偶然从看雪看到了一篇入门frida的题目,正好苦于没练手的东西,直接上手一波

1.第一题jadx打开,也没有壳和混淆,整体非常清晰,判断的逻辑也很简单

发现其实就是两个输入框,一个用户名一个密码,先拼接起来然后传入VVVVV.VVVV()方法中去校验,跟进去看一手

其实代码逻辑还是挺清晰的,手逆也不难,但是这里主要还是用hook来做,这里破解是非常容易的,直接hook VVVV()方法的返回值直接返回为true

,这样不管输入什么都只会通过,但是这边的话,我们还是选择要得到flag,所以选择在frida中进行爆破,求解,因为在方法中也可以调用原方法,而且

字符串的位数只有5位,爆破还是挺容易的,不过要注意的地方就是js的字符串和java的不太一样,所以我们需要通过hook java.lang.String类,然后

去实现java的字符串对象,进而调用原方法

function main()

{

    Java.perform(function(){

        var string_class=Java.use("java.lang.String");

        Java.use("com.kanxue.pediy1.VVVVV").VVVV.implementation=function(t,y)

        {

            for(var i=0;i<=9;i++)

            {

                for(var j=0;j<=9;j++)

                {

                    for(var k=0;k<=9;k++)

                    {

                        for(var w=0;w<=9;w++){

                            for(var x=0;x<=9;x++)

                            {

                                var res=string_class.$new(i.toString()+j.toString()+k.toString()+w.toString()+x.toString());

                                if(this.VVVV(t,res))

                                {

                                    console.log("right answer:",res);

                                    return true;

                                }else

                                {

                                    console.log("wrong answer:",res);

                                }

                            }

                        }

                    }

                }

            }

        }

    })

}

setImmediate(main);

frida -U --no-pause -f 包名 -l 注入的js。启动就等着结果出来就好了

第二题走起:

第二题有点热修复的意思,就是调用文件夹中dex中类的方法,

其实就是自定义了个classloader,只要hook就完事了,然后和第一题校验逻辑是一样的,爆破就好了

function main()

{

    Java.perform(function(){

        console.log("YenKoc");

        Java.enumerateClassLoaders({

            onMatch:function(loader){

                try{

                    if(loader.findClass("com.kanxue.pediy1.VVVVV"))

                    //if(loader.toString().indexOf('dalvik.system.DexClassLoader')>-1)

                    {

                        console.log("find right classloader");

                        console.log(loader);

                        Java.classFactory.loader=loader;

                        hookVVVV();

                        return;

                    }

                }catch(error)

                {

                    console.log("find error"+error);

                }

            },

            onComplete:function(){

                console.log("end1");

            }

        })

    })

}

function hookVVVV(){

    Java.perform(function(){

        console.log('loader',Java.classFactory.loader);

            for (var i = 0; i <= 9; i++) {

                for (var j = 0; j <= 9; j++) {

                    for (var k = 0; k <= 9; k++) {

                        for (var t = 0; t <= 9; t++) {

                            for (var y = 0; y <= 9; y++) {

                                    var newInput = Java.use('java.lang.String').$new(i.toString()

                                    + j.toString()

                                    + k.toString()

                                    + t.toString()

                                    + y.toString())

                                    //console.log(newInput)

                                    console.log("tmp:",newInput);

                                    var result = Java.use('com.kanxue.pediy1.VVVVV').VVVV(newInput)

                                    if(result == true){

                                        console.log('flag is ',newInput)

                                        return;

                                    }

                                }

                            }

                        }

                    }

                }  

    })

}

setImmediate(main);

//setTimeout(main,2000);

有几点坑的地方,第一个就是这个apk是测试用的apk,所以直接adb install是装不了的,我百度了下,修改androidmainfest.xml文件

把android:testOnly = "true"这个东西删了,二次重打包下,结果还是不行,我丢,然后我又重新adb install -t apk名字,可以安装了

