FridaHook框架学习(2)

前言

学习过程参考https://bbs.pediy.com/thread-227233.htm。

逆向分析

安装并运行例子程序,可以看到这个例子是一个验证注册码的程序。

使用jadx解析这个APK。

通过类名以及AndroidManifest可以猜测以及知道LauncherActivity是这个程序的启动类。先看看LauncherActivity的代码。

public class LauncherActivity extends AppCompatActivity {

    /* access modifiers changed from: protected */

    public void onCreate(Bundle savedInstanceState) {

        super.onCreate(savedInstanceState);

        setContentView((int) R.layout.activity_launcher);

    }

    public void verifyClick(View v) {

        try {

            InputStream in = new URL("http://broken.license.server.com/query?license=" + ((EditText) findViewById(R.id.text_license)).getText().toString()).openConnection().getInputStream();

            StringBuilder responseBuilder = new StringBuilder();

            byte[] b = new byte[0];

            while (in.read(b) > 0) {

                responseBuilder.append(b);

            }

            String response = responseBuilder.toString();

            if (response.equals("LICENSEKEYOK")) {

                String activatedKey = new String(MainActivity.xor(getMac().getBytes(), response.getBytes()));

                SharedPreferences.Editor editor = getApplicationContext().getSharedPreferences("preferences", 0).edit();

                editor.putString("KEY", activatedKey);

                editor.commit();

                new AlertDialog.Builder(this).setTitle((CharSequence) "Activation successful").setMessage((CharSequence) "Activation successful").setIcon(17301543).show();

                return;

            }

            new AlertDialog.Builder(this).setTitle((CharSequence) "Invalid license!").setMessage((CharSequence) "Invalid license!").setIcon(17301543).show();

        } catch (Exception e) {

            new AlertDialog.Builder(this).setTitle((CharSequence) "Error occured").setMessage((CharSequence) "Server unreachable").setNeutralButton((CharSequence) "OK", (DialogInterface.OnClickListener) null).setIcon(17301543).show();

        }

    }

    private String getKey() {

        return getApplicationContext().getSharedPreferences("preferences", 0).getString("KEY", "");

    }

    private String getMac() {

        try {

            return ((WifiManager) getApplicationContext().getSystemService("wifi")).getConnectionInfo().getMacAddress();

        } catch (Exception e) {

            return "";

        }

    }

    public void showPremium(View view) {

        Intent i = new Intent(this, MainActivity.class);

        i.putExtra("MAC", getMac());

        i.putExtra("KEY", getKey());

        startActivity(i);

    }

}

可以通过方法名猜测verifyClick方法应该就是VERIFY按钮的点击事件,showPremium应该就是另一个按钮的点击事件。可以看到程序的逻辑大概为通过网络验证license的正确性,若正确就调用MainActivity的xor方法通过MAC和response生成密钥并保存在本地的preference中。

其中InputStream是Java一个用于读取流的类。SharedPreferences是一个类似Python中字典的一种数据结构。

再来看看MainActivity的代码

public class MainActivity extends AppCompatActivity {

    public native String stringFromJNI(String str, String str2);

    public static byte[] xor(byte[] val, byte[] key) {

        byte[] o = new byte[val.length];

        for (int i = 0; i < val.length; i++) {

            o[i] = (byte) (val[i] ^ key[i % key.length]);

        }

        return o;

    }

    public void onCreate(Bundle savedInstanceState) {

        String key = getIntent().getStringExtra("KEY");

        String mac = getIntent().getStringExtra("MAC");

        if (key == "" || mac == "") {

            key = "";

            mac = "";

        }

        super.onCreate(savedInstanceState);

        setContentView((int) R.layout.activity_main);

        ((TextView) findViewById(R.id.sample_text)).setText(stringFromJNI(key, mac));

    }

    static {

        System.loadLibrary("native-lib");

    }

}

可以看到显示flag的函数写在了So中,通过密钥KEY和MAC生成。

可以得到Hook思路:Hook getKey方法直接使用MAC和LICENSEOK构造密钥并返回,之后点击PREMIUMCONTENT按钮即可

Hook代码编写

import frida

import sys

jscode = """

    Java.perform(function(){

        function stringToBytes(str){

            var javaString = Java.use('java.lang.String');

            var bytes = [];

            bytes = javaString.$new(str).getBytes();

            return bytes;

        }

        function bytesToString(bytes){

            var javaString = Java.use('java.lang.String');

            return javaString.$new(bytes);

        }

        var launcheractivity = Java.use('de.fraunhofer.sit.premiumapp.LauncherActivity');

        var main = Java.use('de.fraunhofer.sit.premiumapp.MainActivity');

        var license = "LICENSEKEYOK";

        launcheractivity.getKey.implementation = function() {

            var mac = this.getMac();

            var macbyte = stringToBytes(mac);

            var licensebyte = stringToBytes(license);

            var xor = main.xor(macbyte,licensebyte);

            send(xor)

            var key = bytesToString(xor);

            send(key.toString());

            return key;

        }

        launcheractivity.verifyClick.implementation = function(v) {

            this.showPremium(v);

