Frida hook脱壳(n1book数字壳的传说)

于 2024-05-20 10:38:15 发布
阅读量1.1k 收藏 30
点赞数 9
分类专栏: Android逆向篇 文章标签: 安卓 安卓逆向 frida apk脱壳 ctf frida hook
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_65474192/article/details/139059035
版权

安卓逆向(Android Reverse)
frida脚本脱壳

wp:

  1. ctf练习(杂) | 现充|junyu33
  2. Frida安装与使用,对nu1lbook第四章-数字壳的传说题目进行脱壳_数字壳 frida-CSDN博客

原理解释:

  1. Android APK(加壳+脱壳+加固演练)浅析 - 知乎 (zhihu.com)
  2. 【逆向分析篇】APK逆向脱壳过程-CSDN博客

adb连接手机模拟器

下载adb工具,下载后添加系统变量要重启,而且模拟器会自带adb,要提前去除环境变量!

//查看adb的来源
D:\CTF_Study\Reverse>where adb
E:\ReverseTools\platform-tools\adb.exe

adb基本命令:

adb help //帮助文档
adb connect IP:port //连接
adb shell //命令行模式-使用linux命令
adb kill-server
adb start-server //关闭和开启服务

下面开始链接模拟器:
不知道为啥:夜神模拟器安装后点击按钮会闪退,雷电模拟器不开root点击也会闪退

所以使用雷电模拟器:
这里总结了一些常用的PC版模拟器连接方法!其他的自行搜索!
**MuMu模拟器:adb connect 127.0.0.1:7555
夜神模拟器:adb connect 127.0.0.1:62001
雷电模拟器:adb connect 127.0.0.1:5555
逍遥安卓模拟器:adb connect 127.0.0.1:21503
天天模拟器:adb connect 127.0.0.1:6555
海马玩模拟器:adb connect 127.0.0.1:5300

连接成功!

D:\CTF_Study\Reverse\从0到1CTFer成长之路-Android\n1book数字壳的传说(Frida hook脱壳)
>adb connect 127.0.0.1:5555
* daemon not running; starting now at tcp:5037
* daemon started successfully
connected to 127.0.0.1:5555
Frida-基于python+java+js-hook框架

环境安装:

pip install frida
pip install frida-tools 

D:\CTF_Study\Reverse\从0到1CTFer成长之路-Android\n1book数字壳的传说(Frida hook脱壳)
>frida --version
16.1.11

查看手机模拟器,发现有两台设备不知道啥原因,主要看127.0.0.1:5555:

D:\CTF_Study\Reverse\从0到1CTFer成长之路-Android\n1book数字壳的传说(Frida hook脱壳)>adb devices
List of devices attached
127.0.0.1:5555  device
emulator-5554   device

开始启动shell看看手机型号:
知识来源:adb查看手机设备型号、品牌、机型等信息_abd 获取手机型号-CSDN博客

  1. 如果只有一个
#直接
adb shell
  1. 如果有多台(其实只有一台不知道雷电模拟器发什么疯)
D:\CTF_Study\Reverse\从0到1CTFer成长之路-Android\n1book数字壳的传说(Frida hook脱壳)
>adb -s 127.0.0.1:5555 shell
#成功进入shell

#查看手机型号
star2qltechn:/ $ getprop ro.product.cpu.abi
x86_64
#查看大量信息
star2qltechn:/ $ getprop | grep product
[ro.build.product]: [star2qltechn]
[ro.product.board]: [GM1900]
[ro.product.brand]: [OnePlus]
[ro.product.cpu.abi]: [x86_64]
...
[ro.product.vendor.name]: [star2qltezh]
[ro.vendor.product.cpu.abilist]: [x86_64,x86,arm64-v8a,armeabi-v7a,armeabi]
[ro.vendor.product.cpu.abilist32]: [x86,armeabi-v7a,armeabi]
[ro.vendor.product.cpu.abilist64]: [x86_64,arm64-v8a]

需要向Android手机上传一个frida-server服务程序:Release Frida 16.2.1 · frida/frida (github.com)
下载个这个;frida-server-16.2.1-android-x86_64.xz
把这个文件传入模拟器:

命令:adb -s 127.0.0.1:5555 push Windows路径  Android路径

D:\CTF_Study\Reverse\从0到1CTFer成长之路-Android\n1book数字壳的传说(Frida hook脱壳)
>adb -s 127.0.0.1:5555 push E:\ReverseTools\platform-tools\tools\frida-server /data/local/tmp
E:\ReverseTools\platform-tools\tools\frida-server: 1 file pushed, 0 skipped. 46.2 MB/s (31731620 bytes in 0.655s)

D:\CTF_Study\Reverse\从0到1CTFer成长之路-Android\n1book数字壳的传说(Frida hook脱壳)
>adb -s 127.0.0.1:5555 push E:\ReverseTools\platform-tools\tools\frida-server-16.2.1-android-x86_64.xz /data/local/tmp
E:\ReverseTools\platform-tools\tools\frida-server-16.2.1-a...le pushed, 0 skipped. 54.8 MB/s (31731620 bytes in 0.552s)

查看文件是否成功传入:

D:\CTF_Study\Reverse\从0到1CTFer成长之路-Android\n1book数字壳的传说(Frida hook脱壳)>adb -s 127.0.0.1:5555 shell
star2qltechn:/ $ cd /data/local/tmp
star2qltechn:/data/local/tmp $ ls
frida-server frida-server-16.2.1-android-x86_64.xz

给frida-server赋予可执行权限:

star2qltechn:/data/local/tmp $ chmod 777 frida-server

上面的完成了就可以开始下一步了!
启动试试!
运行之后发现权限不足!

Unable to save SELinux policy to the kernel: Permission denied

查了一下需要开启root模式!
借鉴:Android逆向:Frida Hook基础_unable to save selinux policy to the kernel: permi-CSDN博客

# su进入root
star2qltechn:/data/local/tmp $ su   
#成功进入
:/ # ls
acct                 init.usb.rc             product
bin                  init.zygote32.rc        sbin
....

#成功启动server
:/data/local/tmp # ./frida-server

然后就可以开启另一个cmd来查看模拟器的进程了!先启动要脱壳的目标!

C:\Users\Administrator>frida-ps -U
 PID  Name
----  -----------------------------------------------
2309  adbd
...
2768  memfd:frida-helper-32 (deleted)
2986  n1book1
...

FRIDA-DEXDump-脱壳工具

脱壳原理讲解:深入 FRIDA-DEXDump 中的矛与盾 (qq.com)
原理:

  1. 在进程的内存中搜索dex文件头
  2. 如果dex头被抹除,则需要开启深度搜索模式,搜索其他关键字段
  3. 如果dex的文件file_size字段被抹去,就需要搜索dex的尾部字段来判断是否是dex和dex的大小
    思维导图:frida-dexdump脱壳工具简单使用的思维导图 - 『移动安全区』 - 吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

下载:

PS D:\桌面> pip3 install frida-dexdump

# 使用frida-dexdump(frida-dexdump -U -f 包名 -o 保存地址)
# frida-dexdump -U -p port -o 保存地址 //通过端口
# frida-dexdump -U -n n1book1 -o 保存地址 //通过名字
C:\Users\Administrator>frida-dexdump -U -n n1book1 -o D:\CTF_Study\Reverse

-------------------------------------------------------------------------------------------------------------------------------
                              __      _     _                 _              _
                            / _|_ __(_) __| | __ _        __| | _____  ____| |_   _ _ __ ___  _ __
                           | |_| '__| |/ _` |/ _` |_____ / _` |/ _ \ \/ / _` | | | | '_ ` _ \| '_ \
                           |  _| |  | | (_| | (_| |_____| (_| |  __/>  < (_| | |_| | | | | | | |_) |
                           |_| |_|  |_|\__,_|\__,_|      \__,_|\___/_/\_\__,_|\__,_|_| |_| |_| .__/
                                                                                             |_|
                                             https://github.com/hluwa/frida-dexdump
-------------------------------------------------------------------------------------------------------------------------------

