FridaHook(三)——AllSafe App wp

已于 2024-01-11 15:27:16 修改
阅读量1.1k 收藏 22
点赞数 13
文章标签: 安全
于 2024-01-11 14:25:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/syy0201/article/details/135523783
版权
本文详细介绍了使用Frida工具进行各种技术攻击,包括日志篡改、硬编码密码破解、pin验证绕过、root权限检测、Secureflag绕过、DeepLink利用、Webview漏洞、SSL证书绕过、弱加密破解以及本地动态库的hook,展示了黑客如何通过逆向工程和代码注入技术来实现对应用的安全性挑战。
摘要由CSDN通过智能技术生成

By ruanruan,2022/04/21

文章目录

1、不安全的日志记录

任务:在日志中找到key

命令查看日志中是否包含输入的key

adb logcat

在这里插入图片描述

2、硬编码

任务:查找硬编码user:password

查找到superadmin:supersecurepassword

在这里插入图片描述

3、pin绕过

任务:绕过pin检测

其实可以对NDg2Mw==,直接解码得4863

(1)反编译查看方法判断逻辑

在这里插入图片描述

查找areEqual方法,如下

在这里插入图片描述

(2)hook方法
A、Hook areEqual(Object,Object)

先是去hook了kotlin.jvm.internal.Intrinsics类的重载方法,通过传的first参数数据类型为String可知,调用的是

在这里插入图片描述

搜索Equal函数,是返回true or false

那么修改返回为true就行

js:

function hookChongZai(){

	var utils = Java.use("kotlin.jvm.internal.Intrinsics");
	utils.areEqual.overload('java.lang.Object', 'java.lang.Object').implementation = function(a,b){
		console.log(a,b);
		a = "2022";
		b = "2022";
		console.log(a,b);
		var ret = true;
		return ret;
	}
}

function main(){
	Java.perform(function(){
		hookChongZai();
	})
}

setImmediate(main);

输出:

在这里插入图片描述

页面显示

B、Hook checkPin(a)

在这里插入图片描述
修改返回值,只要return true就行

js:

function hookpin(){
	console.log("script running .....")
	var utils = Java.use("infosecadventures.allsafe.challenges.PinBypass");
	console.log("test\n");
	utils.checkPin.implementation = function(a){
		console.log(a);
		a = "2022";
		console.log(a);
		var ret = true;
		console.log(a,ret);
		return ret;
	}
}

function main(){
	Java.perform(function(){
		hookpin();
	})
}

setImmediate(main);

在这里插入图片描述

(3)页面效果

输入任意四位数,显示输入正确

在这里插入图片描述

(4)踩坑

  • overload(‘java.lang.Object’, ‘java.lang.Object’)

    小结:

    		.overload('double', 'java.lang.Double')
        .overload('float', 'java.lang.Float')
        .overload('java.lang.Double', 'double')
        .overload('java.lang.Double', 'java.lang.Double')
        .overload('java.lang.Float', 'float')
        .overload('java.lang.Float', 'java.lang.Float')
        .overload('java.lang.Object', 'java.lang.Object')

  • 将返回设置成字符串true了,即var ret = “true”;

    为变量赋值Boolean类型值的例子:

    var found = true;
var lost = false;

    需要注意的是Boolean类型的字面值true和false是区分大小写的。

4、root检测绕过

任务:绕过root检测

(1)反编译查看

首先查看infosecadventures.allsafe.challenges.RootDetection,找了找没有啥判断逻辑

在这里插入图片描述

再查看infosecadventures.allsafe.challenges.RootDetection$onCreateView$1的检测逻辑

在这里插入图片描述

全局搜索isRooted方法,如图可知是布尔类型的返回结果。

在这里插入图片描述

(2)hook方法

js:

function hookroot(){
	console.log("script running .....")
	var utils = Java.use("com.scottyab.rootbeer.RootBeer");
	console.log("test\n");
	utils.isRooted.implementation = function(){
		var ret = false;
		console.log(ret);
		return ret;
	}
}

function main(){
	Java.perform(function(){
		hookroot();
	})
}

setImmediate(main);
(3)绕过效果

原始页面:
在这里插入图片描述

绕过页面:

在这里插入图片描述

5、Secureflag绕过

任务:绕过禁止截屏限制

(1)查看相关代码

找到禁止截屏函数

getWindow().setFlags(WindowManager.LayoutParams.FLAG_FULLSCREEN, 
	WindowManager.LayoutParams.FLAG_FULLSCREEN);

