4.Frida各种参数构造

已于 2022-06-03 22:44:29 修改
阅读量2.5k 收藏 13
点赞数
分类专栏: Frida学习 文章标签: javascript 前端 开发语言
于 2022-06-03 22:39:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43197623/article/details/125116916
版权

0.frida api 查询

Frida 官网(api查询)

1.签名

.overload('[S')
.overload('[J')
.overload('[Ljava.lang.Object;')
.overload('[B')
.overload('[Z')
.overload('[C')
.overload('[I')
.overload('[D')
.overload('[F')

2.Gson的安装与使用

作用就是把java数据转换成Json数据

将gson.dex放置在 安卓设备/data/local/tmp下. 与frida-server同目录下

Java.openClassFile("/data/local/tmp/gson.dex").load();
const gson = Java.use("com.r0ysue.gson.Gson");
console.log(gson.$new().toJson(xxx));

3.返回值,参数 解析

function main(){
    Java.perform(function(){
        //hook toString 
        Java.use("java.lang.Character").toString.overload('char').implementation = function(x){
             var result = this.toString(x);
             console.log(result);
             return result;
         }
         //解析array
        Java.use("java.util.Arrays").toString.overload('[C').implementation = function(x){
            var result = this.toString(x);
            console.log(JSON.stringify(x),"-------------",result)
            //Gson解析 Java参数
            //Java.openClassFile("/data/local/tmp/gson.dex").load();
            //const gson = Java.use("com.r0ysue.gson.Gson");
            //console.log(gson.$new().toJson(x),"------",result);
            return result
        }
        //解析bytesArray
        Java.use("java.util.Arrays").toString.overload('[B').implementation = function(x){
                var result = this.toString(x)
                var bytesArray = JSON.stringify(x)
                console.log("x,result",x,result)
                return result;
        }
    })
}
setImmediate(main)

map解析

Java.choose("com.r0ysue.a0526printout.MainActivity",{
             onMatch:function(instance){
                 //这里接收一个map对象
                var map_1 = instance.get_map_instance()
                var result = "";
                var keyset = map_1.keySet();
                var it = keyset.iterator();
                while(it.hasNext()){
                    var keystr = it.next().toString();
                    var valuestr = map_1.get(keystr).toString();
                    var map = keystr+":"+valuestr+"\n";
                    result +=map
                }
                console.log(result);
             },
             onComplete:function(){
                 console.log("end onComplete!")
             }
         })

2.调用hashmap自带的toString()

3.用Gson

4.构造Java参数

创建array类型

var charArray = Java.array('char', ['锄','禾','日','当','午'])
var intArray = Java.array('int', [100,200,300,400,500])

创建Java字符串

function main(){
    Java.perform(function(){

        Java.use("java.util.Arrays").toString.overload('[C').implementation = function(x){
            var charArray = Java.array('char', ['锄','禾','日','当','午'])
            var result = this.toString(charArray);
            console.log(JSON.stringify(charArray),"-------------",result)
            

            return Java.use('java.lang.String').$new("构造字符串返回")
        }
    })
}
setImmediate(main)

创建 类 实例对象

function main(){
    Java.perform(function(){

       var Waterhandle = null;
       Java.choose("com.r0ysue.a0526printout.Water",{
           onMatch:function(instance){           
               console.log("this is Water instance:",instance);
               //Water对象调用 still方法~  参数是自身实例对象
               console.log("Water Call still:",instance.still(instance));
               //保存实例对象
               Waterhandle = instance;
           },onComplete:function(){console.log("")}
       })
    })
}
setImmediate(main)

Java类型的强制转换,向上向下转型

//向下转~   具体参考父类转子类
                            //实例对象        要转成什么
var JuiceHandle = Java.cast(Waterhandle,Java.use("com.r0ysue.a0526printout.Juice"));
                                            //调用方法

console.log("Juice Call fillEnergy",JuiceHandle.fillEnergy())

Java类型强制转换

var Juicehandle = null;
        Java.choose("com.r0ysue.a0526printout.Juice",{
            onMatch:function(instance){
                Juicehandle = instance;
            },onComplete:function(){console.log("end onComplete!!!!!!!")}
        })
                                        //实例对象        要转成什么
        var Waterhandle = Java.cast(Juicehandle,Java.use("com.r0ysue.a0526printout.Water"))
                                                                //调用方法
        console.log("this is Waterhandle Call still :",Waterhandle.still(Waterhandle))

创建一个类 并 实现一个接口

function main(){
    Java.perform(function(){
        //beer类
                        //注册类
        const beer = Java.registerClass({
            //类名
            name: 'com.r0ysue.a0526printout.beer',
            //接口列表
            implements: [Java.use("com.r0ysue.a0526printout.liquid")],
            //方法
            methods: {
                //实现接口中的方法            
                flow(){
                    console.log("this is a beer!!")
                    return "beer!!"
                }
            }
          });
          //实例化要$new()
一下 ,用对象调用方法
          console.log(beer.$new().flow())
    })
}

setImmediate(main)

