CTF导航 CTF导航

【安卓逆向】Frida对堆栈,重载,静态方法hook

汽车安全 8个月前 admin
18 0 0

编写测试APP

1,APP下载链接

https://github.com/heiyu-sec/r0lian/tree/master/demo13

2,编写TestThread中的内容,APP编译安装,就会持续执行打印

【安卓逆向】Frida对堆栈,重载,静态方法hook

3,编译执行成功,日志持续打印出来了

【安卓逆向】Frida对堆栈,重载,静态方法hook

4,APP点击能正常唤起

【安卓逆向】Frida对堆栈,重载,静态方法hook

Frida

1,安装frida,并确认客户端的frida版本

【安卓逆向】Frida对堆栈,重载,静态方法hook

2,选择同版本的firda服务端下载

https://github.com/frida/frida/releases?page=4

【安卓逆向】Frida对堆栈,重载,静态方法hook

3,启动frida server

【安卓逆向】Frida对堆栈,重载,静态方法hook

  1. adb push frida-server /data/local/tmp/
  2. adb shell
  3. su
  4. cd /data/local/tmp/
  5. chmod 777 frida-server
  6. ./frida-server

4,转发android TCP端口到本地

  1. adb forward tcp:27042 tcp:27042
  2. adb forward tcp:27043 tcp:27043

5,确认是否成功,能打印出如下进程,就说明frida的服务启动成功了

  1. frida-ps -R

【安卓逆向】Frida对堆栈,重载,静态方法hook

Frida脚本编写

简单方法直接hook

1,APP代码如下,相对简单,一个类下面只有一个单独的方法add()

【安卓逆向】Frida对堆栈,重载,静态方法hook

2,编写脚本,获取入参并打印

  1. function main(){
  2.     Java.perform(function(){
  3.         var TestThreadClass = Java.use("com.dta.demo13.TestThread")
  4.         TestThreadClass.add.implementation = function(arg1,arg2){
  5.             console.log("the first arg is ==>"+arg1)
  6.             console.log("the second arg is ==>"+arg2)
  7.             var result = this.add(arg1,arg2)
  8.             console.log("the result is ==>"+result)
  9.             return result;
  10.         }
  12.     })
  14. }

【安卓逆向】Frida对堆栈,重载,静态方法hook

打印调用栈

  1. function main(){
  2.     Java.perform(function(){
  4.         var TestThreadClass = Java.use("com.dta.demo13.TestThread")
  5.         TestThreadClass.add.implementation = function(arg1,arg2){
  6.             printStack()
  7.             arg1=2;
  8.             arg2=5;
  9.             console.log("the first arg is ==>"+arg1)
  10.             console.log("the second arg is ==>"+arg2)
  11.             var result = this.add(arg1,arg2)
  12.             console.log("the result is ==>"+result)
  13.             return result;
  14.         }
  16.     })
  18.     function printStack(){
  19.         var ExceptionClass = Java.use("java.lang.Exception")
  20.         var LogClass = Java.use("android.util.Log")
  21.         console.log("----------------STACK--------------------")
  22.         console.log(LogClass.getStackTraceString(ExceptionClass.$new()))
  23.         console.log("----------------------------------------")
  25.     }
  26. }
  28. setImmediate(main)

【安卓逆向】Frida对堆栈,重载,静态方法hook

hook重载方法

1,修改下APP,写个有重载的add()

【安卓逆向】Frida对堆栈,重载,静态方法hook

2,直接执行会报错,会让你选择overload哪一个方法

【安卓逆向】Frida对堆栈,重载,静态方法hook

3,修改脚本,用hook string的add()为例

  1. function main(){
  2.     Java.perform(function(){
  4.         var TestThreadClass = Java.use("com.dta.demo13.TestThread")
  5.         TestThreadClass.add.overload('java.lang.String', 'java.lang.String').implementation = function(arg1,arg2){
  6.             printStack()
  7.             console.log("the first arg is ==>"+arg1)
  8.             console.log("the second arg is ==>"+arg2)
  9.             var result = this.add(arg1,arg2)
  10.             console.log("the result is ==>"+result)
  11.             return result;
  12.         }
  13.     })
  15.     function printStack(){
  16.         var ExceptionClass = Java.use("java.lang.Exception")
  17.         var LogClass = Java.use("android.util.Log")
  18.         console.log("----------------STACK--------------------")
  19.         console.log(LogClass.getStackTraceString(ExceptionClass.$new()))
  20.         console.log("----------------------------------------")
  21.     }
  22. }
  24. setImmediate(main)

