日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
技術(shù)熱點(diǎn):Androidhook技術(shù)淺析

0

創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供信陽網(wǎng)站建設(shè)、信陽做網(wǎng)站、信陽網(wǎng)站設(shè)計(jì)、信陽網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計(jì)與制作、信陽企業(yè)網(wǎng)站模板建站服務(wù),10多年信陽做網(wǎng)站經(jīng)驗(yàn),不只是建網(wǎng)站,更提供有價(jià)值的思路和整體網(wǎng)絡(luò)服務(wù)。

前言

xposed框架

xposed,主頁:http://repo.xposed.info/module/de.robv.android.xposed.installer

是個(gè)開源的框架,在github上有源碼的,直接下載apk后安裝激活就可以使用,很多地方有這方面的教程,針對(duì)不同的手機(jī)架構(gòu),有大牛做了針對(duì)性的修改??梢栽谡搲羞M(jìn)行搜索

通過替換/system/bin/app_process程序控制zygote進(jìn)程,使得app_process在啟動(dòng)過程中會(huì)加載XposedBridge.jar這個(gè)jar包,從而完成對(duì)Zygote進(jìn)程及其創(chuàng)建的Dalvik虛擬機(jī)的劫持。

Xposed在開機(jī)的時(shí)候完成對(duì)所有的Hook Function的劫持,在原Function執(zhí)行的前后加上自定義代碼。

很多人將這個(gè)框架用在對(duì)android的私有化定制上面,其實(shí)在android安全測試方面這個(gè)框架提供了很大的便利,xposed主要是對(duì)方法的hook,在以往的重打包技術(shù)中,需要對(duì)smali代碼的進(jìn)行修改,修改起來比較麻煩。

利用xposed框架可以很容易的獲取到android應(yīng)用中的信息,比如加密私鑰、salt值等等,不需要飯編譯獲取密鑰轉(zhuǎn)換算法、不需要了解密鑰保存機(jī)制,直接hook函數(shù),獲取輸入輸出就可以。

原理

在Android系統(tǒng)中,應(yīng)用程序進(jìn)程都是由Zygote進(jìn)程孵化出來的,而Zygote進(jìn)程是由Init進(jìn)程啟動(dòng)的。Zygote進(jìn)程在啟動(dòng)時(shí)會(huì)創(chuàng)建一個(gè)Dalvik虛擬機(jī)實(shí)例,每當(dāng)它孵化一個(gè)新的應(yīng)用程序進(jìn)程時(shí),都會(huì)將這個(gè)Dalvik虛擬機(jī)實(shí)例復(fù)制到新的應(yīng)用程序進(jìn)程里面去,從而使得每一個(gè)應(yīng)用程序進(jìn)程都有一個(gè)獨(dú)立的Dalvik虛擬機(jī)實(shí)例。這也是Xposed選擇替換app_process的原因。

Zygote進(jìn)程在啟動(dòng)的過程中,除了會(huì)創(chuàng)建一個(gè)Dalvik虛擬機(jī)實(shí)例之外,還會(huì)將Java運(yùn)行時(shí)庫加載到進(jìn)程中來,以及注冊一些Android核心類的JNI方法來前面創(chuàng)建的Dalvik虛擬機(jī)實(shí)例中去。注意,一個(gè)應(yīng)用程序進(jìn)程被Zygote進(jìn)程孵化出來的時(shí)候,不僅會(huì)獲得Zygote進(jìn)程中的Dalvik虛擬機(jī)實(shí)例拷貝,還會(huì)與Zygote一起共享Java運(yùn)行時(shí)庫。這也就是可以將XposedBridge這個(gè)jar包加載到每一個(gè)Android應(yīng)用程序中的原因。XposedBridge有一個(gè)私有的Native(JNI)方法hookMethodNative,這個(gè)方法也在app_process中使用。這個(gè)函數(shù)提供一個(gè)方法對(duì)象利用Java的Reflection機(jī)制來對(duì)內(nèi)置方法覆寫。有能力的可以針對(duì)xposed的源碼進(jìn)行分析,不得不說,作者對(duì)于android的機(jī)制和java的了解已經(jīng)相當(dāng)深入了。

簡單實(shí)例

很簡單的一個(gè)android登入代碼:

很簡單的就是判斷下用戶輸入的用戶名和密碼是正確,這里做個(gè)簡單的演示,將用戶輸入的用戶名和密碼信息hook出來不管正確與否

簡單說下xposed模塊的開發(fā),首先需要的是導(dǎo)入api,具體的可以參考:https://github.com/rovo89/XposedBridge/wiki/Using-the-Xposed-Framework-API

在manifest中定義

聲明這個(gè)是xposed模塊,名稱為hook test 并且使用api版本號(hào)是82

下面創(chuàng)建運(yùn)行時(shí)候的hook代碼:

看代碼中的注釋,主要是三個(gè)方法的調(diào)用,handleLoadPackage,主要是獲取到android包的相關(guān)信息,這里由于只是對(duì)logintest進(jìn)行hook,做下簡單的判斷。

findAndHookMethod 是主要的hook入口,里面幾個(gè)參數(shù)分別為包名,classloader,hook的函數(shù)名,參數(shù)類型(這個(gè)比較容易出錯(cuò),比如list類型寫為List.class),回調(diào)函數(shù)

回調(diào)函數(shù)中比較重要的:beforeHookedMethod和afterHookedMethod,一個(gè)是在函數(shù)運(yùn)行前劫持掉,一個(gè)是hook后放行,實(shí)例中對(duì)用戶輸入的字段進(jìn)行劫持打印,后面將參數(shù)之改為正確登入用戶名和密碼,這樣在app中輸入任何字符都能登入成功

frida Hook框架

Frida是一款基于python + javascript 的hook框架,通殺android\ios\linux\win\osx等各平臺(tái),由于是基于腳本的交互,因此相比xposed和substrace cydia更加便捷,本文重點(diǎn)介紹Frida在android下面的使用。

Frida的官網(wǎng)為:http://www.frida.re/

安裝

安裝Frida非常簡單,在pc端直接執(zhí)行

pip install frida

即可

在Android設(shè)備需要導(dǎo)入frida的服務(wù)端,需要root你的手機(jī)

運(yùn)行

設(shè)備上運(yùn)行frida-server:

電腦上運(yùn)行adb forward tcp轉(zhuǎn)發(fā):

27042端口用于與frida-server通信,之后的每個(gè)端口對(duì)應(yīng)每個(gè)注入的進(jìn)程。

運(yùn)行如下命令驗(yàn)證是否成功安裝:

$ frida-ps-R

正常情況應(yīng)該輸出進(jìn)程列表如下:

Hook模塊的編寫

hook的主要模塊是js編寫的,利用javascript的api與server進(jìn)行通信

下面結(jié)合一個(gè)真實(shí)例子進(jìn)行簡單的介紹,首先是測試代碼:

反編譯獲取app中的核心函數(shù)

對(duì)于上面的js代碼,其實(shí)就是調(diào)用app中的某個(gè)函數(shù),比如sign值生成函數(shù),加密解密函數(shù),不需要自己單獨(dú)的去分析算法流程,分析key值在哪,直接調(diào)用app的相應(yīng)函數(shù),讓app幫我們完成這些工作。

這里我們分析的app是友寶,這是一款飲料售貨機(jī),當(dāng)時(shí)抓包看到提貨的時(shí)候是只有個(gè)訂單id的,猜想是不是遍歷訂單的id,支付成功但是沒有取貨的訂單會(huì)不會(huì)響應(yīng)請求,自己掉貨出來。

下面對(duì)友寶的訂單進(jìn)行分析過程

1.抓取支付訂單成功鏈接

分析:
sign是校驗(yàn)值,主要是防止訂單偽造的,orderid是產(chǎn)生的支付訂單id,這個(gè)主要是防止偽造用

2.反編譯友寶app

找到morder/shipping所在的包為:com/ub/main/d/e.class

其中l(wèi)ocalStringBuffer存儲(chǔ)的就是url中的參數(shù)信息,該請求查找到的代碼在a()

生成簽名的函數(shù)在com/ub/main/d/e.class中的b函數(shù)

***加上sign值,發(fā)送請求

3.可以反編譯出他的sign計(jì)算方法,也可以直接調(diào)用b函數(shù)來產(chǎn)生sign值,后來發(fā)現(xiàn)app會(huì)自動(dòng)取時(shí)間戳,我們就不需要給他array型的參數(shù)

直接調(diào)用a函數(shù),把orderId給他,讓他直接return一個(gè)值出來就好了,就有了上面的js代碼
4. 自動(dòng)化的批量處理

看代碼

構(gòu)造了一個(gè)類,后面直接fuzz uid就可以了,提取里面的sign值拼接到post數(shù)據(jù)中去。

可以產(chǎn)生的post請求和抓到的數(shù)據(jù)包的請求是完全一樣的,但是并沒有測試成功,分析原因有可能是訂單id和用戶的id有所綁定。

不過學(xué)習(xí)到了怎樣通過frida對(duì)app進(jìn)行分析。

復(fù)雜參數(shù)的hook

如果遇到函數(shù)的參數(shù)類型是數(shù)組、map、ArrayList類型的,首先目標(biāo)MyClass類的fun1函數(shù),聲明如下:

解決方法:

用Xposed自身提供的XposedHelpers的findClass方法加載每一個(gè)類,然后再將得到的類傳遞給hook函數(shù)作參數(shù)!

具體實(shí)現(xiàn)可參考鏈接,大牛講的很清楚。

參考鏈接

https://xianzhi.aliyun.com/forum/read/611.html

http://www.freebuf.com/articles/terminal/56453.html

http://bbs.pediy.com/showthread.php?t=202147&page=2


當(dāng)前題目:技術(shù)熱點(diǎn):Androidhook技術(shù)淺析
鏈接分享:http://m.5511xx.com/article/dpseiip.html