这是安装测试apk的命令,然后就是这题frida -U --no-pause 包名 -l hook注入的js名字,不要在包名加-f了,加-f是spawn,开始就自启动

这样会导致找不到classloader的,所以我们要attach上去,之后才能找到。

第三题:

和第二题相比就是加了检测frida的方法,init()是native方法,我们用ida打开发现是动态注册,先去找一手jni_onload因为动态注册肯定

先调用这个方法的,

动态注册的话,其实本质就是换了个名字,之前静态注册的话,特征太明显了,java_包名_类名_native方法,所以出现了

动态注册,利用jninativeMethod这个结构体来存储native方法和本地函数的关联

//JNINativeMethod结构体

typedef struct {

    const char* name;       //Java中native方法的名字

    const char* signature;  //Java中native方法的描述符

    void*       fnPtr;      //对应JNI函数的指针

} JNINativeMethod;

/**

 * @param clazz java类名,通过 FindClass 获取

 * @param methods JNINativeMethod 结构体指针

 * @param nMethods 方法个数

 */

jint RegisterNatives(jclass clazz, const JNINativeMethod* methods, jint nMethods)

//JNI_OnLoad

JNIEXPORT jint JNICALL JNI_OnLoad(JavaVM* vm, void* reserved);

这个就说的很清晰了。就不多bb了,

说明真正的native方法对应的本地函数是init,我们跟进去一下

发现就是新建了一个线程,检测frida是否占用了端口

这里处理方式

1.第一种是重打包,直接不调用init()这个方法了,这个androidkiller的话,很简单的,就不多bb了

2.直接hook native 方法

function hook_pthread_create(){

    var pt_create_func = Module.findExportByName(null,'pthread_create');

    var detect_frida_loop_addr = null;

    console.log('pt_create_func:',pt_create_func);

   Interceptor.attach(pt_create_func,{

       onEnter:function(){

           if(detect_frida_loop_addr == null)

           {

                var base_addr = Module.getBaseAddress('libnative-lib.so');

                if(base_addr != null){

                    detect_frida_loop_addr = base_addr.add(0xe9c)

                    console.log('this.context.x2: ', detect_frida_loop_addr , this.context.x2);

                    if(this.context.x2.compare(detect_frida_loop_addr) == 0) {

                        hook_anti_frida_replace(this.context.x2);

                    }

                }

           }

       },

       onLeave : function(retval){

           // console.log('retval',retval);

       }

   })

}

function hook_anti_frida_replace(addr){

    console.log('replace anti_addr :',addr);

    Interceptor.replace(addr,new NativeCallback(function(a1){

        console.log('replace success');

        return;

    },'pointer',[]));

}

这里hook native的手法,我还不太熟悉,直接搬肉丝表哥的代码的233,晚上研究一手

3.还有就是修改硬编码so,直接就是patch,爆破那种思路,各位大佬也是有手就行

从三道题目入门frida的更多相关文章

  1. 漫谈C指针:参数传递的三道题目

    漫谈C指针:参数传递的三道题目 2009-07-02 开讲之前,我先请你做三道题目.(嘿嘿,得先把你的头脑搞昏才行……唉呀,谁扔我鸡蛋?) 考题一,程序代码如下: [c] view plaincopy ...

  2. CodeForce——Deltix Round, Autumn 2021 (open for everyone, rated, Div. 1 + Div. 2)前三道题目题解

    目录 A: B: C: 题目链接 A Divide and Multiply standard input/output 1 s, 256 MB 正在上传-重新上传取消 x13036 B Willia ...

  3. 《算法C语言实现》————三道题目

    1.对于N = 10,100和1000,记录你的运行环境中分别运行一下程序所花费的时间.(用python) import datetime global a a = 0 def time_1(s): ...

  4. 27号华为笔试(三道ac两道)

    三道题目case:100,100,0: 三个题目: 前两个都全部ac了,第三题没时间: 记录一下大概的思路: 第一题 主要通过Java中的字符串处理函数:然后控制字符串输入格式: 卡bug的点: 1: ...

