FridaHook框架学习(2)

前言

学习过程参考https://bbs.pediy.com/thread-227233.htm。

逆向分析

安装并运行例子程序,可以看到这个例子是一个验证注册码的程序。

使用jadx解析这个APK。

通过类名以及AndroidManifest可以猜测以及知道LauncherActivity是这个程序的启动类。先看看LauncherActivity的代码。

public class LauncherActivity extends AppCompatActivity {

    /* access modifiers changed from: protected */

    public void onCreate(Bundle savedInstanceState) {

        super.onCreate(savedInstanceState);

        setContentView((int) R.layout.activity_launcher);

    }

    public void verifyClick(View v) {

        try {

            InputStream in = new URL("http://broken.license.server.com/query?license=" + ((EditText) findViewById(R.id.text_license)).getText().toString()).openConnection().getInputStream();

            StringBuilder responseBuilder = new StringBuilder();

            byte[] b = new byte[0];

            while (in.read(b) > 0) {

                responseBuilder.append(b);

            }

            String response = responseBuilder.toString();

            if (response.equals("LICENSEKEYOK")) {

                String activatedKey = new String(MainActivity.xor(getMac().getBytes(), response.getBytes()));

                SharedPreferences.Editor editor = getApplicationContext().getSharedPreferences("preferences", 0).edit();

                editor.putString("KEY", activatedKey);

                editor.commit();

                new AlertDialog.Builder(this).setTitle((CharSequence) "Activation successful").setMessage((CharSequence) "Activation successful").setIcon(17301543).show();

                return;

            }

            new AlertDialog.Builder(this).setTitle((CharSequence) "Invalid license!").setMessage((CharSequence) "Invalid license!").setIcon(17301543).show();

        } catch (Exception e) {

            new AlertDialog.Builder(this).setTitle((CharSequence) "Error occured").setMessage((CharSequence) "Server unreachable").setNeutralButton((CharSequence) "OK", (DialogInterface.OnClickListener) null).setIcon(17301543).show();

        }

    }

    private String getKey() {

        return getApplicationContext().getSharedPreferences("preferences", 0).getString("KEY", "");

    }

    private String getMac() {

        try {

            return ((WifiManager) getApplicationContext().getSystemService("wifi")).getConnectionInfo().getMacAddress();

        } catch (Exception e) {

            return "";

        }

    }

    public void showPremium(View view) {

        Intent i = new Intent(this, MainActivity.class);

        i.putExtra("MAC", getMac());

        i.putExtra("KEY", getKey());

        startActivity(i);

    }

}

可以通过方法名猜测verifyClick方法应该就是VERIFY按钮的点击事件,showPremium应该就是另一个按钮的点击事件。可以看到程序的逻辑大概为通过网络验证license的正确性,若正确就调用MainActivity的xor方法通过MAC和response生成密钥并保存在本地的preference中。

其中InputStream是Java一个用于读取流的类。SharedPreferences是一个类似Python中字典的一种数据结构。

再来看看MainActivity的代码

public class MainActivity extends AppCompatActivity {

    public native String stringFromJNI(String str, String str2);

    public static byte[] xor(byte[] val, byte[] key) {

        byte[] o = new byte[val.length];

        for (int i = 0; i < val.length; i++) {

            o[i] = (byte) (val[i] ^ key[i % key.length]);

        }

        return o;

    }

    public void onCreate(Bundle savedInstanceState) {

        String key = getIntent().getStringExtra("KEY");

        String mac = getIntent().getStringExtra("MAC");

        if (key == "" || mac == "") {

            key = "";

            mac = "";

        }

        super.onCreate(savedInstanceState);

        setContentView((int) R.layout.activity_main);

        ((TextView) findViewById(R.id.sample_text)).setText(stringFromJNI(key, mac));

    }

    static {

        System.loadLibrary("native-lib");

    }

}

可以看到显示flag的函数写在了So中,通过密钥KEY和MAC生成。

可以得到Hook思路:Hook getKey方法直接使用MAC和LICENSEOK构造密钥并返回,之后点击PREMIUMCONTENT按钮即可

Hook代码编写

import frida

import sys

jscode = """

    Java.perform(function(){

        function stringToBytes(str){

            var javaString = Java.use('java.lang.String');

            var bytes = [];

            bytes = javaString.$new(str).getBytes();

            return bytes;

        }

        function bytesToString(bytes){

            var javaString = Java.use('java.lang.String');

            return javaString.$new(bytes);

        }

        var launcheractivity = Java.use('de.fraunhofer.sit.premiumapp.LauncherActivity');

        var main = Java.use('de.fraunhofer.sit.premiumapp.MainActivity');

        var license = "LICENSEKEYOK";

        launcheractivity.getKey.implementation = function() {

            var mac = this.getMac();

            var macbyte = stringToBytes(mac);

            var licensebyte = stringToBytes(license);

            var xor = main.xor(macbyte,licensebyte);

            send(xor)

            var key = bytesToString(xor);

            send(key.toString());

            return key;

        }

        launcheractivity.verifyClick.implementation = function(v) {

            this.showPremium(v);

        }

    });

"""

def on_message(message, data):

    if message['type'] == 'send':

        print("[*] {0}".format(message['payload']))

    else:

        print(message)

process = frida.get_usb_device().attach('de.fraunhofer.sit.premiumapp')

script = process.create_script(jscode)

script.on('message', on_message)

script.load()

sys.stdin.read()

运行结果

总结

编写js代码的时候是真的累,因为要写在字符串里,没法自动补全,有些变量名就打错了,还全部都是绿绿的很难看出来,终于也看懂了一点js的报错才找出来了。Js中可以通过Java.use使用Java中的一些基类用于灵活转换类型。

FridaHook框架学习(2)的更多相关文章

  1. FridaHook框架学习(1)

    FridaHook框架学习(1) 前言 本次学习过程参考https://bbs.pediy.com/thread-227232.htm Frida安装与使用 Windows端安装 pip instal ...

