Android中的hook怎么使用
這篇“Android中的hook怎么使用”文章的知識(shí)點(diǎn)大部分人都不太理解�����,所以小編給大家總結(jié)了以下內(nèi)容���,內(nèi)容詳細(xì)�,步驟清晰,具有一定的借鑒價(jià)值�,希望大家閱讀完這篇文章能有所收獲,下面我們一起來(lái)看看這篇“Android中的hook怎么使用”文章吧�。
xposed框架
xposed是個(gè)開源的框架,在github上有源碼的��,直接下載apk后安裝激活就可以使用�,很多地方有這方面的教程,針對(duì)不同的手機(jī)架構(gòu)�,有大牛做了針對(duì)性的修改??梢栽谡搲羞M(jìn)行搜索
通過(guò)替換/system/bin/app_process程序控制zygote進(jìn)程,使得app_process在啟動(dòng)過(guò)程中會(huì)加載XposedBridge.jar這個(gè)jar包�����,從而完成對(duì)Zygote進(jìn)程及其創(chuàng)建的Dalvik虛擬機(jī)的劫持�����。
Xposed在開機(jī)的時(shí)候完成對(duì)所有的Hook Function的劫持���,在原Function執(zhí)行的前后加上自定義代碼。
很多人將這個(gè)框架用在對(duì)android的私有化定制上面���,其實(shí)在android安全測(cè)試方面這個(gè)框架提供了很大的便利�����,xposed主要是對(duì)方法的hook����,在以往的重打包技術(shù)中,需要對(duì)smali代碼的進(jìn)行修改��,修改起來(lái)比較麻煩��。
利用xposed框架可以很容易的獲取到android應(yīng)用中的信息�����,比如加密私鑰�、salt值等等,不需要飯編譯獲取密鑰轉(zhuǎn)換算法�����、不需要了解密鑰保存機(jī)制�,直接hook函數(shù),獲取輸入輸出就可以。
原理
在Android系統(tǒng)中���,應(yīng)用程序進(jìn)程都是由Zygote進(jìn)程孵化出來(lái)的�,而Zygote進(jìn)程是由Init進(jìn)程啟動(dòng)的���。Zygote進(jìn)程在啟動(dòng)時(shí)會(huì)創(chuàng)建一個(gè)Dalvik虛擬機(jī)實(shí)例��,每當(dāng)它孵化一個(gè)新的應(yīng)用程序進(jìn)程時(shí)�,都會(huì)將這個(gè)Dalvik虛擬機(jī)實(shí)例復(fù)制到新的應(yīng)用程序進(jìn)程里面去�����,從而使得每一個(gè)應(yīng)用程序進(jìn)程都有一個(gè)獨(dú)立的Dalvik虛擬機(jī)實(shí)例����。這也是Xposed選擇替換app_process的原因。
Zygote進(jìn)程在啟動(dòng)的過(guò)程中�,除了會(huì)創(chuàng)建一個(gè)Dalvik虛擬機(jī)實(shí)例之外,還會(huì)將Java運(yùn)行時(shí)庫(kù)加載到進(jìn)程中來(lái)����,以及注冊(cè)一些Android核心類的JNI方法來(lái)前面創(chuàng)建的Dalvik虛擬機(jī)實(shí)例中去。注意���,一個(gè)應(yīng)用程序進(jìn)程被Zygote進(jìn)程孵化出來(lái)的時(shí)候��,不僅會(huì)獲得Zygote進(jìn)程中的Dalvik虛擬機(jī)實(shí)例拷貝�,還會(huì)與Zygote一起共享Java運(yùn)行時(shí)庫(kù)�。這也就是可以將XposedBridge這個(gè)jar包加載到每一個(gè)Android應(yīng)用程序中的原因。XposedBridge有一個(gè)私有的Native(JNI)方法hookMethodNative����,這個(gè)方法也在app_process中使用。這個(gè)函數(shù)提供一個(gè)方法對(duì)象利用Java的Reflection機(jī)制來(lái)對(duì)內(nèi)置方法覆寫�。有能力的可以針對(duì)xposed的源碼進(jìn)行分析,不得不說(shuō)�,作者對(duì)于android的機(jī)制和java的了解已經(jīng)相當(dāng)深入了。
簡(jiǎn)單實(shí)例
很簡(jiǎn)單的一個(gè)android登入代碼:
很簡(jiǎn)單的就是判斷下用戶輸入的用戶名和密碼是正確����,這里做個(gè)簡(jiǎn)單的演示,將用戶輸入的用戶名和密碼信息hook出來(lái)不管正確與否
簡(jiǎn)單說(shuō)下xposed模塊的開發(fā)��,首先需要的是導(dǎo)入api
在manifest中定義
聲明這個(gè)是xposed模塊����,名稱為hook test 并且使用api版本號(hào)是82
下面創(chuàng)建運(yùn)行時(shí)候的hook代碼:
看代碼中的注釋,主要是三個(gè)方法的調(diào)用����,handleLoadPackage����,主要是獲取到android包的相關(guān)信息�,這里由于只是對(duì)logintest進(jìn)行hook,做下簡(jiǎn)單的判斷。
