猿人学-APP大赛-第一题-Frida初试、调用Java代码

已于 2022-10-06 20:54:15 修改
阅读量703 收藏 2
点赞数
分类专栏: python爬虫 文章标签: 爬虫 java web app
于 2022-10-03 04:38:16 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40734108/article/details/127148696
版权

如何用fiddler抓包参考:https://www.cnblogs.com/JKding233/p/16649489.html

先介绍一些前置知识点和环境配置

Frida 安装和运行

pip3 install frida frida-tools

查看模拟器版本:

adb shell
getprop ro.product.cpu.abi

>>> x86_64

下载对应 frida-server:(小于或等于本地frida版本

image.png

解压到adb文件夹,推到手机里面:

adb push frida-server-15.1.10-android-x86_64 /data/local/tmp/frida-server

启动 frida:

adb shell
su
cd /data/local/tmp
chmod 755 frida-server
./frida-server

配置接口转发,注意每次启动都需要配置:

adb forward tcp:27042 tcp:27042
adb forward tcp:27043 tcp:27043

开启另一个cmd,运行:frida-ps -R,连接成功:

image.png

Frida Python 脚本
hook 脚本示例
import frida
import sys

device = frida.get_remote_device()  # adb devices 查看
process = device.attach("猿人学2022")  # 进程名

src = """
function main(){
    console.log("脚本加载成功");
    Java.perform(function() {
        var clazz = Java.use('com.yuanrenxue.match2022.security.Sign');
        clazz.sign.implementation = function() {
            console.log('进入函数内部');
            console.log("参数为:", arguments)
            console.log("结果为:",clazz.sign.apply(this, arguments));
            return clazz.sign.apply(this, arguments);
        }
    });
}
setImmediate(main)
"""


def on_message(message, data):
    if message["type"] == "send":
        print(f"send >>> {message['payload']}")
    else:
        print(message)


script = process.create_script(src)
script.on("message", on_message)
script.load()
sys.stdin.read()
  • 一直没有输出的话,先退出重新启动app,再运行脚本
  • 一直进入不了函数内部的话,可以使用 rpc 的方式
  • 不需要 on_message 也可以打印
rpc 脚本示例
import frida


device = frida.get_remote_device()  # adb devices 查看
process = device.attach("猿人学2022")

rpc_code = """
var result
function main() {
 console.log("Script loded successfully")
 console.log()
    Java.perform(function () {
    	// 主要是修改这里面
        var Sign = Java.use('o00OO.OooO00o')
        console.log("调用函数成功")
        // var sign = Sign.$new()
        // console.log("创建实例成功")
        result = Sign.OooO00o(-274893829204)
        console.log(result)
    })
    return result
}
rpc.exports = {
    main: main
}
"""


def on_message(message, data):
    if message["type"] == "send":
        print(f"send >>> {message['payload']}")
        # bytes2str(message['payload'])
    else:
        print(message)


script = process.create_script(rpc_code)
script.on("message", on_message)
script.load()
result = script.exports.main()
print(result)
  • 看情况是否要创建实例public static 开头的静态函数直接调用就行
题目分析:

登录APP后,显示要强制更新,

http://download.python-spider.com/yuanrenxuem107.apk

那就先把 apk 文件下载到本地,方便后面分析,抓包看一下分析请求

image.png

只有 sign 是变动的,page、t、token 都是一些普通的参数,直接整个文件拖进 jadx 分析,搜索关键词 第一题

很快定位到 com.yuanrenxue.match2022.fragment.challenge.ChallengeOneFragment 这个类,直接搜索 sign

image.png

可以看出,参数主要是 sbstring 再转 bytes 传入的,先用 frida hook 一下sign函数的参数和结果:

image.png

把参数 send 出来,转成字符串,python bytes 列表转字符串方法如下

def bytes2str(ascii_lst):
    string = ''.join(map(chr, ascii_lst))
    print(string)

var clazz = Java.use('com.yuanrenxue.match2022.security.Sign');
clazz.sign.implementation = function() {
    console.log('进入函数内部');
    console.log("参数为:", arguments[0]);
    send(arguments[0]);
    console.log("结果为:",clazz.sign.apply(this, arguments));
    return clazz.sign.apply(this, arguments);
}

on_message 函数改一下:

def on_message(message, data):
    if message["type"] == "send":
        print(f"send >>> {message['payload']}")
        bytes2str(message['payload'])
    else:
        print(f"log >>> {message}")