在这里插入图片描述

然后查看setFlags

在这里插入图片描述

(2)Hook脚本
function hookflag(){
	console.log("script running .....")
	var utils = Java.use("androidx.recyclerview.widget.RecyclerView");
	console.log("test\n");
	utils.setFlags.implementation = function(a,b){
		console.log(a,b);
		a = 11;
		b = 11
		console.log(a,b);
		var ret = this.setFlags(a,b);
		console.log(ret);
	}
}

function main(){
	Java.perform(function(){
		hookflag();
	})
}

setImmediate(main);
(3)hook效果

在这里插入图片描述

思路是改setFlags的值,我看最开始输出是0,12,就给改成11,效果是黑屏卡住了 ==

找到对的值就ok

6、Deeplink利用

任务:尝试触发deeplink

(1)查看漏洞代码

先找到对应的Activity

在这里插入图片描述

再跟进 找到getintent()函数,看如何赋值的

在这里插入图片描述

可知参数data即为intent的值,以及对data的判断条件为和key的值相等则完成任务。

(2)漏洞利用

找到key的值如下

在这里插入图片描述

此时就应该构造intent为2131820617

A、访问html文件

在这里插入图片描述

可以看到action为null

但是从AndroidManifest.xml可以看到intent-filter为当Action为android.intent.action.VIEW可调用

在这里插入图片描述

构造html文件如下

<html>
	<head>
		<h1>deeplinktest</h1>
	<head>
<body>
<a href="intent:#Intent;package=infosecadventures.allsafe;component=infosecadventures.allsafe/infosecadventures.allsafe.challenges.DeepLinkTask;action=android.intent.action.VIEW;data=2131820617;end">test</a>
</body>
</html>

但是 data的值好像传失败了==

B、使用adb构造intent
adb shell am start -n "infosecadventures.allsafe/infosecadventures.allsafe.challenges.DeepLinkTask" 2131820617

adb shell am start -n "infosecadventures.allsafe/infosecadventures.allsafe.challenges.DeepLinkTask" -d "2131820617"

在这里插入图片描述

利用成功页面:

在这里插入图片描述

7、Webview利用

任务一:弹窗

任务二:访问一个本地文件,如/etc/host

(1)查看漏洞代码

在这里插入图片描述

漏洞条件:

  • setAllowFileAccess(true) (默认开启)

  • setJavaScriptEnabled(true)

  • WebView可以被外部调用,并能够加载外部可控的HTML文件

    都满足,对传进来的url参数没有任何处理过滤,直接使用loadurl()加载

(2)漏洞利用
A、任务一:弹窗

利用JavaScript伪协议进行弹窗

在这里插入图片描述

B、任务二:访问一个本地文件,如/etc/hosts

在这里插入图片描述

8、证书绕过

任务:拦截流量,绕过证书校验

(1)hook脚本

网上的通用脚本:

/* 
  Android SSL Re-pinning frida script v0.2 030417-pier
$ adb push burpca-cert-der.crt /data/local/tmp/cert-der.crt
   $ frida -U -f it.app.mobile -l frida-android-repinning.js --no-pause
https://techblog.mediaservice.net/2017/07/universal-android-ssl-pinning-bypass-with-frida/
   UPDATE 20191605: Fixed undeclared var. Thanks to @oleavr and @ehsanpc9999 !
*/

setTimeout(function(){
    Java.perform(function (){
     console.log("");
     console.log("[.] Cert Pinning Bypass/Re-Pinning");
var CertificateFactory = Java.use("java.security.cert.CertificateFactory");
     var FileInputStream = Java.use("java.io.FileInputStream");
     var BufferedInputStream = Java.use("java.io.BufferedInputStream");
     var X509Certificate = Java.use("java.security.cert.X509Certificate");
     var KeyStore = Java.use("java.security.KeyStore");
     var TrustManagerFactory = Java.use("javax.net.ssl.TrustManagerFactory");
     var SSLContext = Java.use("javax.net.ssl.SSLContext");
// Load CAs from an InputStream
     console.log("[+] Loading our CA...")
     var cf = CertificateFactory.getInstance("X.509");
     try {
      var fileInputStream = FileInputStream.$new("/data/local/tmp/cert-der.crt");
     }
     catch(err) {
      console.log("[o] " + err);
     }
  
     var bufferedInputStream = BufferedInputStream.$new(fileInputStream);
    var ca = cf.generateCertificate(bufferedInputStream);
     bufferedInputStream.close();
var certInfo = Java.cast(ca, X509Certificate);
     console.log("[o] Our CA Info: " + certInfo.getSubjectDN());
// Create a KeyStore containing our trusted CAs
     console.log("[+] Creating a KeyStore for our CA...");
     var keyStoreType = KeyStore.getDefaultType();
     var keyStore = KeyStore.getInstance(keyStoreType);
     keyStore.load(null, null);
     keyStore.setCertificateEntry("ca", ca);
    
