app安全之安卓native层安全分析(八):unidbg补前置环境+IO重定向

最新推荐文章于 2024-06-27 19:51:42 发布
最新推荐文章于 2024-06-27 19:51:42 发布
阅读量2.8k 收藏 17
点赞数 3
分类专栏: 安卓安全分析 文章标签: 安全 android java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y_morph/article/details/130725176
版权

前言

继续跟着龙哥的unidbg学习:SO逆向入门实战教程七:main_unidbg 重定向_白龙~的博客-CSDN博客

还是那句,我会借鉴龙哥的文章,以一个初学者的角度,加上自己的理解,把内容丰富一下,尽量做到不在龙哥的基础上画蛇添足。感谢观看的朋友。

分析

首先,抓个包

里面这个mtgsig就是该app很经典的加密参数了,siua参数后续有时间就分析,没有就算了。本篇文章的重点是mtgsig.

1.静态分析

jadx分析,一搜:

发现其实并不多。

就拿这几个类进行hook,看看哪些方法被调用了就行了,没花多久时间,就找到这里:

 com.xxxxx.plugin.sign.core.CandyPreprocessor.makeHeader(Uri$Builder) String

再跟一下:

这个main就是我们要的部位了。我们知道,第一个int参数,其实都写死了,就是203

第二个是一个对象数组

 hook下这两个方法,main的地方参数中间有个byte[]没有打印出来

2.frida动态调试 

所以这个byte[]就是个 请求方式  url的path  子路径

好了,入参大概都知道了 

ida调试

调试之前,得找找他加载的是哪个so文件

这静态看代码,看了半天,愣是没看出来哪里用了system.loadlibrary。

用这个grep找到的是这个so,其实并不是

这里继续用yang神的hook_RegisterNative.js,一顿输出,直接找到这个so:

很nice。

卧槽,跑完直接把我手机干关机了。有点6

接下来打开ida看看,导出表都不用看了

 方法也看不到啊,上面用hook_RegisterNative已经hook到位置了,直接定位过去就行

 结果就是解析异常了。

unidbg调试

那直接unidbg调试吧

1.搭架子

跑起来,好像没啥问题 ,main也有了。

2.调用

那么直接调用吧,首先把之前hook到的数据,传递进去

上面需要的都有hook了,

现在就差这个key,往上找找:

hook下,等会儿,还hook啥呀,前面已经有了,就是这个9b69xxxx,思路不能乱,慢慢来

开始调用,结果如下:

尴尬,报错的意思是这个指针结果是一个空指针。根据龙哥的博客,应该是上下文缺失。jnitrace也可以发现。

3.解决问题

再来看看,这个main的调用实例

有这么多

用fridahook下这些

发现,果然是了,刚开始调用,还是null,然后再次调用,就有值了。

再来,把入参打印一下:

看来第一次是111,也就是代码的这里:

 这个好像还算简单。

补一下这里的前置条件,然后执行:

补下这个环境,但是这个是啥呢,直接用firda hook可知如下:

 因为他是static

那么直接调用

补完执行:

又来一个新的,同样操作

还有报错,

继续

卧槽,还有报错,而且这个报错,龙哥的博客好像没有这个,我手机是米10,安卓12,估计有啥不一样

问题不大,他既然要返回一个i,也就是整形,那直接这么补,然后执行:

说白了这个就是要获取当前的进程apk的路径,继续补

没啥可说的,继续补:

继续

继续

好了,终于不报错了,但是结果并没有被打印出来

仔细看这里,根据龙哥的博客,意思是这里做了文件读取操作,但是-100,好像读取异常了

这时候有两种方案解决这个

  • 到unidbg目录,把apk放进去,用这个文件src/main/java/com/github/unidbg/file/BaseFileSystem.java获取当前程序路径
  • 还可以用代码的方式进行操作,设置io重定向,把访问的路径放到我们指定的路径即可

这里我用重定向的方式:

然后执行:

继续补

但这里出现了问题,这里是一个空,尴尬,查看用例:

就这里做了赋值

想hook一下,结果hook不到,尴尬,但是那边确实看到是空,龙哥的博客是有数据的,不重要,遵从内心,补一个空,执行看看:

唉,结果有了,好像结果数据有点不对,最后是一个dvmobject,那就跟前面的文章一样了,转一下,打印下

这两个方式都可以:

这个结果能不能用呢?

