CTF导航 CTF导航

【安卓逆向】Frida对堆栈,重载,静态方法hook

汽车安全 9个月前 admin
22 0 0

编写测试APP

1,APP下载链接

https://github.com/heiyu-sec/r0lian/tree/master/demo13

2,编写TestThread中的内容,APP编译安装,就会持续执行打印

【安卓逆向】Frida对堆栈,重载,静态方法hook

3,编译执行成功,日志持续打印出来了

【安卓逆向】Frida对堆栈,重载,静态方法hook

4,APP点击能正常唤起

【安卓逆向】Frida对堆栈,重载,静态方法hook

Frida

1,安装frida,并确认客户端的frida版本

【安卓逆向】Frida对堆栈,重载,静态方法hook

2,选择同版本的firda服务端下载

https://github.com/frida/frida/releases?page=4

【安卓逆向】Frida对堆栈,重载,静态方法hook

3,启动frida server

【安卓逆向】Frida对堆栈,重载,静态方法hook

  1. adb push frida-server /data/local/tmp/
  2. adb shell
  3. su
  4. cd /data/local/tmp/
  5. chmod 777 frida-server
  6. ./frida-server

4,转发android TCP端口到本地

  1. adb forward tcp:27042 tcp:27042
  2. adb forward tcp:27043 tcp:27043

5,确认是否成功,能打印出如下进程,就说明frida的服务启动成功了

  1. frida-ps -R

【安卓逆向】Frida对堆栈,重载,静态方法hook

Frida脚本编写

简单方法直接hook

1,APP代码如下,相对简单,一个类下面只有一个单独的方法add()

【安卓逆向】Frida对堆栈,重载,静态方法hook

2,编写脚本,获取入参并打印

  1. function main(){
  2.     Java.perform(function(){
  3.         var TestThreadClass = Java.use("com.dta.demo13.TestThread")
  4.         TestThreadClass.add.implementation = function(arg1,arg2){
  5.             console.log("the first arg is ==>"+arg1)
  6.             console.log("the second arg is ==>"+arg2)
  7.             var result = this.add(arg1,arg2)
  8.             console.log("the result is ==>"+result)
  9.             return result;
  10.         }
  12.     })
  14. }

【安卓逆向】Frida对堆栈,重载,静态方法hook

打印调用栈

  1. function main(){
  2.     Java.perform(function(){
  4.         var TestThreadClass = Java.use("com.dta.demo13.TestThread")
  5.         TestThreadClass.add.implementation = function(arg1,arg2){
  6.             printStack()
  7.             arg1=2;
  8.             arg2=5;
  9.             console.log("the first arg is ==>"+arg1)
  10.             console.log("the second arg is ==>"+arg2)
  11.             var result = this.add(arg1,arg2)
  12.             console.log("the result is ==>"+result)
  13.             return result;
  14.         }
  16.     })
  18.     function printStack(){
  19.         var ExceptionClass = Java.use("java.lang.Exception")
  20.         var LogClass = Java.use("android.util.Log")
  21.         console.log("----------------STACK--------------------")
  22.         console.log(LogClass.getStackTraceString(ExceptionClass.$new()))
  23.         console.log("----------------------------------------")
  25.     }
  26. }
  28. setImmediate(main)

【安卓逆向】Frida对堆栈,重载,静态方法hook

hook重载方法

1,修改下APP,写个有重载的add()

【安卓逆向】Frida对堆栈,重载,静态方法hook

2,直接执行会报错,会让你选择overload哪一个方法

【安卓逆向】Frida对堆栈,重载,静态方法hook

3,修改脚本,用hook string的add()为例

  1. function main(){
  2.     Java.perform(function(){
  4.         var TestThreadClass = Java.use("com.dta.demo13.TestThread")
  5.         TestThreadClass.add.overload('java.lang.String', 'java.lang.String').implementation = function(arg1,arg2){
  6.             printStack()
  7.             console.log("the first arg is ==>"+arg1)
  8.             console.log("the second arg is ==>"+arg2)
  9.             var result = this.add(arg1,arg2)
  10.             console.log("the result is ==>"+result)
  11.             return result;
  12.         }
  13.     })
  15.     function printStack(){
  16.         var ExceptionClass = Java.use("java.lang.Exception")
  17.         var LogClass = Java.use("android.util.Log")
  18.         console.log("----------------STACK--------------------")
  19.         console.log(LogClass.getStackTraceString(ExceptionClass.$new()))
  20.         console.log("----------------------------------------")
  21.     }
  22. }
  24. setImmediate(main)