【安卓逆向】Frida对堆栈,重载,静态方法hook

参数构造主动调用

  1. function main(){
  2.     Java.perform(function(){
  4.        /* 
  5.        //overload
  6.         var TestThreadClass = Java.use("com.dta.demo13.TestThread")
  7.         TestThreadClass.add.overload('java.lang.String', 'java.lang.String').implementation = function(arg1,arg2){
  8.             printStack()
  9.             console.log("the first arg is ==>"+arg1)
  10.             console.log("the second arg is ==>"+arg2)
  11.             var result = this.add(arg1,arg2)
  12.             console.log("the result is ==>"+result)
  13.             return result;
  14.         }
  15.         */
  17.         //param edit
  18.         Java.choose("com.dta.demo13.TestThread",{
  19.             onMatch:function(instanse){
  20.                 // var result= instanse.add("10","11");
  21.                 var result= instanse.add(1,3);
  22.                 console.log("the result is ==>"+result)
  23.             },
  24.             onComplete:function(){
  26.             }
  27.         })
  29.     })
  31.     function printStack(){
  32.         var ExceptionClass = Java.use("java.lang.Exception")
  33.         var LogClass = Java.use("android.util.Log")
  34.         console.log("----------------STACK--------------------")
  35.         console.log(LogClass.getStackTraceString(ExceptionClass.$new()))
  36.         console.log("----------------------------------------")
  37.     }
  38. }
  40. setImmediate(main)

【安卓逆向】Frida对堆栈,重载,静态方法hook

动静态处理

  1. function main(){
  2.     Java.perform(function(){
  4.        /* 
  5.        //overload
  6.         var TestThreadClass = Java.use("com.dta.demo13.TestThread")
  7.         TestThreadClass.add.overload('java.lang.String', 'java.lang.String').implementation = function(arg1,arg2){
  8.             printStack()
  9.             console.log("the first arg is ==>"+arg1)
  10.             console.log("the second arg is ==>"+arg2)
  11.             var result = this.add(arg1,arg2)
  12.             console.log("the result is ==>"+result)
  13.             return result;
  14.         }
  15.         */
  18.         /*
  19.         //param edit
  20.         Java.choose("com.dta.demo13.TestThread",{
  21.             onMatch:function(instanse){
  22.                 // var result= instanse.add("10","11");
  23.                 var result= instanse.add(1,3);
  24.                 console.log("the result is ==>"+result)
  25.             },
  26.             onComplete:function(){
  28.             }
  29.         })
  30.         */
  32.         //static dynamic
  33.         var result = Java.use("com.dta.demo13.TestThread").static_add("123","456")
  34.         console.log("the result is ==>"+ result)
  36.     })
  38.     function printStack(){
  39.         var ExceptionClass = Java.use("java.lang.Exception")
  40.         var LogClass = Java.use("android.util.Log")
  41.         console.log("----------------STACK--------------------")
  42.         console.log(LogClass.getStackTraceString(ExceptionClass.$new()))
  43.         console.log("----------------------------------------")
  44.     }
  45. }
  47. setImmediate(main)

【安卓逆向】Frida对堆栈,重载,静态方法hook

原文始发于微信公众号(车联网攻防日记):【安卓逆向】Frida对堆栈,重载,静态方法hook

版权声明:admin 发表于 2024年2月17日 下午5:48。
转载请注明:【安卓逆向】Frida对堆栈,重载,静态方法hook | CTF导航

相关文章

渗透测试Pentesting – 通过破坏来提高安全性
admin
630
模组PACK测试(9)— 充电握手信号
admin
77
联网汽车- 构建从芯到云的安全
admin
523
电动汽车仿真系列-基于Simulink的防抱死制动系统
admin
517
与异常检测有关的汽车网络物理安全问题.ppt
admin
515
CP AUTOSAR OS 工程实践
admin
267

相关文章

TESLA TPMS-RCE(0-click)
0
汽车强规之网络安全持续监控细则-木卫四实践
0
车联网安全入门——CAN总线模糊测试
0
汽车电子_功能英文名称缩写汇总
0
自动驾驶汽车线控技术深度解析
0
【车联网】撸穿车充站顺带喜提一堆CVE
0
如何模糊测试SOME/IP协议 (二)如何进入宝马名人堂
0
CAN协议分析
0
如何模糊测试SOME/IP协议 (一)
0
《面向车路云一体化的智能网联汽车数据分类分级指南》
0