重新抓个包,然后替换下试试:

ok,果然可以。很nice

代码

package com.sankuai;

import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Emulator;
import com.github.unidbg.Module;
import com.github.unidbg.file.FileResult;
import com.github.unidbg.file.IOResolver;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.api.Binder;
import com.github.unidbg.linux.android.dvm.api.ServiceManager;
import com.github.unidbg.linux.android.dvm.array.ArrayObject;
import com.github.unidbg.linux.android.dvm.array.ByteArray;
import com.github.unidbg.linux.android.dvm.wrapper.DvmInteger;
import com.github.unidbg.linux.file.SimpleFileIO;
import com.github.unidbg.memory.Memory;


import java.io.ByteArrayInputStream;
import java.io.File;
import java.io.UnsupportedEncodingException;
import java.nio.charset.StandardCharsets;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.util.ArrayList;
import java.util.List;
import java.util.Locale;

public class meituan extends AbstractJni implements IOResolver {
    private final AndroidEmulator emulator;
    private final VM vm;
    private final Module module;

    meituan() {
        // 创建模拟器实例,进程名建议依照实际进程名填写,可以规避针对进程名的校验
        emulator = AndroidEmulatorBuilder.for32Bit().setProcessName("com.sankuai.meituan").build();
        // 获取模拟器的内存操作接口
        final Memory memory = emulator.getMemory();
//        emulator.getSyscallHandler().setEnableThreadDispatcher(true);
        // 设置系统类库解析
        memory.setLibraryResolver(new AndroidResolver(23));
        // 创建Android虚拟机,传入APK,Unidbg可以替我们做部分签名校验的工作
        vm = emulator.createDalvikVM(new File("unidbg-android\\src\\test\\java\\com\\xxx\\xxx.apk"));
        // 加载目标SO
//        DalvikModule dm = vm.loadLibrary(new File("unidbg-android\\src\\test\\java\\com\\xxxx\\libmtguard.so"), true); // 加载so到虚拟内存

        emulator.getSyscallHandler().addIOResolver(this);
        vm.setVerbose(true); // 设置是否打印Jni调用细节
        DalvikModule dm = vm.loadLibrary(new File("E:\\work\\myproject\\unidbg\\unidbg-android\\src\\test\\java\\com\\xxxx\\libmtguard.so"), true);


        //获取本SO模块的句柄,后续需要用它
        module = dm.getModule();
        vm.setJni(this); // 设置JNI
        vm.setVerbose(true); // 打印日志
        dm.callJNI_OnLoad(emulator); // 调用JNI OnLoad
    }


    @Override
    public DvmObject<?> callStaticObjectMethodV(BaseVM vm, DvmClass dvmClass, String signature, VaList vaList) {
        switch (signature) {
            case "com/meituan/android/common/mtguard/NBridge->getPicName()Ljava/lang/String;":
                return new StringObject(vm, "ms_com.xxx.xxx");
            case "com/meituan/android/common/mtguard/NBridge->getSecName()Ljava/lang/String;":
                return new StringObject(vm, "ppd_com.xxx.xxx.xbt");
            case "com/xxxx/android/common/mtguard/NBridge->getAppContext()Landroid/content/Context;":
                return vm.resolveClass("android/content/Context").newObject(null);
            case "com/xxxx/android/common/mtguard/NBridge->getMtgVN()Ljava/lang/String;":
                return new StringObject(vm, "4.4.7.3");
            case "com/xxx/android/common/mtguard/NBridge->getDfpId()Ljava/lang/String;":
                return new StringObject(vm, "");


        }

        return super.callStaticObjectMethodV(vm, dvmClass, signature, vaList);
    }

    @Override
    public DvmObject<?> newObjectV(BaseVM vm, DvmClass dvmClass, String signature, VaList vaList) {
        switch (signature) {
            case "java/lang/Integer-><init>(I)V": {
                int input = vaList.getIntArg(0);
                return vm.resolveClass("java/lang/Integer").newObject(input);
            }
        }

        return super.newObjectV(vm, dvmClass, signature, vaList);
    }

    @Override
    public int getStaticIntField(BaseVM vm, DvmClass dvmClass, String signature) {
        switch (signature) {
            case "android/content/pm/PackageManager->GET_SIGNATURES:I":
                return 1;

        }
        return super.getStaticIntField(vm, dvmClass, signature);
    }

    @Override
    public int getIntField(BaseVM vm, DvmObject<?> dvmObject, String signature) {
        switch (signature) {
            case "android/content/pm/PackageInfo->versionCode:I":
                return 2;

