Android APP渗透测试(1)-Frida

最新推荐文章于 2024-07-24 10:02:31 发布
最新推荐文章于 2024-07-24 10:02:31 发布
阅读量1w 收藏 3
点赞数
分类专栏: Android
钞sir
本文链接:https://blog.csdn.net/qq_40827990/article/details/105700181
版权

简介

Frida是一个多平台的hook框架,功能强大,不仅可以进行常规的Hook工作,还可以完成内存扫描,脱壳等工作,Frida是Python API,但是是JavaScript调试逻辑,核心是用C编写的,并将Google的V8引擎注入到目标进程中,在这些进程中,JavaScript可以完全访问内存,挂钩函数甚至调用进程内的本机函数来执行;

安装

Frida的安装非常简单,但是Python版本可能需要3.5以上:

pip install frida
pip install frida-tools

如果报错可以下载源码包安装:

  1. 下载frida-tools源码包。
  2. 修改setup.py文件,将prompt-toolkit的版本要求去掉。
  3. sudo python setup.py install

查看frida的版本:
version
然后根据不同平台去下载相应frida-server,根据CPU找到相应的服务器server:
frida_sever

基本框架

Android:

import frida
import sys
def PrintMessage(message,data):
    if(message["type"] == "send"):
        print("[*] var {0}".format(message["payload"]))
    else:
        print(message)

jscode = '''
    Java.perform(function(){
    
});
'''

p = frida.get_usb_device().attach("com.cn.packname")
script = p.create_script(jscode)
script.on('message',PrintMessage)
script.load()
sys.stdin.read()

实例

这里有一个APP,界面内容我们看看就好,但是居然要积分会员:
积分
查壳:
壳
很明显,我们需要先脱壳:脱壳
脱壳脚本:

#-*- coding:utf-8 -*-
# coding=utf-8
import frida
import sys

def PrintMessage(message,data):
    if(message["type"] == "send"):
        print("[*] var {0}".format(message['payload']))
    else:
        print(message)


# 9.0 arm:
arm9 = "_ZN3art13DexFileLoader10OpenCommonEPKhjS2_jRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPKNS_10OatDexFileEbbPS9_NS3_10unique_ptrINS_16DexFileContainerENS3_14default_deleteISH_EEEEPNS0_12VerifyResultE"
# 7.0 arm:
arm7 = "_ZN3art7DexFile10OpenMemoryEPKhjRKNSt3__112basic_stringIcNS3_11char_traitsIcEENS3_9allocatorIcEEEEjPNS_6MemMapEPKNS_10OatDexFileEPS9_"

package = sys.argv[1]
print("dex 导出目录为: /data/data/%s"%(package))
device = frida.get_usb_device()
pid = device.spawn(package)
print("pid: %d"%(pid))
session = device.attach(pid)
src = """
Java.perform(function(){
    var exports = Module.enumerateExportsSync("libart.so");
    for(var i=0;i<exports.length;i++){
        if(exports[i].name == "%s"){
            var openMemory = new NativePointer(exports[i].address);
            }
     }

    Interceptor.attach(openMemory, {
        onEnter: function (args) {
        
            var begin = args[1]
            
            send("magic : " + Memory.readUtf8String(begin))
        
            var address = parseInt(begin,16) + 0x20

            var dex_size = Memory.readInt(ptr(address))

            send("dex_size :" + dex_size)
        
            var file = new File("/data/data/%s/" + dex_size + ".dex", "wb")
            file.write(Memory.readByteArray(begin, dex_size))
            file.flush()
            file.close()

            var send_data = {}
            send_data.base = parseInt(begin,16)
            send_data.size = dex_size
            send(send_data)
        },
        onLeave: function (retval) {
            if (retval.toInt32() > 0) {
            }
        }
    });
});
"""%(arm7,package)

script = session.create_script(src)
script.on("message" , PrintMessage)
script.load()
device.resume(pid)
sys.stdin.read()