Attaching...
INFO:Agent:DexDumpAgent<Connection(pid=Session(pid=2986), connected:True), attached=True>: Attach.
INFO:frida-dexdump:[+] Searching...
INFO:frida-dexdump:[*] Successful found 6 dex, used 3 time.
INFO:frida-dexdump:[+] Starting dump to 'D:\CTF_Study\Reverse'...
INFO:frida-dexdump:[+] DexMd5=df2b99537b2d11d3074d6fe752a763bb, SavePath=D:\CTF_Study\Reverse\classes.dex, DexSize=0x2154fc
INFO:frida-dexdump:[+] DexMd5=4d956f9be62251c9b41aec34bdc39ad4, SavePath=D:\CTF_Study\Reverse\classes02.dex, DexSize=0x77e4
INFO:frida-dexdump:[+] DexMd5=f1771b68f5f9b168b79ff59ae2daabe4, SavePath=D:\CTF_Study\Reverse\classes03.dex, DexSize=0x11c
INFO:frida-dexdump:[+] DexMd5=3b7c50e48cd68df85142c2402a09cfec, SavePath=D:\CTF_Study\Reverse\classes04.dex, DexSize=0x21ba38
INFO:frida-dexdump:[*] All done...

成功脱壳!

开始分析脱壳文件

未脱壳前的apk:
请添加图片描述

脱壳后的dex文件有很多!
请添加图片描述

由于这个脱壳技术是在内存中搜索dex文件头所以有很大概率会将非核心的dex文件也给dump下来,只需要简单看看就可以i知道核心dex是哪个!

由于dump出来的dex文件没有xml文件所以用jeb也打开apk来分析!

1.寻找程序入口点

原理:
android AndroidManifest.xml文件的作用魔城烟雨的博客-CSDN博客
请添加图片描述

找到这个文件开始分析!

根据程序的入口点分析出,该程序共注册了<activity>1个静态页面,其中页面的实现方法可以从android:name="..."中得知:

<activity android:name="com.sec.n1book1.MainActivity">

可以在代码结构区找到他们的页面实现位置!
请添加图片描述

找到目标就可以开始分析伪代码了!

    @Override  // androidx.appcompat.app.AppCompatActivity
    protected native void onCreate(Bundle arg1) {

        class com.sec.n1book1.MainActivity.1 implements View.OnClickListener {
            @Override  // android.view.View$OnClickListener
            public void onClick(View v) {
                if(Secret.check(MainActivity.this.ed.getText().toString()) != -1) {
                    Toast.makeText(StubApp.getOrigApplicationContext(MainActivity.this.getApplicationContext()), "right", 1).show();
                    return;
                }

                Toast.makeText(StubApp.getOrigApplicationContext(MainActivity.this.getApplicationContext()), "error", 1).show();
            }
        }

    }

这里的逻辑很简单,将输入传入Secret.check函数进行判断如果返回值不为-1就说明flag正确!
双击跟进check函数就可以发现加密是AES:

public class Secret {
    static int check(String s) {
        return AESUtils.encryptString2Base64(s, s.substring(0, 6), "123456").replaceAll("\r|\n", "").equals("u0uYYmh4yRpPIT/zSP7EL/MOCliVoVLt3gHcrXDymLc=") ? 0 : -1;
    }
}

别人的wp:

它调用了`encryptString2Base64(String content, String password, String iv)`这个方法,从而得知这是一个CBC加密,密钥为flag前6位,iv为123456。

然而我并不知道填充怎么处理,参考网上的一些脚本才知道是用空格处理。

上py脚本

from Crypto.Cipher import AES
import base64
password = b'n1book'.ljust(32, b" ") 
b64 = b'u0uYYmh4yRpPIT/zSP7EL/MOCliVoVLt3gHcrXDymLc=' 
en_text = base64.b64decode(b64)
iv = b'123456'.ljust(16,b" ")