打印结果:

image.png

可见参数为:page=x 加 时间戳

进入 sign 函数内部,只引入了一个依赖,可以考虑扣 java代码,觉得麻烦的话就直接用rpc,这里两个方案的实现都写一下

image.png

方案一 调用 java 代码

既然要扣代码,就得先解决第三方依赖的问题,看一下调用点:

image.png

传入的是一个长整型数字,结合 String.format() 函数的使用 ,这里很可能是一个固定值,用于字符转换

本来想用 hook,结果死活进不去函数,无奈改用rpc调用的方式,脚本我已经放在上面了,计算结果为:%02x%02x%02x%02x

简单介绍一下,在 java中,String.format("%02X", 11) 就是 11 转 十六进制的意思,不足的部分补0,所以输出:0B

同理 String.format("%03X", 11) 输出 00B

抠出来的java代码如下:

import java.util.ArrayList;

/* compiled from: proguard-dict.txt */
/* loaded from: classes2.dex */
public class Sign {

    /* renamed from: A */
    private static final int f276A = 1732584193;

    /* renamed from: B */
    private static final int f277B = -271733879;

    /* renamed from: C */
    private static final int f278C = -1732584194;

    /* renamed from: D */
    private static final int f279D = 271733878;

    /* renamed from: f */
    private static int m21f(int i, int i2, int i3) {
        return ((~i) & i3) | (i2 & i);
    }

    /* renamed from: ff */
    private static int m20ff(int i, int i2, int i3, int i4, int i5, int i6) {
        return rotateLeft(i + m21f(i2, i3, i4) + i5, i6);
    }

    /* renamed from: g */
    private static int m19g(int i, int i2, int i3) {
        return (i & i3) | (i & i2) | (i2 & i3);
    }

    /* renamed from: gg */
    private static int m18gg(int i, int i2, int i3, int i4, int i5, int i6) {
        return rotateLeft(i + m19g(i2, i3, i4) + i5 + 1518565785, i6);
    }

    /* renamed from: h */
    private static int m17h(int i, int i2, int i3) {
        return (i ^ i2) ^ i3;
    }

    /* renamed from: hh */
    private static int m16hh(int i, int i2, int i3, int i4, int i5, int i6) {
        return rotateLeft(i + m17h(i2, i3, i4) + i5 + 1859775393, i6);
    }

    private ArrayList<Integer> padding(byte[] bArr) {
        long length = bArr.length * 8;
        ArrayList<Integer> arrayList = new ArrayList<>();
        for (byte b : bArr) {
            arrayList.add(Integer.valueOf(b));
        }
        arrayList.add(128);
        while (((arrayList.size() * 8) + 64) % 512 != 0) {
            arrayList.add(0);
        }
        for (int i = 0; i < 8; i++) {
            arrayList.add(Integer.valueOf((int) ((length >>> (i * 8)) & 255)));
        }
        return arrayList;
    }

    private static int rotateLeft(int i, int i2) {
        return (i >>> (32 - i2)) | (i << i2);
    }

    public String sign(byte[] bArr) {
        ArrayList<Integer> padding = padding(bArr);
        int i = f276A;
        int i2 = f277B;
        int i3 = f278C;
        int i4 = f279D;
        for (int i5 = 0; i5 < padding.size() / 64; i5++) {
            int[] iArr = new int[16];
            for (int i6 = 0; i6 < 16; i6++) {
                int i7 = (i5 * 64) + (i6 * 4);
                iArr[i6] = (padding.get(i7 + 3).intValue() << 24) | padding.get(i7).intValue() | (padding.get(i7 + 1).intValue() << 8) | (padding.get(i7 + 2).intValue() << 16);
            }
            int[] iArr2 = {0, 4, 8, 12};
            int i8 = i;
            int i9 = i2;
            int i10 = i3;
            int i11 = i4;
            int i12 = 0;
            while (i12 < 4) {
                int i13 = iArr2[i12];
                i8 = m20ff(i8, i9, i10, i11, iArr[i13], 3);
                int m20ff = m20ff(i11, i8, i9, i10, iArr[i13 + 1], 7);
                i10 = m20ff(i10, m20ff, i8, i9, iArr[i13 + 2], 11);
                i9 = m20ff(i9, i10, m20ff, i8, iArr[i13 + 3], 19);
                i12++;
                i11 = m20ff;
            }
            int[] iArr3 = {0, 1, 2, 3};
            int i14 = i8;
            int i15 = i11;
            for (int i16 = 0; i16 < 4; i16++) {
                int i17 = iArr3[i16];
                i14 = m18gg(i14, i9, i10, i15, iArr[i17], 3);
                i15 = m18gg(i15, i14, i9, i10, iArr[i17 + 4], 5);
                i10 = m18gg(i10, i15, i14, i9, iArr[i17 + 8], 9);
                i9 = m18gg(i9, i10, i15, i14, iArr[i17 + 12], 13);
            }
            int[] iArr4 = {0, 2, 1, 3};
            int i18 = i14;
            int i19 = 0;
            while (i19 < 4) {
                int i20 = iArr4[i19];
                int m16hh = m16hh(i18, i9, i10, i15, iArr[i20], 3);
                i15 = m16hh(i15, m16hh, i9, i10, iArr[i20 + 8], 9);
                i10 = m16hh(i10, i15, m16hh, i9, iArr[i20 + 4], 11);
                i9 = m16hh(i9, i10, i15, m16hh, iArr[i20 + 12], 15);
                i19++;
                i18 = m16hh;
            }
            i += i18;
            i2 += i9;
            i3 += i10;
            i4 += i15;
        }
        return String.format("%02x%02x%02x%02x", Integer.valueOf(i), Integer.valueOf(i2), Integer.valueOf(i3), Integer.valueOf(i4));
    }
}