        }
        return super.getIntField(vm, dvmObject, signature);
    }


    @Override
    public DvmObject<?> callObjectMethodV(BaseVM vm, DvmObject<?> dvmObject, String signature, VaList vaList) {
        switch (signature) {
            case "android/content/Context->getPackageCodePath()Ljava/lang/String;":
                return new StringObject(vm, "/data/app/com.xxx.xxx-TEfTAIBttUmUzuVbwRK1DQ==/base.apk");
        }
        return super.callObjectMethodV(vm, dvmObject, signature, vaList);
    }

    public static void main(String[] args) {
        meituan test = new meituan();
        test.callMain111();
        System.out.println(test.getSign());
    }

    public void callMain111() {
        List<Object> list = new ArrayList<>(10);
        list.add(vm.getJNIEnv()); // arg1
        list.add(0); //arg2
        list.add(111); //arg3
        DvmObject<?> obj = vm.resolveClass("java/lang/object").newObject(null);
        vm.addLocalObject(obj);
        // 完整的参数2
        list.add(vm.addLocalObject(new ArrayObject(obj)));
        Number number = module.callFunction(emulator, 0x5a38d, list.toArray());
    }

    public String getSign() {
        List<Object> list = new ArrayList<>(10);
        list.add(vm.getJNIEnv()); // arg1
        list.add(0); //arg2
        list.add(203); //arg3
        StringObject input2_1 = new StringObject(vm, "9b69f861-e054-4bc4-9daf-d36ae205ed3e");
        ByteArray input2_2 = new ByteArray(vm, "GET /api/entry/indexLayer __reqTraceID=aa14663c-9979-445b-a311-8017c596f343&ci=1&group=xxxx&msid=xxxxx&userid=-1&utm_campaign=AgroupBgroupC0E0&utm_content=xxxx&utm_medium=android&utm_source=wandoujia&utm_term=1100090405&uuid=xxxxx&version_name=11.9.405".getBytes(StandardCharsets.UTF_8));
        DvmInteger input2_3 = DvmInteger.valueOf(vm, 2);
        vm.addLocalObject(input2_1);
        vm.addLocalObject(input2_2);
        vm.addLocalObject(input2_3);
        // 完整的参数2
        list.add(vm.addLocalObject(new ArrayObject(input2_1, input2_2, input2_3)));
        Number number = module.callFunction(emulator, 0x5a38d, list.toArray());
//        String result = vm.getObject(number.intValue()).getValue().toString();
//        return result;

        DvmObject[] result1 = (DvmObject[]) vm.getObject(number.intValue()).getValue();
        String sign = result1[0].toString();
        System.out.println(sign);

        StringObject result2 = (StringObject) ((DvmObject[])((ArrayObject)vm.getObject(number.intValue())).getValue())[0];
        System.out.println(result2.getValue());
        return result2.getValue();
    }

    @Override
    public FileResult resolve(Emulator emulator, String pathname, int oflags) {
        if (("/data/app/com.sankuai.meituan-TEfTAIBttUmUzuVbwRK1DQ==/base.apk").equals(pathname)) {
            // 填入想要重定位的文件
            return FileResult.success(new SimpleFileIO(oflags, new File("unidbg-android\\src\\test\\java\\com\\xxx\\xxx.apk"), pathname));
        }
        return null;
    }
}

知识点总结

1.找不到该native方法引入的哪个so文件时,用hook_RegisterNative脚本分析

2.执行结果发现不对返回空指针时,很大可能是逻辑问题,需要结合jnitrace分析

3.报dirfd=-100,就是读取文件错误,需要指导程序到正确的路径

4.补文件读取有两个方法

  • 到unidbg目录,把apk放进去,用这个文件src/main/java/com/github/unidbg/file/BaseFileSystem.java获取当前程序路径
  • 还可以用代码的方式进行操作,设置io重定向,把访问的路径放到我们指定的路径即可

5.补环境的时候getIntArg是获取方法的参数

我的代码是:

  

int input = vaList.getIntArg(0);

return vm.resolveClass("java/lang/Integer").newObject(input);

龙哥的代码:

int input = vaList.getInt(0);

return new DvmInteger(vm, input);

  

6.如果最后的数据是一个数组而不是字符串,有两种方式获取

StringObject result = (StringObject) ((DvmObject[])((ArrayObject)vm.getObject(number.intValue())).getValue())[0];
System.out.println(result.getValue());

DvmObject[] result1 = (DvmObject[]) vm.getObject(number.intValue()).getValue();
String sign = result1[0].toString();
System.out.println(sign);