     // Create a TrustManager that trusts the CAs in our KeyStore
     console.log("[+] Creating a TrustManager that trusts the CA in our KeyStore...");
     var tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
     var tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
     tmf.init(keyStore);
     console.log("[+] Our TrustManager is ready...");
console.log("[+] Hijacking SSLContext methods now...")
     console.log("[-] Waiting for the app to invoke SSLContext.init()...")
SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").implementation = function(a,b,c) {
      console.log("[o] App invoked javax.net.ssl.SSLContext.init...");
      SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").call(this, a, tmf.getTrustManagers(), c);
      console.log("[+] SSLContext initialized with our custom TrustManager!");
     }
    });
},0);
(2)hook结果

在这里插入图片描述

成功抓包:

在这里插入图片描述

(3)踩坑

看着是证书的问题,百度了一下需要系统信任burp证书

在这里插入图片描述

可是系统已经信任证书了

在这里插入图片描述

最后是替换了最新的证书解决的

9、脆弱的加密

任务:使用frida hook加密的方法

(1)反编译查看

在这里插入图片描述

(2)hook加密函数
A、AES

直接输出参数1,再篡改为参数2并对其加密

js:

function hookcrypto(){
	console.log("script running .....")
	var utils = Java.use("infosecadventures.allsafe.challenges.WeakCryptography");
	console.log("test\n");
	utils.encrypt.implementation = function(a){
		console.log(a);
		a = "quan";
		console.log(a);
		var ret = this.encrypt(a);
		console.log(ret);
		return "The AES encrypto Result of " + a +":" + ret;
	}
}

function main(){
	Java.perform(function(){
		hookcrypto();
	})
}

setImmediate(main);

hook输出:

在这里插入图片描述

页面效果:

在这里插入图片描述

B、MD5

直接输出参数1,再篡改为参数2并对其加密

hook.js:

function hookcrypto(){
	console.log("script running .....")
	var utils = Java.use("infosecadventures.allsafe.challenges.WeakCryptography");
	console.log("test\n");
	utils.md5Hash.implementation = function(a){
		console.log(a);
		a = "quan";
		console.log(a);
		var ret = this.md5Hash(a);
		console.log(ret);
		return "The MD5 Result of " + a +":" + ret;
	}
}

function main(){
	Java.perform(function(){
		hookcrypto();
	})
}

setImmediate(main);

hook输出:

在这里插入图片描述

页面效果:

在这里插入图片描述

C、Random

把随机数修改为固定值:111111

js:

function hookcrypto(){
	console.log("script running .....")
	var utils = Java.use("infosecadventures.allsafe.challenges.WeakCryptography");
	console.log("test\n");
	utils.randomNumber.implementation = function(a){
		console.log(a);
		var ret = 111111;
		console.log(ret);
		return "The static data is : " + ret;
	}
}

function main(){
	Java.perform(function(){
		hookcrypto();
	})
}

setImmediate(main);

hook输出:

在这里插入图片描述

页面效果:

在这里插入图片描述

10、本地动态链接库

任务:使用frida hook密码检测的方法

(1)反编译查看
apktool.bat d 202204061604031.apk

在这里插入图片描述

可知检测密码的函数在native层,不能直接hook

(2)so文件查看检测函数代码

用Ghidra打开分析libnative_library.so文件,找到Java_infosecadventures_allsafe_challenges_NativeLibrary_checkPassword函数

在这里插入图片描述

查看checkPass

在这里插入图片描述

hook Java_infosecadventures_allsafe_challenges_NativeLibrary_checkPassword函数即可

void Java_infosecadventures_allsafe_challenges_NativeLibrary_checkPassword
               (_JNIEnv *param_1,undefined8 param_2,_jstring *param_3)

{
  checkPass(param_1,param_3);
  return;
}

由代码可知该函数没有返回,但是要让if (NativeLibrary.access$checkPassword(nativeLibrary, editText2.getText().toString()))成立,那么条件即为true

(3)hook方法

js:

Java.perform(function(){ 
    var nativePointer = Module.findExportByName("libnative_library.so", "Java_infosecadventures_allsafe_challenges_NativeLibrary_checkPassword"); 
    send("native: " + nativePointer); 
    Interceptor.attach(nativePointer, { 
        onEnter: function(args){ 
            send(args[0].toInt32()); 
            send(args[1].toInt32()); 
            send(args[2].toInt32()); 
            //send(args[3].toInt32()); 
            //send(args[4].toInt32()); 
        }, 
        onLeave: function(retval){ 
            send("original check result: " + retval.toInt32()); 
            retval.replace(1);
            send("final check result: " + retval.toInt32());
        } 
    });
});
(4)hook结果

