偶然从看雪看到了一篇入门frida的题目,正好苦于没练手的东西,直接上手一波

1.第一题jadx打开,也没有壳和混淆,整体非常清晰,判断的逻辑也很简单

发现其实就是两个输入框,一个用户名一个密码,先拼接起来然后传入VVVVV.VVVV()方法中去校验,跟进去看一手

其实代码逻辑还是挺清晰的,手逆也不难,但是这里主要还是用hook来做,这里破解是非常容易的,直接hook VVVV()方法的返回值直接返回为true

,这样不管输入什么都只会通过,但是这边的话,我们还是选择要得到flag,所以选择在frida中进行爆破,求解,因为在方法中也可以调用原方法,而且

字符串的位数只有5位,爆破还是挺容易的,不过要注意的地方就是js的字符串和java的不太一样,所以我们需要通过hook java.lang.String类,然后

去实现java的字符串对象,进而调用原方法

function main()

{

    Java.perform(function(){

        var string_class=Java.use("java.lang.String");

        Java.use("com.kanxue.pediy1.VVVVV").VVVV.implementation=function(t,y)

        {

            for(var i=0;i<=9;i++)

            {

                for(var j=0;j<=9;j++)

                {

                    for(var k=0;k<=9;k++)

                    {

                        for(var w=0;w<=9;w++){

                            for(var x=0;x<=9;x++)

                            {

                                var res=string_class.$new(i.toString()+j.toString()+k.toString()+w.toString()+x.toString());

                                if(this.VVVV(t,res))

                                {

                                    console.log("right answer:",res);

                                    return true;

                                }else

                                {

                                    console.log("wrong answer:",res);

                                }

                            }

                        }

                    }

                }

            }

        }

    })

}

setImmediate(main);

frida -U --no-pause -f 包名 -l 注入的js。启动就等着结果出来就好了

第二题走起:

第二题有点热修复的意思,就是调用文件夹中dex中类的方法,

其实就是自定义了个classloader,只要hook就完事了,然后和第一题校验逻辑是一样的,爆破就好了

function main()

{

    Java.perform(function(){

        console.log("YenKoc");

        Java.enumerateClassLoaders({

            onMatch:function(loader){

                try{

                    if(loader.findClass("com.kanxue.pediy1.VVVVV"))

                    //if(loader.toString().indexOf('dalvik.system.DexClassLoader')>-1)

                    {

                        console.log("find right classloader");

                        console.log(loader);

                        Java.classFactory.loader=loader;

                        hookVVVV();

                        return;

                    }

                }catch(error)

                {

                    console.log("find error"+error);

                }

            },

            onComplete:function(){

                console.log("end1");

            }

        })

    })

}

function hookVVVV(){

    Java.perform(function(){

        console.log('loader',Java.classFactory.loader);

            for (var i = 0; i <= 9; i++) {

                for (var j = 0; j <= 9; j++) {

                    for (var k = 0; k <= 9; k++) {

                        for (var t = 0; t <= 9; t++) {

                            for (var y = 0; y <= 9; y++) {

                                    var newInput = Java.use('java.lang.String').$new(i.toString()

                                    + j.toString()

                                    + k.toString()

                                    + t.toString()

                                    + y.toString())

                                    //console.log(newInput)

                                    console.log("tmp:",newInput);

                                    var result = Java.use('com.kanxue.pediy1.VVVVV').VVVV(newInput)

                                    if(result == true){

                                        console.log('flag is ',newInput)

                                        return;

                                    }

                                }

                            }

                        }

                    }

                }  

    })

}

setImmediate(main);

//setTimeout(main,2000);

有几点坑的地方,第一个就是这个apk是测试用的apk,所以直接adb install是装不了的,我百度了下,修改androidmainfest.xml文件

把android:testOnly = "true"这个东西删了,二次重打包下,结果还是不行,我丢,然后我又重新adb install -t apk名字,可以安装了

这是安装测试apk的命令,然后就是这题frida -U --no-pause 包名 -l hook注入的js名字,不要在包名加-f了,加-f是spawn,开始就自启动