I am geekbyte
关注
  • 3
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
安卓APP安全风险分析与渗透测试研究.pdf
08-26
安卓APP安全风险分析与渗透测试研究.pdf
Unidbg使用指南(一)
fenfei331的博客
11-27 6315
一、目标 除了AndroidNativeEmu我们还有一个选择 Unidbg 来实现模拟执行so, GitHub链接 https://github.com/zhkl0228/unidbg 特色 模拟JNI调用API,以便可以调用JNI_OnLoad。 支持JavaVM,JNIEnv。 模拟syscalls调用。 支持ARM32和ARM64。 基于HookZz实现的inline hook。 基于xHook实现的import hook。 支持 iOS fishhook 、 substrate 、 whale
Unidbg环境实战第一篇:环境入门
ALLEN'Blog
02-15 4529
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
unidbg安装运行
最新发布
Ben_boba的博客
06-27 322
某车联网App 通讯协议加密分析(二) Unidbg手把手跑通
dzqxwzoe的博客
12-28 1171
unidbg环境实际是考验你的Android编程能力。谷歌一下关键字 unidbg + 报错信息,一般都有同道趟过坑。什么?你打不开谷歌?我现在劝你改行还来得及吗?1:ffshow好味止园葵,大欢止稚子。平生不止酒,止酒情无喜。
Unidbg杂谈
lilac的博客
09-14 5281
Unidbg的功能可以分成两大块 模拟执行 辅助算法还原 模拟执行的所有任务,一言以蔽之,就是环境环境并不是一件容易的事,我总结一下常见情况。 首先是JNI这个桥梁相关的环境问题 1.样本存在初始化函数,研究者没有意识到这个问题就会出大问题(好吧我是废话大王),参考资料: 《csdn 样本七》 https://blog.csdn.net/qq_38851536/article/details/118000259 知识星球 《Unidbg初始化》目前的五节视频 2.MethodID问题
app安全安卓native安全分析(二):unidbg+ida使用+过签名校验
app安全逆向、移动开发、tls/ja3、爬虫、反爬
04-21 2246
SO入门实战教程二:calculateS_so _白龙~的博客-CSDN博客还是那句,我会借鉴龙哥的文章,以一个初学者的角度,加上自己的理解,把内容丰富一下,尽量做到不在龙哥的基础上画蛇添足,哈哈。1.ida,按y修改JNIEnv,IDA 7.5之前,JNIEnv需要导入jni.h,7.5之后不需要导入jni.h文件2.ida,按g 输入地址跳转3.ida,按x,查看交叉引用4.ida,optional->generel,把这个改成4,可以查看架构模式,arm架构是固定4位,thumb架构是混合的。
auction-app:使用React + Redux + Socket.io的同构SSR Web应用程序
05-10
同构SSR + React + Redux Auction Demo App 该项目探索如何使用React + Redux结合socket.io客户端上的事件来制作同构服务器端渲染应用程序 要在本地试用该项目: 运行api服务器(需要启动mongodb) $ git clone ...
基于真实Android环境下的APP程序分析安全检测.pdf
08-07
APP分析的现状与工具 基于模拟器分析的不足之处 APP高级程序分析需求 基于真实环境APP分析
Native_app:使用angular 7+框架的移动应用程序的本机应用程序
02-04
安装nodejs npm install -g nativescript安装Android Studio安装jdk(至少8.x)[运行以下命令,它将要求您安装jdk] @powershell -NoProfile -ExecutionPolicy Bypass -Command“ iex(((new-object net.webclient ...
移动Android APP安全检测分析与研究.pdf
08-26
移动Android APP安全检测分析与研究.pdf
Unidbg系列总结
lilac的博客
07-24 5409
关于Unidbg基础内容的介绍基本全面了,个人感觉这系列文章还是不错der。 后续的绝大多数文章、视频放知识星球和课程中,课程之后出,因为感觉现在能力害欠缺。知识星球现在就可以加了,知识星球主打基于Unidbg的模拟执行与算法还原。 内容主要来自三部分 现有内容的重新制作,不少人反映”可以更仔细一些“,说实话,不少文章都有前置知识和基础要求,所以系列文章会再精心的重新制作,以文章或者视频的方式和大家在知识星球再次见面 不断更新的新文章,以SO实战为主题,每周一篇左右,质量不低于这一系列文章,我们的目标是
unidbg-最右之白龙分析
Codeooo 博客
11-28 9673
【代码】unidbg-最右之白龙分析