aes = AES.new(password,AES.MODE_CBC,iv) 
den_text = aes.decrypt(en_text) 
print(den_text)
frida脱二代数字全流程
siphre
01-05 2859
闲谈 drizzleDumper只能整体脱一代数字,原理是DEX整体脱壳,一代市面上较少见。 二代数字可能是分段式Dex,据说frida和Xposed能脱,Xposed的环境搭建条件苛刻,似乎要真机、root、Android低版本,不知道是不是真的,反正我是怕了,先Frida走一波。(frida是一款基于python + javascript 的hook框架,可运行在android、io...
apk脱壳linux,使用Fridaapk脱壳并穿透加固Hook函数
weixin_32073537的博客
05-25 1406
前言今天拿到了新玩具JEB 3.17.1,想测试一下,顺便学习学习Android逆向,于是找了一个apk准备试试水,看看能不能搞到VIP。初步分析拖入jeb查看嗯。。google一下几维安全的,虚拟化很烦,也没什么好的脱壳工具,于是切换思路从本质上来说,虚拟化就是自己实现了一套基本的cpu指令,通过自己的解释器解释给机器。因此想要在虚拟化之后仍然能让机器运行,当然还得还原代码给机器,只不过可能在...
一个基于xposed和inline hook的一代脱壳工具
07-03
http://blog.csdn.net/zhangmiaoping23/article/details/74164657 原理 原理就是去hook libart.so里面的art::DexFile::OpenMemory,然后再把内存中的dex写到文件中去。就是这么简单,最主要的就是hook的时机,大部分的都是在attachBaseContext这个方法里面去完成代码的解密。所以呢,我们就去hook Application的attach方法,在这个方法执行之前,将我们的动态库加载起来,动态库里面实现的就是对art::DexFile::OpenMemory方法的劫持。这样的话在他解密代码前art::DexFile::OpenMemory就已经被我们给控制了,所以就可以为所欲为了。这里要感谢ele7enxxh提供的Android-Inline-Hook来让我可以对native层的hook
某视频APP的脱壳hook逆向
nini_boom的博客
07-18 2023
看了0x指纹大佬的文章,于是跃跃欲试,但是在自己动手过程中发现了很多问题,也学到了很多,以我的视角写出的这篇文章,如果想了解0x指纹大佬的破解过程,请转至这里。 前言 这看似是一个比较正常的视频软件, 也都可以看得到,但是出现了不太和谐的东西,点开之后都是需要花钱才能观看的内容。 脱壳,是某数字的,就不单独说了。 这里使用frida-unpack进行脱壳。 用法在READM.md中...
2022CTF培训(一)脱壳技术&Hook入门
sky123博客
11-16 2089
绝大多数加程序会在被加密的程序中加上一个或多个段(Section),在最后跳转至 OEP 时一般都是通过一个跨段跳转指令进行转移,所以依据跨段的转移指令(JMP 等)就可找到真正的入口点,并且在该跳转指令前一般会有 POPAD / POPFD 指令出现(恢复入口现场)。在 x32dbg 中 Ctrl+B 搜索E9找到长跳转指令在该位置下断点后执行即可进入程序真正的入口点,此时程序已完成脱壳。使用 Scylla 将程序 dump 下来。
安卓Frida hook脱壳环境配置过程
weixin_45518621的博客
07-23 3288
记录我配置frida脱壳环境的过程
HooK GetModuleHandleA 脱壳辅助工具
weixin_34174322的博客
09-13 337
我们都知道标准delphi程序一开始肯定会调用到GetModuleHandleA这个涵数,很多都把OEP处理了,也就是运行过后清楚什么的,代码偷取什么的,我们只要Hook这个函数,然后让程序暂停下来,那么是不是就还没有完成代码的清楚什么的,我们dump出来的代码就是完整的或者是可分析的.当然这个工具很容易就可以改来Hook其他函数.我给出代码,大家自己研究好了. unit...
Android逆向-frida hook 脚本- hook webview
08-17
Android逆向-frida hook 脚本- hook webview。 frida hook webview的loadurl方法,获取加载的地址和调用链。 Java.choose 获取到webview的对象,可以主动调用webview的方法。
frida-script:储存自己的FRIDA HOOK脚本
07-24
标题中的"frida-script:储存自己的FRIDA HOOK脚本"是指利用Frida的脚本功能,编写和存储自定义的HOOK(钩子)逻辑,以便在需要的时候加载和执行。 **Frida简介** Frida是一个开源的跨平台工具,它允许你通过...