有一个地方需要注意,int length = bArr.length * 8 替换为 long length = bArr.length * 8

jpype的使用,上面有介绍,可以比对 hook结果进行验证

我这里就直接上爬虫脚本了

# -*- coding: utf-8 -*-
# time: 2022/10/1 13:44
# author: Chen

import requests
import jpype

jvm_path = jpype.getDefaultJVMPath()
jpype.startJVM(jvm_path, "-ea", "-Dfile.encoding=utf-8", convertStrings=True)
JDClass = jpype.JClass("Sign")
javaInstance = JDClass()

# jpype.shutdownJVM()
results = []
for page in range(1, 101):
    token_url = "https://appmatch.yuanrenxue.com/time?token=MuuqC7kHE79hZhN3L3Ip3u2e1jp%252BgLY1V2S1%252FKWTbpYZMqchIHNxll%252BE06%252BEuHQ5"
    resp_json = requests.get(token_url).json()
    ts = resp_json["time"]
    raw_sign = f"page={page}{ts}"
    url = "https://appmatch.yuanrenxue.com/app1"
    data = {
        "page": page,
        "sign": javaInstance.sign(raw_sign.encode()),
        "t": ts,
        "token": "MuuqC7kHE79hZhN3L3Ip3u2e1jp gLY1V2S1/KWTbpYZMqchIHNxll E06 EuHQ5"
    }
    resp_json = requests.post(url, data=data).json()
    num_lst = [int(d['value'].strip()) for d in resp_json["data"]]
    print(f"第 {page} 页:", num_lst)
    results.extend(num_lst)

print("100页面总和为:", sum(results))

运行结果:

image.png

方案二 Frida rpc

参考:https://www.cnblogs.com/JKding233/p/16649489.html 原理就不多介绍了,主要是把sign函数暴露出来

# -*- coding: utf-8 -*-
# time: 2022/10/1 14:29
# author: Chen

import frida
import requests


rpc_code2 = """
var bArr
var result
function main(bArr) {
    console.log("Script loded successfully")
    console.log(bArr)
    Java.perform(function () {
        var Sign = Java.use('com.yuanrenxue.match2022.security.Sign')
        console.log("调用函数成功")
        var instance = Sign.$new()
        console.log("创建实例成功")
        result = instance.sign(bArr)
        console.log(result)
    })
    return result
}
rpc.exports = {
    main: main
}
"""

device = frida.get_remote_device()  # adb devices 查看
process = device.attach("猿人学2022")
script = process.create_script(rpc_code2)
script.load()
results = []
for page in range(1, 101):
    token_url = "https://appmatch.yuanrenxue.com/time?token=MuuqC7kHE79hZhN3L3Ip3u2e1jp%252BgLY1V2S1%252FKWTbpYZMqchIHNxll%252BE06%252BEuHQ5"
    resp_json = requests.get(token_url).json()
    ts = resp_json["time"]
    raw_sign = f"page={page}{ts}"
    bArr = [ord(c) for c in raw_sign]
    url = "https://appmatch.yuanrenxue.com/app1"
    data = {
        "page": page,
        "sign": script.exports.main(bArr),
        "t": ts,
        "token": "MuuqC7kHE79hZhN3L3Ip3u2e1jp gLY1V2S1/KWTbpYZMqchIHNxll E06 EuHQ5"
    }
    resp_json = requests.post(url, data=data).json()
    num_lst = [int(d['value'].strip()) for d in resp_json["data"]]
    print(f"第 {page} 页:", num_lst)
    results.extend(num_lst)

print("100页面总和为:", sum(results))