用frida 创建一个线程

var JavaRunnable = Java.use("java.lang.Runnable");
var JavaMethod = Java.use("java.lang.reflect.Method");
var TestRunnable = Java.registerClass({
    name:"com.ingeek.TestRunnable",
    implements:[JavaRunnable],
    fields:{
        methodObject:'java.lang.reflect.Method',
        methodInvoke:'java.lang.Object',
        methodArgs:'[Ljava.lang.Object;'    
    },
    methods:{
        $init:[{
            returnType:"void",
            argumentTypes:["java.lang.reflect.Method","java.lang.Object","[Ljava.lang.Object;"],
            implementation:function(methodObj,methodInv,methodAs){
                this.methodObject = methodObj;
                this.wethodInvoke = methodInv;
                this.methodArgs = methodAs;
                console.log("TestRunnable cons is called!");            
            }        
        }],
        run:[{
            return Type: 'void',
            implementation:function(){
                try{
                    Java.cast(this.methodObject,JavaMethod).invoke(this.methodInvoke,this.methodArgs);                
                } catch (e){
                    console.log("TestRunnable run error!",e);                
                } 
                console.log("TestRunnable run is called!");          
            }        
        }]    
    }
})

hook枚举

                //枚举类名   可以把枚举当做类,获取他的实例对象
Java.choose("com.r0ysue.a0526printout.Signal",{
                            //instance为实例对象(如果在内存中加载过就会hook到)

              onMatch:function(instance){
                    console.log(instance)
                    console.log("getDeclaringClass:",instance.getDeclaringClass())
              },onComplete:function(){
                  console.log("end onComplete")
              }
          })

关于枚举大佬笔记

枚举 Map

Java.choose("java.util.HashMap",{
            onMatch:function(instance){
                if(instance.toString().indexOf("ISBN")!=-1){
                    console.log(instance)
                }
            },
            onComplete:function(){
                console.log("end!!!!")
            }
        })

Hook Map.put()方法

注意~ 要在类的初始化的时候就要hook ~ 如果类已经生成在hook是没有用的!

Java.use("java.util.HashMap").put.implementation = function(arg1,arg2){
           var result = this.put(arg1,arg2)
           console.log("arg1,arg2,result:",arg1,arg2,result);
           return result
       }

Non-ASCII

比如说

int ֏(int x) {
    return x + 100;
}

甚至有一些不可视, 所以可以先编码打印出来, 再用编码后的字符串去 hook.