frida hook jni 函数 NewStringUTF 打印参数和返回值字符串
最新发布
08-30
frida hook jni 函数 NewStringUTF 打印参数和返回值字符串。 参考:https://blog.csdn.net/u013170888/article/details/141724349
手动百度脱壳
04-17
手动脱百度的,关于逆向破解百度加固过的app
twrp_android_device_samsung_star2qltechn:TWRP银河S9 +高通SM-G9650
05-14
适用于twrp的Samsung Galaxy S9 + SM-G9650设备树 twrp_android_device_samsung_star2qlte 的Android 8.0 使用的清单
鬼鬼FriDA_hook注入调试工具 v1.2免费版
10-23
鬼鬼FriDA_hook注入调试工具是一款专为Android设备设计的高级调试和注入工具,主要用于对应用程序进行动态分析和代码篡改。v1.2版本是该工具的一个免费更新,但请注意,它可能不支持未ROOT的真机设备,也就是说你...
iOS(越狱) 应用脱壳反编译hook教程 (系统ios11.3.1)
momoxiaoming的博客
07-09 7204
为什么会有这边博文? 因为公司原因,领导又让我捡起荒废了一年多的ios,了解对ios应用脱壳以及反编译hook相关知识.相比于安卓hook来说(想了解安卓hook的可以参考我的另外一篇文章),ios的hook要麻烦的多,前人栽树后人乘凉,希望我的这边文章能给大家对ios的hook有个清晰的认识和思路. 一. 项目需求 本文以很久以前上架的一个练手app为例(app有点烂,将就一下吧,点击传送门)...
ART模式下基于Xposed Hook开发脱壳工具
Fly20141201. 的专栏
09-26 5140
本文博客地址:http://blog.csdn.net/qq1084283172/article/details/78092365Dalvik模式下的Android加固技术已经很成熟了,Dalvik虚拟机模式下的Android加固技术也在不断的发展和加强,鉴于Art虚拟机比Dalvik虚拟机的设计更复杂,Art虚拟机模式下兼容性更严格,一些Dalvik虚拟机模式下的Android加固技术并不能马上...
Frida安装与使用,对nu1lbook第四章-数字的传说题目进行脱壳
m0_65364832的博客
06-08 398
关于frida、jadx、adb、frida-dexdump的安装方式与使用方法,通过adb与mumu模拟器进行Android与Windows进行链接,对N1book中的题目进行脱壳
N1BOOK详解
shinygod的博客
10-06 1601
然后上传,访问/zzz.php.zzz就可以了,这样就解析成php了,因为apache是从右到左解析的,遇到不认识的后缀就忽略,继续往前解析,但这个漏洞有版本限制。用户名为admin时,显示账号或密码错误,但用户名不是admin时,显示账号不存在,所以用户名是admin。但是第三步一直成功不了,就尝试用nc直接下载也没成功,不清楚是怎么回事,望大佬告之!两种方式,一种布尔盲注,一种报错注入,也有可能有第三种,user.php没用到。,然后压缩,再用010打开,选择并双击一个start不为0h的。
BUUCTF逆向wp findit
2302_81740139的博客
03-01 514
我们把这组换成下面的那组数字,得到的结果有大括号,提交了答案错误。把pvkq换成flag也不行。猜测可能是凯撒密码,因为f向后退10位是p,l向后退10位是v,以此类推。该题为apk文件则用androidkiller打开。下面是第一组数字的结果,显然与我们想要的结果不同,但与结果有关。第二步 点击mainactivity,发现有两组16进制数字。最后得到处理后的结果,提交,正确。
BUUCTF--N1BOOK
m0_59022585的博客
07-09 1107
尝试注入'and updatexml(1,concat(0x7e,(seLect group_concat(table_name) from information_schema.tables where table_schema='note'),0x7e),1)#将select关键字绕过,成功回显出表(fl4g和users)。注入'and updatexml(1,concat(0x7e,(seLect group_concat(flag) from fl4g),0x7e),1)#回显出flag。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值