然后从/data/data/com.cz.babySister目录拿到dex文件进行分析
pwd
通过分析我们发现逻辑在5617752.dex当中:
支付
我们找到购买积分等的支付逻辑,这里我们可以看到我们可以尝试通过修改oVar.b()的返回值,让他等于9000,看能否内购:

Java.perform(function(){
	var pay = Java.use("com.cz.babySister.alipay.o");
	pay.b.implementation = function(){
		return "9000";
	}
});

查找userinfo之类的类,看看能否修改用户信息,从而修改积分:
userinfo
完整Frida脚本:

import frida
import sys

def PrintMessage(message,data):
    if(message["type"] == "send"):
        print("[*] var {0}".format(message['payload']))
    else:
        print(message)

'''
def PrintMessage(message, data):
    if message['type'] == 'send':
        try:
           print(json.dumps(json.loads(message['payload'].encode('utf8')), sort_keys=True, indent=4, separators=(', ', ': '), ensure_ascii=False))
        except:
            print("[*] {0}".format(message['payload']))
 
 
    elif message['type'] == 'error':
        for i in message:
            if i == "type":
                print("[*] %s" % "error:")
                continue
            if type(message[i]) is str:
                print("[*] %s" %
                      i + ":\n    {0}".format(message[i].replace('\t', '    ')))
            else:
                print("[*] %s" %
                      i + ":\n    {0}".format(message[i]))
    else:
        print(message)
'''

jscode = '''
	Java.perform(function(){
	var pay = Java.use("com.cz.babySister.alipay.o");
	pay.b.implementation = function(){
		return "9000";
	}

	var jifen = Java.use("com.cz.babySister.javabean.UserInfo");
	jifen.getJifen.implementation = function(){
		return "10000";
	}
});
'''

p = frida.get_usb_device().attach("com.cz.babySister")
script = p.create_script(jscode)
script.on('message',PrintMessage)
script.load()
sys.stdin.read()

vip
但是很不幸的是,只样很容易被封号的,封号之后连同android_id会一起被拉黑,如果是模拟器可以换android_id,否则只能用脚本:

var sec = Java.use("android.provider.Settings$Secure");
sec.getString.implementation = function(arg1,arg2){
    return "5c80b60f12f73207";
}

其他脚本

Linux:
函数调用

"""
var add = new NativeFunction(ptr("%s"), 'void', ['int','int']);
add(0,1);
"""%(int(sys.argv[1],16))

函数返回值替换:

"""
    //var st = Memory.allocUtf8String(" I love you!");
    Interceptor.attach(ptr("%s"), {
    onEnter: function(args) {
        send("args[0]: " + args[0].toInt32());
        send("args[1]: " + args[1].toInt32());
    },
    onLeave: function(retval){
        send(retval.toInt32());
        retval.replace("7777");
    }
});
"""%(int(sys.argv[1],16))

Android:
so层string替换:

"""
Java.perform(function(){
   Interceptor.attach(Module.findExportByName("libfridaso.so","Java_com_example_fridasostring_fridaSoString_FridaSo"),{
        onEnter: function(args) {
            send("Hook start");
            send("args[2]=" + args[2]);
        },
        onLeave: function(retval){
            send("return:"+retval);
            var env = Java.vm.getEnv();
            var jstrings = env.newStringUtf("tamper");
            retval.replace(jstrings);
        }
    });
});
"""

so层普通替换:

"""
Java.perform(function(){
    Interceptor.attach(Module.findExportByName("libfridaso.so","Java_com_example_fridaso_FridaSoDefine_FridaSo"),{
        onEnter: function(args) {
            send("Hook start");
            send("args[2]=" + args[2]);
            send("args[3]=" + args[3]);
        },
        onLeave: function(retval){
            send("return:"+retval);
            retval.replace(1234);
        }
    });
});
"""

导入导出表:

Java.perform(function(){
    var imports = Module.enumerateImportsSync(""libhello.so"");
    for(var i = 0; i < imports.length; i++) {
        if(imports[i].name == 'strncat'){
            send(imports[i].name + "": "" + imports[i].address);
            break;
        }
    }
    var exports = Module.enumerateExportsSync(""libhello.so"");
    for(var i = 0; i < exports.length; i++) {
        if(exports[i].name.indexOf('add') != -1){
            send(exports[i].name + "": "" + exports[i].address);
            break;
        }
    }
    for(var i = 0; i < imports.length; i++) {
            send(imports[i].name + "": "" + imports[i].address);
        }
        var exports = Module.enumerateExportsSync(""libhello.so"");
        for(var i = 0; i < exports.length; i++) {
                send(exports[i].name + "": "" + exports[i].address);
    }
});

HOOK Linux API:

var pro_addr = Module.findBaseAddress('re');
var show_addr = Number(pro_addr) + Number(0x6f0);
var exports = Module.enumerateExportsSync("/lib/x86_64-linux-gnu/libc.so.6");
   for(var i=0;i<exports.length;i++){
	if(exports[i].name == "printf"){
		var printf_addr = exports[i].address;
		send("name: "+exports[i].name+"  address: "+exports[i].address);
	}
   }
send("pro_addr: " + pro_addr);
send("show_addr: 0x" + show_addr.toString(16));
send("printf: " + printf_addr);

var st1 = Memory.allocUtf8String("I_Love_You %s!");
var st2 = Memory.allocUtf8String("sir");
Interceptor.attach(ptr(printf_addr),{
   onEnter: function(args) {
   		args[0] = ptr(st1);
        args[1] = ptr(st2);
   }
});

无线连接时附加:

# server
frida-server -l 192.168.56.101

host = '192.168.2.101'
manager = frida.get_device_manager()
remote_device = manager.add_remote_device(host)
p = remote_device.attach("re")
钞sir
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
FridaContainer:FridaContainer 整合了网上流行的和自己编写的常用的 frida 脚本,为逆向工作提效之用。 frida 脚本模块化,Java & Jni Trace
04-12
FridaContainer FridaContainer 整合了网上流行的和自己编写的常用的 frida 脚本,为逆向工作提效之用。 npm build 后,用 Pycharm 打开编辑,可以看到 frida api 代码补全提示。 1. 编译和使用 1.1 源码直接使用【推荐】 需要根据自己的需求修改 index.ts,编写实际操作内容。 使用 index.ts 入口方式可以按照以下方式编译和调用。 $ git clone https://github.com/deathmemory/FridaContainer.git $ cd FridaContainer/ $ npm install ## after edit index.ts $ npm run build $ frida -U -f com.example.android --no-pause -l _fcagent.js
使用Frida渗透Android app
TronX
10-15 5741
原文链接1.Frida简介 在之前这篇博客中,Rohit Salecha指导渗透新手如何使用Frida审计Android应用程序以挖掘漏洞。 任何应用程序的审计都无法离开逆向工程得以完成,这篇文章主要关注使用一种叫做Frida的工具来在运行时动态修改应用程序的行为的实施方法。 在某些情况下,修改Android应用程序的行为是可取的,比如禁用指纹验证等应用程序的某些敏感功能,或
移动端渗透测试解决方案
2301_80127209的博客
07-24 1074
最近在做移动应用方向的渗透测试,实际操作过程中有非常多的麻烦以前是没注意到的,所以今天仔细总结一下有关移动应用的渗透测试一些问题的解决方案。我将从移动应用服务端和客户端(包括Android和ios)进行讲述。
frida hook so层常用的方法
菜鸡小白的成长记录
03-06 4707
在onEnter回调函数中,我们使用Module.findExportByName()函数查找了目标进程中存储配置信息的全局变量的地址,然后使用readCString()方法读取了该地址所指向的字符串。在这个例子中,我们钩住了名为"decrypt"的解密函数,并从函数参数中获取了一个指向加密数据的指针,以及数据的长度。在onEnter回调函数中,我们从函数参数中获取了一个指向字符串的指针,并使用Memory.readCString()方法从目标进程中读取了该指针所指向的C风格字符串,并将其打印到控制台上。
frida的用法--Hook Java代码篇
孩子眼里的钢铁侠&每天进步一点点
11-25 6698
frida是一款方便并且易用的跨平台Hook工具,使用它不仅可以Hook Java写的应用程序,而且还可以Hook原生的应用程序。 1. 准备 frida分客户端环境和服务端环境。在客户端我们可以编写Python代码,用于连接远程设备,提交要注入的代码到远程,接受服务端的发来的消息等。在服务端,我们需要用Javascript代码注入到目标进程,操作内存数据,给客户端发送消息等操作。我们也可以把客户端理解成控制端,服务端理解成被控端。 假如我们要用PC来对Android设备上的某个进程进行操作,那么PC就
Frida 过检测通用思路之一
q2919761440的博客
05-24 1365
结合 IDA 分析的关键分支地址去看,前面我们已经怀疑 pool-frida 的判断逻辑了,这里trace 出来以后,只需要搜索一下 pool-frida 判断逻辑的相关地址有没有被打印出来就定位到了,不用一行行去看trace。没什么新鲜的检测点,但奇怪的是明明我的frida 做过去特征,按理说这些点应该都过掉了才对,结果还是被检测然后程序退出了,又回过头反复确认了就是这个检测点无疑,那到底是。过检测一般可以从退出方式入手。知道问题就好办了,在我们给frida 过检测的脚本里把这个字符串替换掉就可以了。
strongR-frida-android:适用于Android的反检测版本的frida-server
03-18
strongR-frida-android 按照上游进行自动修补,并为Android构建反检测版本的frida-server。 跟随FRIDA上游自动修补程序,并为Android构建反检测版本的frida-server。 提示:不要分叉该存储库 补丁 模块 姓名 frida-...
Android 渗透测试 frida——Brida 插件加解密实战演示1
08-03
1、Brida.jar 为 Burpsuite 插件 2、bridaServicePyro 是于 Frida 适配到 burpsuite 上的 python 脚
Android逆向-frida hook 脚本- hook webview
最新发布
08-17
Android逆向-frida hook 脚本- hook webview。 frida hook webview的loadurl方法,获取加载的地址和调用链。 Java.choose 获取到webview的对象,可以主动调用webview的方法。
learning-frida:关于学习如何在Android上使用Frida动态检测工具包的博客
05-12
关于学习如何在Android上使用Frida动态检测工具包的博客 在本地建设Jekyll cd docs bundle exec jekyll serve 有关更多详细信息 更新gems / GitHub页面版本 查看以查看GitHub Pages使用的版本 如果有新版本的...