挑战成功

image.png

整个逆向过程花费的时间挺多的,不过总算搞懂了 frida的使用,以后要逆向其他的app就方便多了 😁✨👌

银古_1427
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
猿人2022APP逆向--第五 双向认证
qq_38759383的博客
06-09 719
2022猿人第五app逆向,双向认证
看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Java(三)主动调用静态函数和非静态函数
kfyzjd2008的博客
02-16 2637
本节接上一节课,APP进入第二关。 本节知识点为主动调用静态函数和非静态函数的实现: 观察代码可以发现关键判断点为两个变量的值是否为True,有两个改变值得函数可以调用。 hook代码: function call_FridaActivity2() { //主动调用函数 Java.perform(function () { var FridaActivity2 = Java.use("com.example.androiddemo.Activity.FridaA
猿人APP逆向第一
weixin_49859373的博客
03-17 544
猿人APP逆向第一
精品连载丨安卓 App 逆向课程之五 frida 注入 Okhttp 抓包下篇
静觅
07-26 5075
本篇内容是「肉丝姐教你安卓逆向之 frida 注入 Okhttp 抓包系列的第三篇,建议配合前两篇一起阅读,效果更佳。精品连载丨安卓 App 逆向课程之三 frida 注入 Okhttp...
猿人第一第一
最新发布
zhuangjoo的博客
04-09 1001
可以看出m值重点是_0x57feae这个变量值,那就将断点走到_0x57feae = oo0O0(_0x2268f9['\x74\x6f\x53\x74\x72' + '\x69\x6e\x67']()) + window['\x66']这个赋值的地方,可以看出oo0O0(_0x2268f9['\x74\x6f\x53\x74\x72' + '\x69\x6e\x67']())这部分为‘’ 空字符串,主要是 window['\x66']也就是window.f的值,window.f在哪里定义的呢,不好找啊。
Frida使用小技巧
qq_36514470的博客
08-08 1577
记录习使用frida过程中遇到的问与解决方法,持续更新
深入理解 Frida 中主动调用 Java 方法的 Hook 技术
beidideshu的博客
03-08 1111
此方法接受两个参数,第一个参数是要查找的目标类名,第二个参数是一个包含 onMatch 和 onComplete 回调函数的对象。以下代码展示了如何使用。在动态调试与插桩技术中,Frida 提供了一种强大的能力——通过 Hook 调用 Java 方法,不仅可以被动响应函数触发,还可以实现主动调用。综上所述,无论是静态方法还是实例方法,在 Frida 中进行主动调用都具有较高的灵活性,可以根据实际应用场景选择适合的方式来高效地执行目标方法。首先,对于静态方法的主动调用,我们需定位到目标类并直接调用该方法。
猿人2022年App逆向--第七 quic
qq_38759383的博客
06-10 581
QUIC (Quick UDP Internet Connections)是由 Google 从 2013 年开始研究的基于 UDP 的可靠传输协议,它最早的原型是 SPDY + QUIC-Crypto + Reliable UDP,后来经历了 SPDY 转型为 2015 年 5 月 IETF 正式发布的 HTTP/2.0,以及 2016 年 TLS/1.3 的正式发布。2016 年成立,IETF 的 QUIC 标准化工作组启动,考虑到 HTTP/2.0 和 TLS/1.3 的发布,它的核心协议族逐步进化为
猿人2022年App逆向比赛闯关
qq_38759383的博客
06-06 587
猿人2022年App逆向--斩获9道,喜提第7名,再接再厉
hluda-server-16.2.1(魔改版frida)
02-29
frida是一款动态代码插桩工具,它允许开发者在运行时对应用程序进行调试、注入代码和分析。frida的核心功能包括:动态代码修改、API hooking、远程调试等,广泛应用于逆向工程、安全测试和性能分析。然而,原版frida...
frida-server.zip
12-14
Frida-server是一个强大的动态代码插桩工具,广泛应用于安卓逆向工程领域。它作为一个守护进程在目标设备上运行,通过TCP协议与Frida的核心引擎进行交互,允许开发者在运行时对应用程序进行调试、注入代码、修改行为...
frida-server-14.2.18-android-arm64.xz
06-06
frida-server-14.2.18-android-arm64
frida-java-bridge:FridaJava运行时互操作
04-28