在这里插入图片描述

页面:

在这里插入图片描述

(5)踩坑

最开始设的retval为true,当成布尔型了

onLeave: function(retval){ 
            send("original check result: " + retval.toInt32()); 
            var ret = true;
            retval.replace(ret);
            send("final check result: " + retval.toInt32());

然后报错

在这里插入图片描述

定位到retval.replace(ret);代码

想了想if(a),a只要不是null就行,令它为1

0nc3
关注
  • 13
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Frida系列--AES逆向解密篇
Tasfa的博客
04-07 2838
CCCrypt等Frida 解密函数解析
frida动态调试入门02——hook加密函数
菜鸟学安全的博客
09-01 1037
frida是一款Python工具可以方便对内存进行hook修改代码逻辑在移动端安全和逆向过程中常用到。
frida hook 加解密函数
问题很多的小明
11-02 3086
0x01 定位关键函数 取消勾选反混淆,否则影响关键函数定位 尝试搜索AES,DES,RSA,加密,encode,decode等关键字,也可以仔细跟进http等请求发起过程定位加解密函数 分析实现加密与解密的函数: 加密函数:传入了公钥以及需要加密的字节数组 解密函数:传入了私钥以及需要解密的字节数组 0x02 编写hook.js function main() { if (Java.available) { console.log("********
鬼鬼FriDA_hook注入调试工具 v1.2免费版
10-23
鬼鬼FriDA_hook注入调试工具,首次运行会初始化环境,暂不支持真机,需要设备ROOT权限,后续可能会更新支持真机! 软件介绍 不能用中文目录、、中文目录会报编码错误。。应该是PY
安卓逆向新人练手项目
Qwertyuiop2016的博客
03-03 1580
前言 这段时间开始接触安卓逆向,说一下我的大致的学习步骤: 学一个新知识之前需要对这个知识有一定的概念,比如js逆向,肯定要抓接口,然后看参数,搜参数,打断点等。那么拿到一个APP下一步要干些什么也需要有一些概念。如何积累概念:多看一些逆向的文章,某些地方没看懂不重要,重要的是流程你有个大概了。 找一些简单的例子练练手,比如吾爱破解论坛的:https://www.52pojie.cn/thread-408645-1-1.html。另外吾爱破解的移动安全区也有很多的文章可以看看。还有一些Crackme拿来练
Android小项目——新闻APP(源码)
02-26
Android小项目——新闻APP(源码),一个很简单的可以练手的Android Demo Ps:下载之前可以先看一下这篇文章——https://blog.csdn.net/qq_34149526/article/details/80992341
MoodDiary——Android APP MoodDiary 日记APP
12-19
本作品为本人本科三年级课程作业成果。MoodDiary是基于Java开发的Android日记APP,具有客户端和服务器两部分。前端使用Android Studio IDE 开发,后端使用Eclipse IDE开发。资源中附有客户端和服务器端所有源代码,...
2048小游戏——基于MATLAB App Designer
02-26
《2048小游戏——基于MATLAB App Designer》是一款利用MATLAB开发平台的App Designer功能设计的趣味益智游戏。MATLAB,全称Matrix Laboratory,是MathWorks公司推出的一款强大的数学计算软件,广泛应用于工程计算、...
全能运动伙伴——运动APP.pdf
08-26
【标题】:全能运动伙伴——运动APP 【描述】:运动APP借助科技手段,如动作感应、互联网地图和卫星定位,为用户提供全面的运动数据记录和个性化训练指导,成为现代人健身的好助手。 【标签】:APP应用开发、数据...
Appinventor2——天气小助手源码
11-23
天气小助手开发aia文件,没有bug,导入到项目中通过手机扫码下载即可使用。保证正确!!适用于Appinventor2中的可视化编程,方便大家的学习和分享。
frida破解aes对称加密算法
不仅仅是个程序员的博客
07-15 1107
CCCrypt 在iOS的对称加密算法中,常用的是aes,对应的是C函数 CCCrypt函数。 CCCryptorStatus CCCrypt( CCOperation op, /* kCCEncrypt, etc. */ CCAlgorithm alg, /* kCCAlgorithmAES128, etc. */ CCOptions options, /* kCCOptionPKCS7Padding, etc. */ const v
