0x00 开篇
这篇也是历史文章,来迁移的;
之前说过,用Android Studio和Eclipse对应用进行动态调试的机会会很少,但是最近接触一个项目就需要用到动态调试的技术,而之前已经讲过Android Studio对smali的动态调试了,这里讲下Eclipse对java的动态调试。
0x01 动态调试有哪些手段
- Idea对smali代码进行动态调试,Android Studio是基于Idea修改而来,所以调试方法一样,Android Studio调试smali的话需要安装调试插件SmaliIdea。
- Eclipse对java代码进行动态调试,Eclipse是不识别smali代码,所以需要将smali代码转换成java代码才可以进行调试,之前学习的时候说Eclipse不方便,但是对于这个项目会方便很多,看来世事无绝对。
- IDA对dex、so的动态调试,dex是可以通过静态附加进行来进行动态调试的,但IDA对变量类型支持不太友好,所以能用Idea还是用idea吧,IDA主要用于so调试,脱壳,dump数据等等。
- JEB动态调试,自jeb2.2以上,已经支持动态调试,并且是无缝调试,可以从java层跟踪到native层,并可以正常返回到java层,非常强大,最新版同时支持了arm64调试,只是买不起。
- GDB动态调试,个人对GDB的使用仅限于附加,dump,而GDB的功能远不止于此,下断,跳转等等都能做,没用过,略过。
0x02 项目情况
项目的需求是这样的,整个APP都对数据包进行了加密,直接抓包的话是只能看见加密后的报文,而我们需要对APP进行渗透测试,思路是将断点下在加密函数执行前,这样就可以看到没加密的报文,然后对报文数据进行修改测试;
加密后的数据包,如下;
0x03 调试前准备
加debuggable=”true”;加waitForDebuggable()函数这些操作就不说了,做任何调试都需要的;
虽然说是Eclipse调试java代码,但是我们知道,apktool反编译出来的是smali代码,而不是java源码,那我们需要怎么做才能得到java代码呢?
apktool的d操作有个-d参数,是debug,也就是说反编译出来的代码是做调试用的,什么意思呢,意思是反编译出来的是smali后缀的文件,而Eclipse只识别java文件,所以一定要加上这个参数。具体是命令是:java -jar apktool.jar d -d apk.apk ;(这里生成一个文件夹)
正常反编译出来的文件;
加-d后的反编译过程;
加-d后反编译出来的文件;
这里可以看到虽然后缀是java文件,但是里面内容还是跟smali一样的。
记得,改完包重新打包(编译的时候)记得也要加上-d参数,不然怎么死的都不知道;
java -jar apktool.jar b -d /apk ;(这里生成一个apk文件)
再签名;
后补:按理说通过smali2java也是可以的;但是这样弄出来的就不仅后缀是java,内容也是java的语言了。
0x04 开始调试
1.导入工程(也就是导入生成的文件夹)
2.设置断点
这里就不多讲,先假设我们已经找到加密函数的位置;
3.连接设备
记得将设备设置成调试模式;至于怎么找到调试模式的按钮,就自己上网查了。
连接上设备,安装应用;
4.启动应用
启动应用,因为在入口处设置了waitForDebuggable()函数,所以应用在启动的时候会进入调试模式,此时会弹出一个应用正在被调试的窗口,我这里没有弹出来,但是我们可以到DDMS里看;
后面发现其实这里也不一定要加waitForDebuggable()函数,因为在Android开发者模式中可以选择调试应用,效果一样;
这里可以看到应用有个红色的小虫子的标志,这里代表此应用可以被调试;
5.调试应用
回到eclipse,找到小虫子的按钮,进入Debug Configuration;
双击进入Remote Java APPlication,project,记得要设置为当前对应调试的项目;
connection有Listner和Attach方式;
- Listner方式:是调试客户端启动就准备好一个端口,当调试服务端准备好了,就连接这个端口进行调试
- Attach方式:是调试服务端开始就启动一个端口,等待调试端来连接这个端口
我们这种调试方式选择Attack;
设置Host和port;
Host一般为localhost,本地调试;
至于port怎么看,这里涉及到JDWP线程;我总结下,用通俗的话解释,可以看到,上面的图中有个8631的数字,那个便是应用所使用的端口,点一下,可以看到8631/8700,所以也可以设置为8700为调试端口,如果系统同时存在有两个或两个以上的程序可以调试,设置为8700的话,就不知道调的是哪个了,所以一般建议将调试端口和调试项目对应起来;
调试成功后,小虫子会变绿,不要问我为什么变绿;
此时应用也对应的进入主界面;
0x05 总结
文章到这里,留下两个问题:
- 怎么找的加密函数(关键函数,需要下断点的函数)的位置;
- 怎么抓取未加密的数据包,并修改数据包内容;
第一个问题以后再说;关于第二个问题是因为这次的app不能使用了,我简单说一下情况,因为断点下在了加密函数运行之前,所以我们能在拦截的参数中看到没有加密的数据,eclipse支持修改数据,这时我们修改数据,运行即可,查看返回的数据包是同样的,在返回的数据包,也就是return中下一个断点,就能看到从服务端返回来的没有加密的数据。
注意点:
- 反编译和编译的-d参数,不然断点会失效;
- 设备开启调试模式;
- 项目名称要对应调试的应用;
- 端口要对应调试的应用;