        }

    });

"""

def on_message(message, data):

    if message['type'] == 'send':

        print("[*] {0}".format(message['payload']))

    else:

        print(message)

process = frida.get_usb_device().attach('de.fraunhofer.sit.premiumapp')

script = process.create_script(jscode)

script.on('message', on_message)

script.load()

sys.stdin.read()

运行结果

总结

编写js代码的时候是真的累,因为要写在字符串里,没法自动补全,有些变量名就打错了,还全部都是绿绿的很难看出来,终于也看懂了一点js的报错才找出来了。Js中可以通过Java.use使用Java中的一些基类用于灵活转换类型。

FridaHook框架学习(2)的更多相关文章

  1. FridaHook框架学习(1)

    FridaHook框架学习(1) 前言 本次学习过程参考https://bbs.pediy.com/thread-227232.htm Frida安装与使用 Windows端安装 pip instal ...

  2. IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习保护API

    IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习之保护API. 使用IdentityServer4 来实现使用客户端凭据保护ASP.N ...

  3. Hadoop学习笔记—18.Sqoop框架学习

    一.Sqoop基础:连接关系型数据库与Hadoop的桥梁 1.1 Sqoop的基本概念 Hadoop正成为企业用于大数据分析的最热门选择,但想将你的数据移植过去并不容易.Apache Sqoop正在加 ...

  4. Spring框架学习一

    Spring框架学习,转自http://blog.csdn.net/lishuangzhe7047/article/details/20740209 Spring框架学习(一) 1.什么是Spring ...

  5. EF框架学习手记

    转载: [ASP.NET MVC]: - EF框架学习手记 1.EF(Entity Framework)实体框架EF是ADO.NET中的一组支持开发面向数据的软件应用程序的技术,是微软的一个ORM框架 ...

  6. web框架学习列表

    转载自鲁塔弗的博客,原文网址:http://lutaf.com/148.htm web framework层出不穷,特别是ruby/python,各有10+个,php/java也是一大堆 根据我自己的 ...

  7. 2013 最新的 play web framework 版本 1.2.3 框架学习文档整理

    Play framework框架学习文档 Play framework框架学习文档 1 一.什么是Playframework 3 二.playframework框架的优点 4 三.Play Frame ...

  8. SSH 框架学习之初识Java中的Action、Dao、Service、Model-收藏

    SSH 框架学习之初识Java中的Action.Dao.Service.Model-----------------------------学到就要查,自己动手动脑!!!   基础知识目前不够,有感性 ...

  9. 各种demo——CI框架学习

    各种demo——CI框架学习   寒假学习一下CI框架,请各位多多指教! 一.CI的HelloWorld! 注意:CI禁止直接通过文件目录来访问控制器. ./application/controlle ...

随机推荐

  1. JavaDailyReports10_17

    学习JavaWeb第一天 输出我的第一个HelloWorld! 1 <%@ page language="java" import="java.util.*&quo ...

  2. 容器编排系统K8s之Dashboard部署

    前文我们了解了k8s的访问控制第三关准入控制相关插件的使用,回顾请参考:https://www.cnblogs.com/qiuhom-1874/p/14220402.html:今天我们来了解下k8s的 ...

  3. 手摸手带你用Hexo撸博客(三)之添加评论系统

    原文地址 注: 笔者采用的是butterfly主题, 主题内置集成评论系统 butterfly主题开启评论 开启评论需要在comments-use中填写你需要的评论. 以Valine为例 commen ...

  4. idea thymeleaf页面变量报错解决

    IDEA在thymeleaf页面编写变量,如${user.id}会出现红色波浪下划线错误,提示Validates unresolved references and invalid expressio ...

  5. 使用SpringBoot搭建Web项目

    序言 从简入深的使用SpringBoot搭建一个Web项目,同时也包括一些小的问题.第一篇博文是以较为简单的方式完成一个可以连接数据库的Springboot web程序.之前自己学习的时候看网上的教程 ...

  6. 【Dart】语言概述

    // 导入(import) // 导入核心库 //导入外部库 import 'package:test_api/test_api.dart'; // 导入文件 //import 'path/test. ...

  7. 详细的String源码解析

    我们常常把String类型的字符串作为HashMap的key,为什么要这样做呢? 因为String是不可变的,一旦初始化就不再改变了,如果被修改将会是一个新对象. @Test public void ...

  8. 天梯赛练习 L3-007 天梯地图 (30分) Dijkstra

    题目分析: 本题的题意比较清晰,就是有一个起点和一个终点,给出m条路径,可能是单向的可能是双向的,同时一条路有两个权重,分别是通过这条路需要的时间和这条路的路径长度,题目需要求出两条路径,一条是在最快 ...

  9. o_direct刷新方式和文件系统支持Direct i/o

    若让innodb使用o_direct刷新方式,文件系统支持Direct i/o 是非常重要的.为啥

  10. a[i][j] 和 a[j][i] 有什么区别?

    本文以一个简单的程序开头--数组赋值: int LEN = 10000;int[][] arr = new int[LEN][LEN]; for (int i = 0; i < LEN; i++ ...