FridaHook框架学习(1)

前言

本次学习过程参考https://bbs.pediy.com/thread-227232.htm

Frida安装与使用

  • Windows端安装

    pip install frida
    

    pip install frida-tools

    Over the wall后安装,不然可能会报错。

    frida-tools提供frida命令行工具

  • 手机端安装

    到https://github.com/frida/frida/releases下载对应的frida-server,推荐各个架构的都下完,这样以后就不用再下了

    查看自己手机架构(abi),使用命令

    adb shell getprop ro.product.cpu.abi

    模拟器一般都是x86架构。

    然后使用下面这个命令将fridaserver发送到手机

    adb push frida-server-12.10.4-android-x86 ./data/local/tmp

    进入adb shell,然后cd到./data/local/tmp,给fridaserver权限,命令:

    chmod 777 frida-server-12.10.4-android-x86

    然后运行fridaserver

    新开一个Cmd窗口,使用以下命令执行端口转发

    adb forward tcp:27042 tcp:27042
    
adb forward tcp:27043 tcp:27043

    然后执行以下命令,查看fridaserver是否运行成功

    frida-ps -U

    若显示手机上的进程则说明运行成功。frida命令必须安装frida-tools才能使用。

逆向分析

将文中例子下载好拖入jadx分析。

package com.example.seccon2015.rock_paper_scissors;

import android.app.Activity;

import android.os.Bundle;

import android.os.Handler;

import android.view.View;

import android.widget.Button;

import android.widget.TextView;

import java.util.Random;

public class MainActivity extends Activity implements View.OnClickListener {

    Button P;

    Button S;

    int cnt = 0;

    int flag;

    private final Handler handler = new Handler();

    int m;

    int n;

    Button r;

    private final Runnable showMessageTask = new Runnable() {

        public void run() {

            TextView tv3 = (TextView) MainActivity.this.findViewById(R.id.textView3);

            if (MainActivity.this.n - MainActivity.this.m == 1) {

                MainActivity.this.cnt++;

                tv3.setText("WIN! +" + String.valueOf(MainActivity.this.cnt));

            } else if (MainActivity.this.m - MainActivity.this.n == 1) {

                MainActivity.this.cnt = 0;

                tv3.setText("LOSE +0");

            } else if (MainActivity.this.m == MainActivity.this.n) {

                tv3.setText("DRAW +" + String.valueOf(MainActivity.this.cnt));

            } else if (MainActivity.this.m < MainActivity.this.n) {

                MainActivity.this.cnt = 0;

                tv3.setText("LOSE +0");

            } else {

                MainActivity.this.cnt++;

                tv3.setText("WIN! +" + String.valueOf(MainActivity.this.cnt));

            }

            if (1000 == MainActivity.this.cnt) {

                tv3.setText("SECCON{" + String.valueOf((MainActivity.this.cnt + MainActivity.this.calc()) * 107) + "}");

            }

            MainActivity.this.flag = 0;

        }

    };

    public native int calc();

    static {

        System.loadLibrary("calc");

    }

    /* access modifiers changed from: protected */

    public void onCreate(Bundle savedInstanceState) {

        super.onCreate(savedInstanceState);

        setContentView(R.layout.activity_main);

        this.P = (Button) findViewById(R.id.button);

        this.S = (Button) findViewById(R.id.button3);

        this.r = (Button) findViewById(R.id.buttonR);

        this.P.setOnClickListener(this);

        this.r.setOnClickListener(this);

        this.S.setOnClickListener(this);

        this.flag = 0;

    }

    public void onClick(View v) {

        if (this.flag != 1) {

            this.flag = 1;

            ((TextView) findViewById(R.id.textView3)).setText("");

            TextView tv = (TextView) findViewById(R.id.textView);

            this.m = 0;

            this.n = new Random().nextInt(3);

            ((TextView) findViewById(R.id.textView2)).setText(new String[]{"CPU: Paper", "CPU: Rock", "CPU: Scissors"}[this.n]);

            if (v == this.P) {

                tv.setText("YOU: Paper");

                this.m = 0;

            }

            if (v == this.r) {

                tv.setText("YOU: Rock");

                this.m = 1;

            }

            if (v == this.S) {

                tv.setText("YOU: Scissors");

                this.m = 2;

            }

            this.handler.postDelayed(this.showMessageTask, 1000);