这样会导致找不到classloader的,所以我们要attach上去,之后才能找到。

第三题:

和第二题相比就是加了检测frida的方法,init()是native方法,我们用ida打开发现是动态注册,先去找一手jni_onload因为动态注册肯定

先调用这个方法的,

动态注册的话,其实本质就是换了个名字,之前静态注册的话,特征太明显了,java_包名_类名_native方法,所以出现了

动态注册,利用jninativeMethod这个结构体来存储native方法和本地函数的关联

//JNINativeMethod结构体

typedef struct {

    const char* name;       //Java中native方法的名字

    const char* signature;  //Java中native方法的描述符

    void*       fnPtr;      //对应JNI函数的指针

} JNINativeMethod;

/**

 * @param clazz java类名,通过 FindClass 获取

 * @param methods JNINativeMethod 结构体指针

 * @param nMethods 方法个数

 */

jint RegisterNatives(jclass clazz, const JNINativeMethod* methods, jint nMethods)

//JNI_OnLoad

JNIEXPORT jint JNICALL JNI_OnLoad(JavaVM* vm, void* reserved);

这个就说的很清晰了。就不多bb了,

说明真正的native方法对应的本地函数是init,我们跟进去一下

发现就是新建了一个线程,检测frida是否占用了端口

这里处理方式

1.第一种是重打包,直接不调用init()这个方法了,这个androidkiller的话,很简单的,就不多bb了

2.直接hook native 方法

function hook_pthread_create(){

    var pt_create_func = Module.findExportByName(null,'pthread_create');

    var detect_frida_loop_addr = null;

    console.log('pt_create_func:',pt_create_func);

   Interceptor.attach(pt_create_func,{

       onEnter:function(){

           if(detect_frida_loop_addr == null)

           {

                var base_addr = Module.getBaseAddress('libnative-lib.so');

                if(base_addr != null){

                    detect_frida_loop_addr = base_addr.add(0xe9c)

                    console.log('this.context.x2: ', detect_frida_loop_addr , this.context.x2);

                    if(this.context.x2.compare(detect_frida_loop_addr) == 0) {

                        hook_anti_frida_replace(this.context.x2);

                    }

                }

           }

       },

       onLeave : function(retval){

           // console.log('retval',retval);

       }

   })

}

function hook_anti_frida_replace(addr){

    console.log('replace anti_addr :',addr);

    Interceptor.replace(addr,new NativeCallback(function(a1){

        console.log('replace success');

        return;

    },'pointer',[]));

}

这里hook native的手法,我还不太熟悉,直接搬肉丝表哥的代码的233,晚上研究一手

3.还有就是修改硬编码so,直接就是patch,爆破那种思路,各位大佬也是有手就行

从三道题目入门frida的更多相关文章

  1. 漫谈C指针:参数传递的三道题目

    漫谈C指针:参数传递的三道题目 2009-07-02 开讲之前,我先请你做三道题目.(嘿嘿,得先把你的头脑搞昏才行……唉呀,谁扔我鸡蛋?) 考题一,程序代码如下: [c] view plaincopy ...

  2. CodeForce——Deltix Round, Autumn 2021 (open for everyone, rated, Div. 1 + Div. 2)前三道题目题解

    目录 A: B: C: 题目链接 A Divide and Multiply standard input/output 1 s, 256 MB 正在上传-重新上传取消 x13036 B Willia ...

  3. 《算法C语言实现》————三道题目

    1.对于N = 10,100和1000,记录你的运行环境中分别运行一下程序所花费的时间.(用python) import datetime global a a = 0 def time_1(s): ...

  4. 27号华为笔试(三道ac两道)

    三道题目case:100,100,0: 三个题目: 前两个都全部ac了,第三题没时间: 记录一下大概的思路: 第一题 主要通过Java中的字符串处理函数:然后控制字符串输入格式: 卡bug的点: 1: ...