写一个frida通杀脚本
Hello_wshuo
01-30 6398
1. 前言 过年对我来说和平常没什么区别,该干什么干什么。 之前没接触过 frida 这个工具,前几天用了一些时间学习了一下,相比于 xposed hook 框架,frida 相对于调试方面真的很方便。现在网上也有一些 frida 通杀脚本(也有叫自吐算法脚本的),但是一般都是在 iv向量构造,key 构造分别进行 hook ,这样就导致 最后输出结果不是一个整体,加密和解密的数据,iv向量,key,输出不在同一块。我也不想从网上拿来就用(总感觉自己写一遍用起来才舒服,毕竟这个不算太复杂,还能熟悉一下 fr
安卓逆向经典案例-XX谷
最新发布
weixin_63958646的博客
06-23 878
通过上述方法,你可以有效地查找和 hook 你感兴趣的类和方法。根据具体情况选择合适的方法和工具,可以大大提高你的逆向工程效率。如果你有任何进一步的问题或需要更多的帮助,请随时告诉我!解决方法:直接hook类hook实战//hook 类android.webkit.WebViewconsole.log("webview hook")//当出现webview hook时,说明有布尔值被hook了。
APP测试三板斧)第二板:frida+一键hook脚本绕过SSL Pining
ggzhifeng的博客
07-27 3851
一、优缺点 优点: 比xp框架适用范围广,大部分软件都没有检测frida,能绕过绝大部分单向证书绑定。 缺点: 还是不适用双向证书,还是需要分析app包逆向分析证书密码。 二、步骤: 1.安装frida 客户端(PC) pip install frida pip install frida-tools 服务端(安卓手机) 在https://github.com/frida/frida/releases下载对应平台的服务端 然后解压,移动到Android设备 adb p..
移动安全-IOS逆向第三天——实战HOOK RSA/DES加密
cdyunaq的博客
02-16 4834
一、车联网APP加密破解 APP抓包发现有加密 1、首先使用frida-ios-dump下文件之后,找到Ipa中的match-O可执行文件 2、脱入ida中、直接搜索rsa xxx函数 3、使用frida-trace ios-trace脚本进行Hook查看是否调用,发现没有命中Hook函数 4、再次搜索rsa发现如下,使用相同方法进行验证 5、发现没有调用 6、继续搜索 7、发现命中加密函数,trace BKRSA类下encrypt关键字的函数 8、如下是objec
app逆向-frida hook常见的加密模式
花臂不花Home
02-04 1303
【代码】app逆向-frida hook常见的加密模式。
frida hook的一些尝试
阳光下的小树
03-17 4336
frida 真的是app逆向的神器,当你遇上他的时候,就会爱上他。 这篇文章主要是通过自己写个app的demo,然后一步步的hook它。之后会有系列的文章介绍frida对其他app的应用。 知识准备 如何让app不走代理? 如何在子线程中更新ui Handler详解 环境 as android开发工具 pycharm 小米手机一步 (root) android和python的frida环...
【Frida Hook 学习记录】Frida Hook Android 常用方法
热门推荐
卦星的专栏
10-18 1万+
Frida hook 常用方法 1 概述 在逆向过程中,Frida是非常常用的Hook工具,这个工具在日常使用的过程中,有很多通用方法,这里记录一下,方便查阅 参考文章 Android逆向之旅—Hook神器家族的Frida工具使用详解 2 待测试案例 xxxxx 3 方法汇总 3.1 Hook 构造函数—使用$init 3.2 Hook 构造对象—使用$new 3.3 Hook 一般函数—使...
Matlab AppDesigner——在app内部传递数据
05-29
在Matlab App Designer中,可以通过以下几种方式在不同组件之间传递数据: 1. 使用公共属性:可以在多个组件之间共享属性,这样就可以让一个组件更新另一个组件的状态。可以使用app访问公共属性,例如app.PropertyName。 2. 使用应用程序数据:应用程序数据是app实例中的全局数据,可以在所有组件之间共享。可以使用app访问应用程序数据,例如app.Data。 3. 使用回调函数输入和输出:可以将数据作为输入传递给回调函数,并将结果作为输出返回。可以使用app访问回调函数的输入和输出参数,例如app.CallbackInput 和 app.CallbackOutput。 4. 使用消息传递:可以使用消息传递机制在不同组件之间发送和接收消息。消息可以包含任何类型的数据,包括自定义对象。可以使用app.send 和 app.listen 来发送和接收消息。 以上这些方法都可以在App Designer中实现组件之间的数据传递。具体使用哪种方法,取决于你的应用程序的具体需求和设计。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值