        }

    }

}

这个例子是一个剪刀石头布游戏。

系统会随机出剪刀石头布,必须连续赢1000次才能获得flag,因为输一次计数器就会清零。

其中handler是Android中一种多线程实现方式,可以实现线程间通信。handler被实例化时就会绑定实例化时的线程,之后handler绑定的方法就可以对该线程数据进行修改。this.handler.postDelayed功能为延迟执行。本例子中意思为1秒后使用执行showMessageTask。我Android开发不太行,这些是查找网上资料后一些自己的理解。

Hook代码编写

要想得到flag

  1. 逆向分析cal方法得到结果
  2. 直接Hook onCrate方法修改计数器cnt的值使计数器为1000
  3. 直接Hook cal方法得到返回值

  • 方法二,修改计数器

    若直接修改cnt,一开始不能确定输赢。所以m和n的值也要修改。

    showMessageTask是个匿名内部类,目前还不知道怎么Hook,故Hook onClick方法。

    import frida
    
import sys
    
# 核心代码
    
jscode = """
    
// Java.perform开始执行js脚本
    
Java.perform(function () {
    
// Java.use指定要使用的类
    
    var MainActivity = Java.use('com.example.seccon2015.rock_paper_scissors.MainActivity');
    
// Hook这个类的onClick方法,注意该方法有一个参数,要写上
    
    MainActivity.onClick.implementation = function (v) {
    
    	//发送信息
    
        send("Hook Start...");
    
        //模拟点击事件
    
        this.onClick(v);
    
        //修改值
    
        this.n.value = 0;
    
        this.m.value = 2;
    
        this.cnt.value = 999;
    
        send("Success!")
    
    }
    
});
    
"""
    
#设置信息格式的方法
    
def on_message(message, data):
    
    if message['type'] == 'send':
    
        print("[*] {0}".format(message['payload']))
    
    else:
    
        print(message)

# 获取设备,attach内填完整包名
    
process = frida.get_usb_device().attach('com.example.seccon2015.rock_paper_scissors')
    
# 创建脚本对象
    
script = process.create_script(jscode)
    
# 设置信息
    
script.on('message', on_message)
    
# 执行脚本
    
script.load()
    
sys.stdin.read()

  • 方法三,直接获得cal的返回值

    import frida
    
import sys

jscode = """
    
Java.perform(function () {
    
    var MainActivity = Java.use('com.example.seccon2015.rock_paper_scissors.MainActivity');
    
    MainActivity.onCreate.implementation = function () {
    
        send("Hook Start...");
    
        var returnValue = this.calc();
    
        send("Return:"+returnValue);
    
        var result = (1000+returnValue)*107;
    
        send("Flag:"+"SECCON{"+result.toString()+"}");
    
    }
    
});
    
"""

def on_message(message, data):
    
    if message['type'] == 'send':
    
        print("[*] {0}".format(message['payload']))
    
    else:
    
        print(message)

process = frida.get_usb_device().attach('com.example.seccon2015.rock_paper_scissors')
    
script = process.create_script(jscode)
    
script.on('message', on_message)
    
script.load()
    
sys.stdin.read()

    因为Hook的是onCreat方法,但要Hook又必须先启动程序,程序启动后onCreate方法已经执行完毕,所以Hook不到。所以要先打开程序,之后运行脚本,之后点击主页返回桌面,再点击一次应用图标打开,即可Hook。

    Hook完成后APP会停止运行,不知道为什么。

FridaHook框架学习(1)的更多相关文章

  1. FridaHook框架学习(2)

    FridaHook框架学习(2) 前言 学习过程参考https://bbs.pediy.com/thread-227233.htm. 逆向分析 安装并运行例子程序,可以看到这个例子是一个验证注册码的程 ...

  2. IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习保护API

    IdentityServer4 ASP.NET Core的OpenID Connect OAuth 2.0框架学习之保护API. 使用IdentityServer4 来实现使用客户端凭据保护ASP.N ...

  3. Hadoop学习笔记—18.Sqoop框架学习

    一.Sqoop基础:连接关系型数据库与Hadoop的桥梁 1.1 Sqoop的基本概念 Hadoop正成为企业用于大数据分析的最热门选择,但想将你的数据移植过去并不容易.Apache Sqoop正在加 ...