Java.perform(
    function x() {
        var targetClass = "com.example.hooktest.MainActivity";
        var hookCls = Java.use(targetClass);
        var methods = hookCls.class.getDeclaredMethods();
        for (var i in methods) {
            console.log(methods[i].toString());
            console.log(encodeURIComponent(methods[i].toString().replace(/^.*?\.([^\s\.\(\)]+)\(.*?$/, "$1")));
        }
        hookCls[decodeURIComponent("%D6%8F")]
            .implementation = function (x) {
                console.log("original call: fun(" + x + ")");
                var result = this[decodeURIComponent("%D6%8F")](900);
                return result;
            }
    }
)
奥特之父!
关注
  • 0
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Frida hook 构造函数
小龙在线
12-29 1419
package com.github.androiddemo.Activity; import android.content.Intent; public class FridaActivity7 extends BaseFridaActivity { private boolean next; @Override // com.github.androiddemo.Activity.BaseFridaActivity public String getNextCheckTi
frida hook构造函数
weixin_33690963的博客
05-19 6883
frida hook这种写法的话 进程必须是打开状态 import frida, sys ''' 我们要hook构造函数,和普通的函数是有区别的,要用$init这种形式,并且要return this.$init(arg1,arg2)调用原始的函数实现 ''' jscode = """ Java.perform(function () { var utils = Java.use('com....
frida 精髓:hook 参数、修改结果、参数构造、方法重载、隐藏函数的处理、远程调用(RPC)、互联互通、动态修改
热门推荐
freeking101的博客
07-21 1万+
hook参数、修改结果、参数构造、方法重载、隐藏函数的处理、远程调用(RPC)、互联互通、动态修改
frida ios下构造常用oc对象【NSData、NSMutableArray、NSMutableDictionary】
最新发布
聊技术、交朋友、喝小酒
06-19 267
frida ios下构造常用oc对象【NSData、NSMutableArray、NSMutableDictionary】
Frida构造Java函数所需的Map<String, List<String>>参数
技术博客记录
10-22 455
【代码】Frida构造Java函数所需的Map参数
frida hook java 函数_使用 Frida 来 Hook Java 类中的构造函数(构造函数带重载),获取解密后的js脚本...
weixin_34517745的博客
02-16 907
一个APP使用了Auto.js 的加密脚本。我们的任务是将其加密脚本进行解密并dump出来。在 https://www.52pojie.cn/thread-1112407-1-1.html 一文中,介绍了 Auto.js 脚本解密的过程,并使用了 Xposed 对解密后的脚本进行了提取。但当前所使用的手机并没有 Xposed , 只好通过 Frida 来自力更生进行提取。话不多说,通过 jadx...
Frida各种参数构造用需要用gson.dex
11-03
这是gson.jar转为gson.dex。 Frida各种参数构造用需要用gson.dex,作用就是把java数据转换成Json数据 注意:将gson.dex放置在 安卓设备/data/local/tmp下. 与frida-server同目录下。
frida-server.zip
12-14
4. **x86架构支持** 标签中提到的"x86"意味着Frida-server不仅支持ARM架构的安卓设备,也适用于使用x86指令集的设备,如一些英特尔处理器驱动的安卓平板或手机。这使得Frida-server具备更广泛的适用性,覆盖了不同...
frida-server-14.2.18-android.zip
06-24
4. **frida-server-14.2.18-android-arm.xz**:针对32位ARM架构(如ARMv7)的Android设备。 总的来说,这个压缩包提供了Frida Server在多种Android设备上的版本,使得用户可以根据自己的设备选择合适的版本进行安装...
awesome-frida:Awesome Frida-Frida资源的精选列表http://www.frida.re(https:github.comfridafrida
02-01
`awesome-frida` 是一个 GitHub 仓库,集合了各种与 Frida 相关的资源,帮助用户更好地学习、利用和扩展 Frida 的能力。 在 `awesome-frida` 项目中,你可能会找到以下关键知识点: 1. **动态分析**:Frida 的核心...
test-frida.py
09-01
python测试脚本
r0gson.dex,frida hook时数据转换包
07-31
r0gson.dex,frida hook时数据转换包
frida免安装版本.zip
07-04
Frida是一款强大的动态代码插桩工具,适用于各种操作系统,包括Windows、Linux、macOS、Android以及iOS等。它以其灵活性和易用性著称,使得开发者和安全研究人员能够方便地对运行时的代码进行调试、分析和修改。在...
frida 12.8.0 64位
03-13
frida 12.8.0 64位
frida-server-14.2.18-android-arm64.xz
06-06
frida-server-14.2.18-android-arm64
Frida 中文文档.pdf
05-03
frida 安卓hook,app破解
frida小记) 01 构造函数及重载函数的hook
akswyh的博客
04-09 2621
frida的安装和配置暂略 构造函数的hook function hooktest(){ var mUser=Java.use("com.alex.javahooktarget.MyUser"); mUser.$init.overload().implementation=function(){ console.log("进入MyUser构造函数"); this.$init(); } } 在这种条件下注入会发现,一开始点击按钮发现,console并没
Distinct by Property
qq_41628755的博客
09-10 269
本文受到https://blog.csdn.net/haiyoung/article/details/80934467该篇文章的启发,实现通过属性来去重(如果不对还请各位指出) distinct()方法如果通过equals和hashcode方法来实现去重,可否通过修改queals方法来实现? Bean: equals方法只判断name来实现通过那么去重,效果如下 ...
frida入门总结
windy_ll的博客
03-11 2017
一、Frida概述     Frida是一款轻量级HOOK框架,可用于多平台上,例如android、windows、ios等。     frida分为两部分,服务端运行在目标机上,通过注入进程的方式来实现劫持应用函数,另一部分运行在系统机器上。     frida上层接口支持js、python、c等。     Frida官方github地址为:frida官方github地址     PS:虽然百度...
frida hook 构造方法
07-27
您好!Frida 是一款功能强大的动态分析工具,它可以用于在运行时对 Android 和 iOS 应用进行 Hook 和注入操作。要使用 Frida 来 Hook 构造方法,可以按照以下步骤进行操作: 1. 安装 Frida:您可以通过 pip 来安装 Frida,在命令行中运行以下命令: ``` pip install frida-tools ``` 2. 编写 JavaScript 脚本:使用 Frida 提供的 JavaScript API 来编写脚本。下面是一个示例脚本,用于 Hook 构造方法并输出其参数: ```javascript Java.perform(function() { var targetClass = Java.use("com.example.TargetClass"); targetClass.$init.implementation = function() { console.log("Constructor has been hooked!"); console.log("Parameters: " + arguments); // 调用原始构造方法 this.$init.apply(this, arguments); }; }); ``` 3. 运行脚本:使用 Frida 来加载并运行该脚本。下面是一个示例命令,用于在 Android 设备上运行脚本: ``` frida -U -f com.example.app -l script.js ``` 其中,`com.example.app` 是目标应用的包名,`script.js` 是您编写的 JavaScript 脚本文件。 请注意,使用 Frida 进行 Hook 操作可能需要对目标应用的运行环境、类和方法进行一定的了解。此外,Hook 操作可能会涉及到一些隐私和法律问题,请确保在合法和道德的范围内使用 Frida。希望这些信息对您有所帮助!如果您有任何其他问题,请随时提问。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值