 0x3F) << 6;
            unicode |= (utf8Bytes[pos+3] & 0x3F);
            unicodeStr+= String.fromCharCode(unicode) ;
            pos += 4;

        } else if ((flag &0xE0) === 0xE0 ){
            unicode = (utf8Bytes[pos] & 0x1F) << 12;;
            unicode |= (utf8Bytes[pos+1] & 0x3F) << 6;
            unicode |= (utf8Bytes[pos+2] & 0x3F);
            unicodeStr+= String.fromCharCode(unicode) ;
            pos += 3;

        } else if ((flag &0xC0) === 0xC0 ){ //110
            unicode = (utf8Bytes[pos] & 0x3F) << 6;
            unicode |= (utf8Bytes[pos+1] & 0x3F);
            unicodeStr+= String.fromCharCode(unicode) ;
            pos += 2;

        } else{
            unicodeStr+= String.fromCharCode(utf8Bytes[pos]);
            pos += 1;
        }
    }
    return unicodeStr;
}

"""
Jouzzy
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
正确解决TypeError: xxx is not a function异常的有效解决方法
wbajsjhhhhh的博客
05-03 9453
正确解决TypeError: xxx is not a function异常的有效解决方法
JavaScript
weixin_52545652的博客
06-14 624
学习js的笔记
JS报错-TypeError: xxx is not a function
热门推荐
LiveviL的博客
07-18 8万+
在今天的工作中,有个勾选框的onchage事件绑定的函数明明有实现。但是触发时,一直报错TypeError: xxx is not a function。一直以为是错误Uncaught ReferenceError: aa is not defined,但是错误提示有不一样。仔细对比2个错误,is not defined是说这个类型没有定义。is not a function是说这个类型不是fun...
TypeError: "x" is not a function
qq_44549134的博客
05-28 2553
错误类型 TypeError 哪里出错了? 问题出在你试图去调用一个像函数一样的值,但是该值实际上不是函数,有时候你的代码需要调用一些函数,但是那种值并不能当作函数来被调用。 也许函数名称上有错别字? 也许你正在调用Object对象没有这个方法? 例如,在JavaScript中单纯的对象(Object)没有map函数,但是JavaScript数组(Array)对象却有这个函数。 在比如,在Java...
frida hook java和so层函数常用脚本
寒梅独自开
01-18 4871
逆向时用frida hook java层相对比较简单,找准hook点用objection就行!或则自己写脚本hook java常见的加密/编码也很简单,核心原因就是类名、函数名称得以保留,逆向人员能快速定位!java层常见的加密/编码hook脚本这里有:https://www.cnblogs.com/theseventhson/p/14852458.html ; java层的解决了? so层怎么办了? 因为so层用c/c++写的,编译后的release版本把变量名、函数名都去掉了,加密/编码算法单从名称上.
Frida常见错误解决方案
C端业务攻城狮
04-06 553
frida常见错误解决方案
Androidfrida注入检测的demo
08-14
因此,了解并实施AndroidFrida注入检测技术对于保护应用安全至关重要。 本"Androidfrida注入检测的demo"展示了如何在Android应用中实现针对Frida的防护策略。主要包含了端口检测和libc检测两个关键部分。 端口...
Android应用安全实战:Frida协议分析.docx
09-13
Android 应用安全实战:Frida 协议分析 Android 应用安全是目前智能手机安全中最重要的问题之一。随着智能手机的普及,Android 应用安全问题越来越受到关注。Android 应用安全不仅关系到用户的隐私和财产安全,还...
frida server android x86-64
05-10
frida server android x86_64 frida 相对应的server版本:(注意要跟frida的版本一致) 解压缩之后使用 Frida 分为客户端和服务端。 客户端:PC(控制端) 服务器:手机设备(被控制端) 客户端编写的 Python 代码...
frida gadget 16.3.3 android x86
最新发布
06-13
Frida 的 Gadget 是一个共享库,用于在注入操作模式不适用时由程序加载以进行检测。 这可以通过多种方式完成,例如: 修改程序的源代码 修补程序或其库之一,例如通过使用 insert_dylib 之类的工具 使用动态链接器...
frida反射调用对象中的方法与字段.pdf
12-09
该篇文章主要介绍当我们碰到参数或者返回值是一个对象时,如何通过frida反射调用该对象的方法(methods)与获取该对象的字段(fields)。感兴趣的朋友可以下载下来看看,了解了解
TypeError: xxx is not a function异常的解决方案
2301_79779756的博客
05-10 8380
JavaScript编程中,TypeError: xxx is not a function是一个常见的运行时错误。这个错误表明你尝试调用的xxx并不是一个函数,但你的代码却以函数的方式去调用了它。这通常是因为变量xxx没有被正确地定义为一个函数,或者它被赋予了非函数的值。
TypeError: xxx is not a function
lzc2644481789的博客
10-18 1万+
一、问题描述: 1.在使用按钮监听一个事件的时候,出现了如下图的错误提示: 又是这个"xxx is not a function",这种错误还是会常见到的,经过一顿排查,最后发现是methods写成了method,改一下即可解决,当然也有可能是别的原因。。。这里我只是记录一下。 ...
system.arraycopy() 参数详解
橘生淮南
02-15 878
system.arraycopy() 参数详解
浏览器报TypeError: Object(...) is not a function的解决方法
sinat_40988345的博客
04-26 2万+
今天调试的时候浏览器报错——TypeError: Object(...) is not a function,通过检查代码发现没有问题,通过排查是vue-router的版本引用错误。 原因:因为自己使用的vue2.x,vue2.x不能使用4.x版本vue-router,因此导致上面的错误。4.x版本的vue-router只能在3.x版本的vue中使用。 解决办法:vue2.x不能使用4.x版本vue-router,因此卸载vue-router,然后安装3.x版本的vue-router。 操作如下:
Java中retainAll方法使用
qq_46129756的博客
11-17 2951
retainAll()基本使用
Android Kotlin Java list clone 深拷贝简单使用
阿饱同学
04-09 7358
Android Kotlin Java list 深拷贝简单使用
Uncaught TypeError: XXX is not a function的解决方法
m0_54066656的博客
03-13 2万+
Uncaught TypeError: XXX is not a function的解决方法
frida 如何Hook app启动阶段的方法
babytiger的专栏
10-15 3546
frida逆向开发】如何Hook app启动阶段的方法_信息安全交流QQ群:704033610-CSDN博客如何Hook app启动阶段的方法onCreate启动阶段即app没有完全启动起来。正常在hook一个app之前,要将app运行起来才可以进行hook,但是有些时候我们hook的方法是在app启动阶段执行的,该方法在启动阶段执行一次之后在不会执行。我们知道只有在该方法执行的时候才能hook到。那么现在两者冲突了正常hook要在app完全启动之后;该方法只在app启动阶段运行一次;例如:onCreat
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值