适用于Android的反检测版本frida-server。-Android开发
05-26
适用于Android的反检测版本frida-server。 strongR-frida-android用于Android的反检测版本frida-server。 遵循上游自动构建。 Git补丁模块名称frida-core 0001-string_frida_rpc.patch frida-core 0002-io_re_frida_...
frida-trace:通过Frida声明式跟踪API
05-06
弗里达·痕迹 通过声明式跟踪API。 例子 const trace = require ( 'frida-trace' ) ; const func = trace . func ; const argIn = trace . argIn ; const argOut = trace . argOut ; const retval = trace . retval ; const types = trace . types ; const pointer = types . pointer ; const INT = types . INT ; const POINTER = types . POINTER ; const UTF8 = types . UTF8 ; trace ( { module : 'libsqlite3.dylib' , functions : [
frida-js:一些适用于frida的js脚本
05-13
frida的一些有用的hook脚本和文档 参考 说明: 排名不分先后
frida使用】Android apk加解密渗透测试-小铭分享.pdf
07-28
Frida是个轻量级so级别的hook框架,它可以帮助逆向人员对指定的进程的so模块进行分析。它主要提供了功能简单的python接口和功能丰富的js接口,使得hook函数和修改so编程化,值得一提的是接口中包含了主控端与目标进程的交互接口,由此我们可以即时获取信息并随时进行修改。使用frida可以获取进程的信息(模块列表,线程列表,库导出函数),可以拦截指定函数和调用指定函数,可以注入代码,总而言之,使用frida我们可以对进程模块进行手术刀式剖析。 它主要的工作方式是将脚本库注入到目标进程,在目标进程执行脚本。这里需要注意的是,它是将脚本库注入到已经启动的进程,但并不是说,对于进程初始化所做的动作,frida无能为力,frida提供了一个接口spawn,可以启动并暂时挂起进程,然后待我们布置好hook代码后再恢复进程运行,但是这个时间很短,大概2秒,也可能是我的使用姿势不对,求大佬指正。 此外,frida提供了相关的文档,但是frida官网提供的关于python接口的文档实在是少的可怜,连工具命令行的参数都没有,这点需要下载frida的python接口的源代码自己去分析了。值得高兴的一点是,Frida官网提供的js接口的文档稍微详细一些,并附有一些可喜的例子。 除了用于脚本编程的接口外,frida还提供了一些简单的工具,比如查看进程列表,追踪某个库函数等。 剩下就是关于frda学习路线了,Frida的学习还是蛮简单的,只需要了解两方面的内容: 1)主控端和目标进程的交互(message) 2)Python接口和js接口(查文档)
安卓Frida 常用脚本
yijianxiangde100的专栏
11-12 714
但是你去看dex 解出来的 是内部,不用只用用 Java.use("xxx.xx.a") ,而是要用 Java.use("xxx.xx$a")构造函数就是 init 方法,用overload 重载就可以。比如 类名是 xxx.xx.a,
详解module.exports与exports,export与export default,import 与require
m0_55333789的博客
09-18 2491
详解module.exports与exports,export与export default,import 与require
Frida 使用教程和错误汇总
热门推荐
m0_54352040的博客
02-11 2万+
Frida 使用教程和错误汇总 Frida安装 Frida基本使用教程 python接口错误汇总1. 端口转发 Frida安装 Frida基本使用教程 Frida进阶使用教程 Frida python接口 错误汇总 1. 端口转发
APP渗透—MobSF安全评估、frida、r0capture抓包
剁椒鱼头没剁椒的博客
04-21 4467
在之前的文章都已经介绍了如何对APP应用及小程序的抓包方式,本次将主要探讨,如何更全面的获取详细信息与获取非HTTP/S的流量,同时利用自动化工具对APK文件继续自动化扫描相关的威胁。APP与小程序—信息收集Frida分为客户端和服务端。客户端:PC(控制端)服务器:手机设备(被控制端)客户端编写的Python代码,用于连接远程设备,提交要注入的JS代码到服务端,接受服务端发来的消息。服务端中需要用JS代码注入到目标进程,操作内存数据,给客户端发送消息。
[1091]Frida的环境搭建及入门实战
周小董
12-23 4647
Frida是一款基于python + javascript的hook框架,可运行在android、ios、linux、windows等各平台,主要使用动态二进制插桩技术;由于是基于脚本(javascript)的交互,因此相比xposed和substrace cydia更加便捷官网地址:https://frida.re/github地址:https://github.com/frida/frida
Android渗透测试:使用Frida与Brida进行加解密实战
"本文主要介绍了如何使用Brida这一Android渗透测试工具,特别是与Frida结合进行加解密实战。Brida是一款Burpsuite的插件,它通过Python脚本bridaServicePyro与Frida协作,实现对目标应用程序的JavaScript脚本注入,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值