  4. Spring框架学习一

    Spring框架学习,转自http://blog.csdn.net/lishuangzhe7047/article/details/20740209 Spring框架学习(一) 1.什么是Spring ...

  5. EF框架学习手记

    转载: [ASP.NET MVC]: - EF框架学习手记 1.EF(Entity Framework)实体框架EF是ADO.NET中的一组支持开发面向数据的软件应用程序的技术,是微软的一个ORM框架 ...

  6. web框架学习列表

    转载自鲁塔弗的博客,原文网址:http://lutaf.com/148.htm web framework层出不穷,特别是ruby/python,各有10+个,php/java也是一大堆 根据我自己的 ...

  7. 2013 最新的 play web framework 版本 1.2.3 框架学习文档整理

    Play framework框架学习文档 Play framework框架学习文档 1 一.什么是Playframework 3 二.playframework框架的优点 4 三.Play Frame ...

  8. SSH 框架学习之初识Java中的Action、Dao、Service、Model-收藏

    SSH 框架学习之初识Java中的Action.Dao.Service.Model-----------------------------学到就要查,自己动手动脑!!!   基础知识目前不够,有感性 ...

  9. 各种demo——CI框架学习

    各种demo——CI框架学习   寒假学习一下CI框架,请各位多多指教! 一.CI的HelloWorld! 注意:CI禁止直接通过文件目录来访问控制器. ./application/controlle ...

随机推荐

  1. Win10下mysql5.5和mysql8.0.19共存

    Win10下mysql5.5和mysql8.0.19共存 需求:由于之前做的项目用的是mysql5.5,而新接的项目指定用mysql8,需要myql5..5和8同时存在运行. 前提:电脑已经安装mys ...

  2. IT 界那些朗朗上口的“名言

    中国有很多古代警世名言,朗朗上口,凝聚了很多故事与哲理.硅谷的互联网公司里头也有一些这样的名言,凝聚了很多公司价值观和做事的方法,对于很多程序员来说,其影响潜移默化.这里收集了一些,如下. Stay ...

  3. 使用mono-repo实现跨项目组件共享

    本文会分享一个我在实际工作中遇到的案例,从最开始的需求分析到项目搭建,以及最后落地的架构的整个过程.最终实现的效果是使用mono-repo实现了跨项目的组件共享.在本文中你可以看到: 从接到需求到深入 ...

  4. TurtleBot3 Waffle (tx2版华夫)(5)激活你的雷达

    重要提示:请在配网通信成功后进行操作,配网后再次开机需要重新验证通信: 重要提示:[Remote PC]代表PC端.[TurtelBot]代表树莓派端: 5.1.操作步骤 1)[Remote PC]  ...

  5. 解决github下载速度慢问题

    众所周知,GitHub是一个巨大的开源宝库,以及程序员和编程爱好者的聚集地,包括我之前推荐的诸多优秀的开源项目全部都是位于GitHub上.但是每当我们看到优秀的开源项目,准备去 下(bai)载(pia ...

  6. Spring Cloud实战 | 第十篇 :Spring Cloud + Seata 1.4.1 + Nacos1.4.0 整合实现微服务架构中逃不掉的话题分布式事务

    Seata分布式事务在线体验地址:https://www.youlai.store 本篇完整源码地址:https://github.com/hxrui/youlai-mall 有想加入开源项目开发的童 ...

  7. 【十天自制软渲染器】DAY 02:画一条直线(DDA 算法 & Bresenham’s 算法)

    推荐关注公众号「卤蛋实验室」或访问博客原文,更新更及时,阅读体验更佳 第一天我们搭建了 C++ 的运行环境并画了一个点,根据 点 → 线 → 面 的顺序,今天我们讲讲如何画一条直线. 本文主要讲解直线 ...

  8. Python利用最优化算法求解投资内部收益率IRR【一】

    一. 内部收益率和净现值 内部收益率(Internal Rate of Return, IRR)其实要和净现值(Net Present Value, NPV)结合起来讲.净现值指的是某个投资项目给公司 ...

  9. ts类与修饰符

    最近在用egret做游戏,就接触到了ts,刚开始的时候觉得类挺难的,毕竟大多数的JavaScript工程师工作中不怎么需要用到这个,但是学起来就不愿意撒手了,真香! typescript其实是es6的 ...

  10. 对于Update Function Modules的一点说明

    To be able to call a function module in an update work process, you must flag it in the Function Bui ...