【安卓逆向】Frida对堆栈,重载,静态方法hook

参数构造主动调用

  1. function main(){
  2.     Java.perform(function(){
  4.        /* 
  5.        //overload
  6.         var TestThreadClass = Java.use("com.dta.demo13.TestThread")
  7.         TestThreadClass.add.overload('java.lang.String', 'java.lang.String').implementation = function(arg1,arg2){
  8.             printStack()
  9.             console.log("the first arg is ==>"+arg1)
  10.             console.log("the second arg is ==>"+arg2)
  11.             var result = this.add(arg1,arg2)
  12.             console.log("the result is ==>"+result)
  13.             return result;
  14.         }
  15.         */
  17.         //param edit
  18.         Java.choose("com.dta.demo13.TestThread",{
  19.             onMatch:function(instanse){
  20.                 // var result= instanse.add("10","11");
  21.                 var result= instanse.add(1,3);
  22.                 console.log("the result is ==>"+result)
  23.             },
  24.             onComplete:function(){
  26.             }
  27.         })
  29.     })
  31.     function printStack(){
  32.         var ExceptionClass = Java.use("java.lang.Exception")
  33.         var LogClass = Java.use("android.util.Log")
  34.         console.log("----------------STACK--------------------")
  35.         console.log(LogClass.getStackTraceString(ExceptionClass.$new()))
  36.         console.log("----------------------------------------")
  37.     }
  38. }
  40. setImmediate(main)

【安卓逆向】Frida对堆栈,重载,静态方法hook

动静态处理

  1. function main(){
  2.     Java.perform(function(){
  4.        /* 
  5.        //overload
  6.         var TestThreadClass = Java.use("com.dta.demo13.TestThread")
  7.         TestThreadClass.add.overload('java.lang.String', 'java.lang.String').implementation = function(arg1,arg2){
  8.             printStack()
  9.             console.log("the first arg is ==>"+arg1)
  10.             console.log("the second arg is ==>"+arg2)
  11.             var result = this.add(arg1,arg2)
  12.             console.log("the result is ==>"+result)
  13.             return result;
  14.         }
  15.         */
  18.         /*
  19.         //param edit
  20.         Java.choose("com.dta.demo13.TestThread",{
  21.             onMatch:function(instanse){
  22.                 // var result= instanse.add("10","11");
  23.                 var result= instanse.add(1,3);
  24.                 console.log("the result is ==>"+result)
  25.             },
  26.             onComplete:function(){
  28.             }
  29.         })
  30.         */
  32.         //static dynamic
  33.         var result = Java.use("com.dta.demo13.TestThread").static_add("123","456")
  34.         console.log("the result is ==>"+ result)
  36.     })
  38.     function printStack(){
  39.         var ExceptionClass = Java.use("java.lang.Exception")
  40.         var LogClass = Java.use("android.util.Log")
  41.         console.log("----------------STACK--------------------")
  42.         console.log(LogClass.getStackTraceString(ExceptionClass.$new()))
  43.         console.log("----------------------------------------")
  44.     }
  45. }
  47. setImmediate(main)

【安卓逆向】Frida对堆栈,重载,静态方法hook

原文始发于微信公众号(车联网攻防日记):【安卓逆向】Frida对堆栈,重载,静态方法hook

版权声明:admin 发表于 2024年2月17日 下午5:48。
转载请注明:【安卓逆向】Frida对堆栈,重载,静态方法hook | CTF导航

相关文章

汽车控制系统安全
admin
411
车辆网络安全-携带设备漏洞
admin
321
【AutoCS】车联网信息安全的攻守道
admin
54
如何通过CAN破解汽车
admin
1,029
智能汽车预期功能安全保障关键技术
admin
717
通过 CAN BUS 进行汽车黑客攻击
admin
717

相关文章

车联网安全基础知识之数据库文件
0
车联网安全:从理论到实战的全面介绍
0
Autel MaxiCharger(CVE-2024-23967 /CVE-2024-23957解析)
0
新能源汽车车载无线充电的安全策略
0
车联网安全入门指北
0
Multiple Vulnerabilities in the Mazda In-Vehicle Infotainment (IVI) System
0
Simulink油门踏板信号解析及故障判定模型搭建方法
0
如何通过雷达攻击自动驾驶汽车-针对点云识别模型的对抗性攻击的科普
0
车端网络攻击及检测的框架/模型
0
CAPL脚本常用语法
0