  2. IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习保护API

    IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习之保护API. 使用IdentityServer4 来实现使用客户端凭据保护ASP.N ...

  3. Hadoop学习笔记—18.Sqoop框架学习

    一.Sqoop基础:连接关系型数据库与Hadoop的桥梁 1.1 Sqoop的基本概念 Hadoop正成为企业用于大数据分析的最热门选择,但想将你的数据移植过去并不容易.Apache Sqoop正在加 ...

  4. Spring框架学习一

    Spring框架学习,转自http://blog.csdn.net/lishuangzhe7047/article/details/20740209 Spring框架学习(一) 1.什么是Spring ...

  5. EF框架学习手记

    转载: [ASP.NET MVC]: - EF框架学习手记 1.EF(Entity Framework)实体框架EF是ADO.NET中的一组支持开发面向数据的软件应用程序的技术,是微软的一个ORM框架 ...

  6. web框架学习列表

    转载自鲁塔弗的博客,原文网址:http://lutaf.com/148.htm web framework层出不穷,特别是ruby/python,各有10+个,php/java也是一大堆 根据我自己的 ...

  7. 2013 最新的 play web framework 版本 1.2.3 框架学习文档整理

    Play framework框架学习文档 Play framework框架学习文档 1 一.什么是Playframework 3 二.playframework框架的优点 4 三.Play Frame ...

  8. SSH 框架学习之初识Java中的Action、Dao、Service、Model-收藏

    SSH 框架学习之初识Java中的Action.Dao.Service.Model-----------------------------学到就要查,自己动手动脑!!!   基础知识目前不够,有感性 ...

  9. 各种demo——CI框架学习

    各种demo——CI框架学习   寒假学习一下CI框架,请各位多多指教! 一.CI的HelloWorld! 注意:CI禁止直接通过文件目录来访问控制器. ./application/controlle ...

随机推荐

  1. 第一章节 BJROBOT ROS 网络配置及移动控制【ROS全开源阿克曼转向智能网联无人驾驶车】

    版权声明:该教程版权归北京智能佳科技有限公司所有,未经公司授权禁止引用.发布.转载等,否则将追究其法律责任. 使用前说明:本使用文档说明略微简明,请结合指导视频进行操作会更容易理解!! 第一章节 BJ ...

  2. Bata冲刺——第一天

    这个作业属于哪个课程 https://edu.cnblogs.com/campus/fzzcxy/2018SE1 这个作业要求在哪里 https://edu.cnblogs.com/campus/fz ...

  3. Oracle 模糊查询 优化

    模糊查询是数据库查询中经常用到的,一般常用的格式如下: (1)字段  like '%关键字%'   字段包含"关键字"的记录   即使在目标字段建立索引也不会走索引,速度最慢 (2 ...

  4. 浅谈.NET技术公司的实习生培养

    浅谈.NET技术公司的实习生培养 背景 近几年.NET开发者市场的越发不景气,一毕业就选择.NET技术的开发者更是少之又少.一方面是公司效益的日益提高,一方面却是招聘优秀人才的速度总是赶不上公司发展的 ...

  5. RecyclerView 源码分析(一) —— 绘制流程解析

    概述 对于 RecyclerView 是那么熟悉又那么陌生.熟悉是因为作为一名 Android 开发者,RecyclerView 是经常会在项目里面用到的,陌生是因为只是知道怎么用,但是却不知道 Re ...

  6. zabbix自定义监控nginx

    nginx配置ngx_status 1.编译安装时带上--with-http_stub_status_module参数 2.vi nginx.conf location ~* ^/ngx_status ...

  7. 【函数分享】每日PHP函数分享(2021-1-19)

    substr 函数返回字符串的一部分.注释:如果 start 参数是负数且 length 小于或等于 start,则 length 为 0. string substr (string $string ...

  8. 【RAC】10grac添加节点,详细步骤

    RAC物理结构 现在的RAC环境是二个节点: dbp,dbs, 这个实验就是添加节点dbi. dbp,dbs和dbi节点的信息规划如下: 服务器主机名 dbp dbs dbi 公共IP地址(eth0) ...

  9. 优先队列priority_queue排序

    优先队列默认大顶堆,即堆顶元素是最大值 改成小顶堆时: priority_queue<int,vector<int>, greater<int> > Q;//注意最 ...

  10. [WPF] 在单元测试中使用 Prism 的 EventAggregator,订阅到 ThreadOption.UIThread 会报错

    1. 问题 [TestClass] public class UnitTest1 { [TestMethod] public void TestMethod1() { ContainerLocator ...