  5. 一步步学习javascript基础篇(6):函数表达式之【闭包】

    回顾前面介绍过的三种定义函数方式 1. function sum (num1, num2) { return num1 + num2; }  //函数声明语法定义 2. var sum = funct ...

  6. leetcode6

    好吧,今天晚上赶项目确实是做不了三道题目了,最近项目在网络编程方面有些进步,学到了东西,有时间再积累下来,很深的体会就是,和别人一起写代码,虽然蛋疼但是比自己一个人写要好点,不过发现自己对链表和排序什 ...

  7. April Fools Day Contest 2014

    April Fools Day Contest 2014 A.C.H三道题目 ============================================================= ...

  8. HDU 1828 Picture(线段树扫描线求周长)

    Picture Time Limit: 6000/2000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others) Total Su ...

  9. 【转】lonekight@xmu·ACM/ICPC 回忆录

    转自:http://hi.baidu.com/ordeder/item/2a342a7fe7cb9e336dc37c89 2009年09月06日 星期日 21:55 初识ACM最早听说ACM/ICPC ...

随机推荐

  1. 5.1-5 uname、hostname、dmesg、stat、du

    5.1 uname:显示系统信息     uname命令用于显示系统相关信息,比如内核版本号.硬件架构等. -a    显示系统所有相关信息 -v    显示内核版本 -m    显示计算机硬件架构 ...

  2. 为何存在uwsgi还要使用nginx

    nginx是对外的服务接口,外部浏览器通过url访问nginx,nginx接收到浏览器发送过来的http请求,将包解析分析url,如果是静态文件则直接访问用户给nginx配置的静态文件目录,直接返回用 ...

  3. [TcaplusDB知识库]TcaplusDB客户端及常用命令

    数据库大都支持命令行访问,TcaplusDB也不例外,通过安装TcaplusDB客户端,您可以方便快捷地从命令行管理与访问数据库. TcaplusDB客户端 首先在 TcaplusServiceApi ...

  4. Cisco Catalyst 9800-CL Wireless Controller for Cloud

    面向云的思科 Catalyst 9800-CL 无线控制器,专为基于意图的网络全新打造. 版本: C9800-CL-universalk9.17.04.01 (29-Nov-2020) C9800-C ...

  5. 游刃于私有网络与公共网络之间的NAT

    网络地址转化技术NAT 1. 应用场景 2. NAT 2.1 静态NAT 2.2 动态NAT 2.3 NAPT 2.4 EASY IP 3. NAT配置 3.1 静态NAT 3.2 动态NAT 3.3 ...

  6. Vue的基本使用和模版语法

    Vue的基本使用和模版语法 一.Vue概述 Vue (读音 /vjuː/,类似于 view) 是一套用于构建用户界面的渐进式框架 vue 的核心库只关注视图层,不仅易于上手,还便于与第三方库或既有项目 ...

  7. Python+Selenium自动化-获取页面信息

    Python+Selenium自动化-获取页面信息   1.获取页面title title:获取当前页面的标题显示的字段 from selenium import webdriver import t ...

  8. js的基本数据类型和typeof的关系

    JavaScript数据类型是非常简洁的,它定义了6中基本数据类型 null:空.无.表示不存在,当为对象的属性赋值为null,表示删除该属性 undefined:未定义.当声明变量却没有赋值时会显示 ...

  9. WebRTC框架中的硬件加速

    WebRTC框架中的硬件加速 典型缓冲流量 应用程序和单元测试设置 重要方法调用 WebRTC软件包 局限性 WebRTC是一个免费的开源项目,可为浏览器和移动应用程序提供实时通信功能. WebRTC ...

  10. DarkGreenTrip博客搭建成功

    本博客(https://www.cnblogs.com/zhangshuhao1116)自2021年6月19日由 Shu-How Z  搭建成功,2018年搭建过hexo+next.Wordpress ...