  5. 一步步学习javascript基础篇(6):函数表达式之【闭包】

    回顾前面介绍过的三种定义函数方式 1. function sum (num1, num2) { return num1 + num2; }  //函数声明语法定义 2. var sum = funct ...

  6. leetcode6

    好吧,今天晚上赶项目确实是做不了三道题目了,最近项目在网络编程方面有些进步,学到了东西,有时间再积累下来,很深的体会就是,和别人一起写代码,虽然蛋疼但是比自己一个人写要好点,不过发现自己对链表和排序什 ...

  7. April Fools Day Contest 2014

    April Fools Day Contest 2014 A.C.H三道题目 ============================================================= ...

  8. HDU 1828 Picture(线段树扫描线求周长)

    Picture Time Limit: 6000/2000 MS (Java/Others)    Memory Limit: 32768/32768 K (Java/Others) Total Su ...

  9. 【转】lonekight@xmu·ACM/ICPC 回忆录

    转自:http://hi.baidu.com/ordeder/item/2a342a7fe7cb9e336dc37c89 2009年09月06日 星期日 21:55 初识ACM最早听说ACM/ICPC ...

随机推荐

  1. 06.ElementUI 2.X 源码学习:源码剖析之工程化(一)

    0x.00 前言 在用了5章篇幅 ElementUI源码学习:从零开始搭建Vue组件库汇总 讲解了如何编写一个组件.发布npm以及生成展示文档之后.接下来将分析Element项目的代码结构,学习其工程 ...

  2. salesforce零基础学习(一百零三)项目中的零碎知识点小总结(五)

    本篇参考:Salesforce Admin篇(四) Security 之Two-Factor Authentication & Single Sign On https://developer ...

  3. oracle实现通过logminer实现日志抓取分析

    场景:现场库到前置库. 思考:使用触发器? 1.侵入性解决方案 2.需要时各种配置,不需要时又是各种配置 Change Data Capture:捕捉变化的数据,通过日志监测并捕获数据库的变动(包括数 ...

  4. MindInsight训练可视整体设计介绍

    MindInsight训练可视整体设计介绍 MindInsight是MindSpore的可视化调试调优组件.通过MindInsight可以完成训练可视.性能调优.精度调优等任务. 训练可视功能主要包括 ...

  5. 开放式神经网络交换-ONNX(下)

    开放式神经网络交换-ONNX(下) 计算节点由名称.它调用的算子operator的名称.命名输入的列表.命名输出的列表和属性列表组成. 输入和输出在位置上与算子operator输入和输出相关联.属性通 ...

  6. C语言代码区错误以及编译过程

    C语言代码区错误 欲想了解C语言代码段会有如何错误,我们必须首先了解编译器是如何把C语言文本信息编译成为可以执行的机器码的. 背景介绍 测试使用的C语言代码 导入标准库,定义宏变量,定义结构体,重命名 ...

  7. Selective Kernel Networks

    摘要:在标准的卷积神经网络(CNNs)中,每一层的人工神经元的感受野被设计成具有相同的大小.众所周知,视觉皮层神经元的感受野大小受刺激的调节,但在构建cnn时却很少考虑到这一点.我们在神经网络中提出了 ...

  8. starter自动转配流程以及@Import注解使用

    本文主要内容包括三个部分,第一部分主要介绍@Import注解的三种使用方法,第二部分主要介绍自定义starter的两种形式,第三部分主要介绍Springboot自动装配Bean的大致流程,第四部分主要 ...

  9. Mybatis数据连接池的配置---增删改查(以及遇见的问题)

    1.首先创建项目和各个文件,如图所示: 2.配置相关数据库连接 在jdbc.properties中加入 1 db.driver=com.mysql.jdbc.Driver 2 db.url=jdbc: ...

  10. 「10.17-10.18」liu_runda’s模拟

    暂咕 $day1$ A. 位运算 分类讨论,贡献分离. B. 集合论 维护类似时间戳的东西 C. 连连看 考场思路太局限了,考虑容斥. 我们可以看出两个方块能作出贡献,实际上是一个极大联通块(白块)所 ...