unidbg实现淘宝请求参数算法,实现脱离模拟器/手机请求淘宝、闲鱼
bugtraq的博客
03-15 5832
但是,随着研究的深入,相关的学习资料越来越少,unidbg和直接逆向学习的资料,虽然有一些,但对于问题的深入,原理的解析,以及具体API方法的使用,可以说是少之又少。鱼和渔的问题,越来越尖锐了。已经研究了差不多几个月,总感觉临门一脚了,程序调试也没有完全通过。虽然越挫越勇,会继续研究,但还是感觉得慢慢来,研究、学习,本身也是一场永远止境的修行。相对于直接逆向x-sign的算法而言,用unidbg调用so文件的难度要小很多。下面的代码面向的是mtop6.5.27, 代码还存在不少问题,并不能直接使用。
攻防世界 黑客精神unidbg破解
Devil丶LY
08-07 855
首先用jadx打开apk文件,查看MainActivity可以发现,页面判断了MyApp.m这个类变量的值,并调用类work()这个函数,且当类变量m的值为0时会跳转到RegActivity注册页面RegActivity界面比较简单,就是把输入的sn传入MyApp.saveSN()函数,然后退出,可以看出关键都在MyApp这个类。所以我们继续查看MyApp这个类,发现类有三个native函数,所以需要进一步分析so文件。### 二、IDA PRO分析。...
Unidbg + Web = Unidbg-server 手把手教你搭个签名服务器
程序员阿飘 的博客
01-17 779
Caused by: org.springframework.beans.BeanInstantiationException: Failed to instanceiate [com .damei.xhs.xhsshield.controller.Xhs668Controller]:构造函数抛出异常;通过前面的学习,我们对Unidbg已经有一定的熟悉了,所以可能维护了一份定制的修改。这样问题就来了,可不可以不加载线上的Unidbg的代码,而加载我们本机修改过的版本?报错了,我就知道不会这么顺利。
Android免so逆向框架unidbg入门及浅析
zhonglunshun的专栏
01-12 853
本文来自互联网,我只是收集整理,unidbg作者写这个东西不容易,有条件的小伙伴可以去支持一下unidbg是一个允许你用来模拟执行Android的ELF和的IOS的MachO原生文件。Elf文件:从组成结构上可以看得出他主要是服务于section的,而section又是so的资源,所以狭义上我们可以理解成此表为告诉计算机要怎么加载解析so资源的一张表.
Unidbg初步学习记录
qq_44628911的博客
10-14 2340
这个案例网上有很多,适合入门哈哈。
app安全安卓native安全分析(四):unidbg模拟调用
app安全逆向、移动开发、tls/ja3、爬虫、反爬
04-25 698
SO逆向入门实战教程四:mfw_so逆向_白龙~的博客-CSDN博客还是那句,我会借鉴龙哥的文章,以一个初学者的角度,加上自己的理解,把内容丰富一下,尽量做到不在龙哥的基础上画蛇添足,哈哈。第四部分没啥技术知识点,都是老套路。
聊天APP Android系统安全分析
05-23
聊天APP安全问题主要分为以下几个方面: 1. 数据传输安全:聊天APP需要保证数据在传输过程中不被窃听、篡改或者伪造。一般来说,聊天APP会采用SSL/TLS等加密协议确保数据的传输安全。 2. 用户隐私保护:聊天APP需要保护用户的隐私信息,包括用户的个人信息、聊天记录等。聊天APP需要采取措施防止用户隐私信息泄露,比如采用数据加密和访问控制等技术。 3. 恶意软件防护:聊天APP需要保护用户免受恶意软件的攻击。聊天APP需要采用反病毒软件和入侵检测等技术来检测和清除恶意软件,同时还需要定期更新和修软件漏洞。 4. 安全设置管理:聊天APP需要提供安全设置管理功能,让用户可以设置自己的隐私安全选项,比如是否开启防火墙、是否允许远程访问、是否允许自动登录等。 5. 安全认证管理:聊天APP需要进行用户身份认证,以保证只有合法用户才能使用聊天服务。聊天APP需要采用安全认证技术,比如用户名和密码、生物识别等方式进行身份认证。 在Android系统上,聊天APP需要注意以下几个问题: 1. 权限管理:聊天APP需要请求合适的权限,以便能够正常的运行。但是,需要注意不要请求过多的权限,避免权限滥用。 2. 数据存储安全:聊天APP需要使用安全的存储方式,以保障用户的数据安全。比如,可以使用加密存储方式,或者采用数据隔离技术,将用户数据隔离在独立的存储空间中。 3. 加密通信:聊天APP需要采用SSL/TLS等加密协议,确保数据在传输过程中不被窃听、篡改或者伪造。 4. 安全更新:聊天APP需要定期进行安全更新,修复软件漏洞和增强安全功能,以提高软件的安全性。 5. 防止反编译和代码注入:聊天APP需要采用代码混淆技术,以防止反编译和代码注入攻击。 总之,聊天APP安全问题需要综合考虑各个方面,采取不同的措施进行保护,以保障用户的隐私和数据安全
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值