frida-java-bridge FridaJava运行时互操作。 该模块与Frida捆绑在一起,并通过名为Java的全局变量公开。运行测试套件依存关系Android SDK平台工具> = 27.0.1 Android NDK r21 相应地配置环境: $ export ANDROID_...
frida-server-16.0.8-android-x86-64
02-07
frida-server-16.0.8-android-x86-64
猿人2022年App逆向--第一 java层加密
qq_38759383的博客
05-22 654
第六,先搞个unidbg看能不能跑起来 加载so是没问的,动态注册函数地址能跑出来,然鹅调用getDeviceId函数就无穷无尽的报错,patch了半天,先放弃这个方法,转成用frida分析,找到核心加密函数再说 so文件扔进ida,简单过一下分析 快捷键g,输入0x49ff4 [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Qlh8LezR-1653216943046)(D:\youdaoyun\qqBF5B470D9BE5B28E891CBD790EE637AD\926
猿人第1(一天搞一个)
m0_37881731的博客
02-22 1117
文章目录前言1. 加密方法1.1 加密寻找1.2 加密内容2. 代码实现2.1 完整版代码2.2 python函数总结2.3 注意 前言 前言已无需多言,干就完事儿了。 今日拿下猿人第1(一天搞一个)js混淆-源码乱码。 不睡也要完成。 1. 加密方法 1.1 加密寻找 F12直接打开,傻眼。 1.2 加密内容 2. 代码实现 2.1 完整版代码 2.2 python函数总结 2.3 注意 ...
Native层和Javafrida打印调用堆栈
kfyzjd2008的博客
09-19 3117
方法2.根据需求修改类名和方法名。二、打印native层调用栈。一、Java层打印调用堆栈。
初识Frida--Android逆向之Java层hook (二)
小猪乔治
06-04 4674
前言 xxxxxxxxxxx 前言 apk的安装与分析 流程分析 hook点分析 JavaScript代码构造与执行 总结 今天继续一个新的示例,同样采用CTF作为例子,难度稍微加大了一点,如果对Frida基本的使用还不是很了解,建议先看看之前的文章初识Frida–Android逆向之Java层hook (一) 文章涉及到的知识点: 灵活运用frida进行java...
java.util.ArrayList
IamOceanKing的博客
07-17 1079
初始化数组容量为10 当add元素后,元素数大于当前容量,则扩充容量:int newCapacity = oldCapacity + (oldCapacity >> 1),即增加原来容量的一半,扩容方法:Arrays.copyOf(elementData, newCapacity); 数组最大容量为Integer.MAX_VALUE
frida主动调用app内的java方法
05-15
Frida是一款强大的动态分析工具,可以在运行中的应用程序中注入脚本,以便监测、修改、甚至是欺骗应用程序的行为。要使用Frida主动调用app内的Java方法,可以按照以下步骤进行: 1. 安装FridaFrida可以在Windows、macOS、Linux等多个平台上使用,你可以根据自己的需求选择相应的安装方式。 2. 下载FridaJava API库:Frida提供了Java API库,可以帮助我们在Frida脚本中直接调用Java方法。 3. 编写Frida脚本:在Frida脚本中,我们可以使用Java API库提供的Java.use()方法来获取需要调用Java类,然后使用call()方法来调用该类中的方法。 4. 注入脚本:使用Frida提供的命令行工具或API,在运行中的应用程序中注入脚本。 以下是一个简单的Frida脚本示例,演示了如何调用Android应用程序中的Java方法: ```javascript Java.perform(function () { // 获取要调用Java类 var targetClass = Java.use("com.example.app.TargetClass"); // 调用Java方法 var result = targetClass.targetMethod("arg1", "arg2"); // 打印返回值 console.log("Result: " + result); }); ``` 在上面的脚本中,我们首先使用Java.use()方法获取了一个名为“TargetClass”的Java类,然后使用该类中的“targetMethod”方法,并传递两个参数“arg1”和“arg2”。最后,我们使用console.log()方法将返回的结果打印到控制台上。 当我们将上述脚本注入到运行中的应用程序中后,就可以看到控制台输出了调用Java方法的结果。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值