findAndHookMethod 是主要的hook入口�,里面幾個(gè)參數(shù)分別為包名,classloader���,hook的函數(shù)名�����,參數(shù)類型(這個(gè)比較容易出錯(cuò)�,比如list類型寫為L(zhǎng)ist.class),回調(diào)函數(shù)
回調(diào)函數(shù)中比較重要的:beforeHookedMethod和afterHookedMethod���,一個(gè)是在函數(shù)運(yùn)行前劫持掉��,一個(gè)是hook后放行���,實(shí)例中對(duì)用戶輸入的字段進(jìn)行劫持打印,后面將參數(shù)之改為正確登入用戶名和密碼�����,這樣在app中輸入任何字符都能登入成功
frida Hook框架
Frida是一款基于python + javascript 的hook框架,通殺android\ios\linux\win\osx等各平臺(tái)�,由于是基于腳本的交互����,因此相比xposed和substrace cydia更加便捷,本文重點(diǎn)介紹Frida在android下面的使用���。
Frida的官網(wǎng)為:http://www.frida.re/
安裝
安裝Frida非常簡(jiǎn)單����,在pc端直接執(zhí)行
pip install frida
即可
在Android設(shè)備需要導(dǎo)入frida的服務(wù)端����,需要root你的手機(jī)
運(yùn)行
設(shè)備上運(yùn)行frida-server:
電腦上運(yùn)行adb forward tcp轉(zhuǎn)發(fā):
27042端口用于與frida-server通信,之后的每個(gè)端口對(duì)應(yīng)每個(gè)注入的進(jìn)程。
運(yùn)行如下命令驗(yàn)證是否成功安裝:
$ frida-ps-R
正常情況應(yīng)該輸出進(jìn)程列表如下:
Hook模塊的編寫
hook的主要模塊是js編寫的��,利用javascript的api與server進(jìn)行通信
下面結(jié)合一個(gè)真實(shí)例子進(jìn)行簡(jiǎn)單的介紹���,首先是測(cè)試代碼:
反編譯獲取app中的核心函數(shù)
對(duì)于上面的js代碼�,其實(shí)就是調(diào)用app中的某個(gè)函數(shù)��,比如sign值生成函數(shù),加密解密函數(shù)����,不需要自己?jiǎn)为?dú)的去分析算法流程,分析key值在哪�,直接調(diào)用app的相應(yīng)函數(shù),讓app幫我們完成這些工作�����。
這里我們分析的app是友寶��,這是一款飲料售貨機(jī)���,當(dāng)時(shí)抓包看到提貨的時(shí)候是只有個(gè)訂單id的����,猜想是不是遍歷訂單的id��,支付成功但是沒(méi)有取貨的訂單會(huì)不會(huì)響應(yīng)請(qǐng)求�����,自己掉貨出來(lái)��。
下面對(duì)友寶的訂單進(jìn)行分析過(guò)程
1.抓取支付訂單成功鏈接
分析:
sign是校驗(yàn)值,主要是防止訂單偽造的��,orderid是產(chǎn)生的支付訂單id����,這個(gè)主要是防止偽造用
2.反編譯友寶app
找到morder/shipping所在的包為:com/ub/main/d/e.class
其中l(wèi)ocalStringBuffer存儲(chǔ)的就是url中的參數(shù)信息,該請(qǐng)求查找到的代碼在a()
生成簽名的函數(shù)在com/ub/main/d/e.class中的b函數(shù)
***加上sign值��,發(fā)送請(qǐng)求
3.可以反編譯出他的sign計(jì)算方法���,也可以直接調(diào)用b函數(shù)來(lái)產(chǎn)生sign值,后來(lái)發(fā)現(xiàn)app會(huì)自動(dòng)取時(shí)間戳���,我們就不需要給他array型的參數(shù)
直接調(diào)用a函數(shù)��,把orderId給他��,讓他直接return一個(gè)值出來(lái)就好了����,就有了上面的js代碼
4. 自動(dòng)化的批量處理
看代碼
構(gòu)造了一個(gè)類����,后面直接fuzz uid就可以了�,提取里面的sign值拼接到post數(shù)據(jù)中去�����。
可以產(chǎn)生的post請(qǐng)求和抓到的數(shù)據(jù)包的請(qǐng)求是完全一樣的����,但是并沒(méi)有測(cè)試成功,分析原因有可能是訂單id和用戶的id有所綁定�����。
不過(guò)學(xué)習(xí)到了怎樣通過(guò)frida對(duì)app進(jìn)行分析���。
復(fù)雜參數(shù)的hook
如果遇到函數(shù)的參數(shù)類型是數(shù)組�、map�����、ArrayList類型的����,首先目標(biāo)MyClass類的fun1函數(shù),聲明如下:
解決方法:
用Xposed自身提供的XposedHelpers的findClass方法加載每一個(gè)類��,然后再將得到的類傳遞給hook函數(shù)作參數(shù)!
以上就是關(guān)于“Android中的hook怎么使用”這篇文章的內(nèi)容�,相信大家都有了一定的了解,希望小編分享的內(nèi)容對(duì)大家有幫助���,若想了解更多相關(guān)的知識(shí)內(nèi)容�����,請(qǐng)關(guān)注億速云行業(yè)資訊頻道�����。
