AOSP Android 10内置FridaGadget实践01
本帖最后由 正己 于 2023-2-1 17:13 编辑## 背景
想做frida持久化hook,通过搜索资料发现gadget可以。
这是官方的资料:https://frida.re/docs/gadget/
管理端初步摸索出来了,效果是这样的。
[戳哔站视频](https://www.bilibili.com/video/BV1TG4y1M7PJ)
这里有详细的使用方法,比如反编译apk插入so文件,如果这个app没有so库,就需要自己在application自己加代码load so,但是这些都不是我现在需要的操作。
我既然修改的是AOSP,在app加载的时候加载so就行了。
经过搜索资料发现了这个博客:http://zhuoyue360.com/crack/78.html
这里面应该学习了某个大佬的课程然后分享出来的,经过分析和实践验证了博客中的一部分内容是可行的,有一些重要的部分是没有的,但是主干思路有了之后剩下的部分有盼头了。
### 实践与验证
环境:
AOSP 10 r41
pixel 3
Ubuntu 18.04
---
##### 修改app的启动流程,在启动期间去加载so。
在`frameworks/base/core/java/android/app/ActivityThread.java`中的`handleBindApplication`
方法中,找到`Application`创建之前的位置,经过我的测试`onCreate`之后加载so也可以的!加入如下代码:
```java
//data是前面已经存在的app信息,获取到当前app的包名,用于判断某个目录下是否存在
//某个文件,文件存在做某事
String curPkgName = data.appInfo.packageName;
int curUid = Process.myUid();
//获取进程id,猜测大部分系统进程id都是10000内,应该是过滤了系统的app
//这个判断有问题的,经过实践,如果系统APP少用户APP的进程id就不会超过10000导致无法hook,这里应该修改1000
if (curUid > 1000) {
//这个类后面会给出来,是复制文件,判断文件夹等等用途
Persist.LOGD("curPkgName: " + curPkgName + " curUid: " + curUid);
//判断当前app是否激活了持久化hook,就是判断包目录下是否存在某个文件
Boolean isPersist = Persist.isEnablePersist(curPkgName);
Persist.LOGD("isPersist: " + isPersist);
if (isPersist) {
//复制hook脚本到app安装目录下,然后加载gadget so
if(Persist.doXiaojianbangPersist(appContext, curPkgName)){
Persist.LOGD("doXiaojianbangPersist is ok");
}else {
Persist.LOGD("doXiaojianbangPersist failed");
};
}
}
```
这阶段主要是判断app是否需要持久化hook,不是所有的app都需要这样,正常流程。
下面是`Persist`这个类的加入了,其实这个类加入到系统编译不需要这么麻烦,直接在`ActivityThread.java`的同级目录下创建这个类就行了,整个流程这个类其实就是给`ActivityThread.java`使用的,如果按照上面博客的操作还得给这个类配置白名单。
##### 在编译阶段复制so到system/lib下
在`/frameworks/base/cmds/`目录下创建一个自己的目录,把GitHub上面下载的gadget的so文件放到目录中。
下载地址:https://github.com/frida/frida/releases
随便下载一个版本,我习惯用12.x版本或者14.x版本。高版本有bug不考虑了。
下载好之后放进去Ubuntu解压xz文件
```shell
xz -d xxxx.tar.xz
```
这样就得到了so文件了,arm和arm64都下载回来。
添加复制so的脚本
```shell
//源码根目录下,在打开这个文件
/build/make/target/product/handheld_system.mk
//找到PRODUCT_COPY_FILES地方
//myfrida这个目录就是你创建的,你可以随便写自己的。
PRODUCT_COPY_FILES += \
frameworks/base/cmds/myfrida/frida-gadget-14.2.18-android-arm.so:$(TARGET_COPY_OUT_SYSTEM)/lib/myfrida.so \
frameworks/base/cmds/myfrida/frida-gadget-14.2.18-android-arm64.so:$(TARGET_COPY_OUT_SYSTEM)/lib64/myfrida.so
```
加入这个之后,保存文件,编译刷机之后怎么验证是否成功了呢。
adb shell进入system/lib和system/lib64目录下查看是否存在myfrida.so,这个命名不要和里面的so重名,不然就挂了。
如果你已经做到这一步了,你会发现没有什么用,app启动的时候其实没有注入so的,上面的判断是否持久化没有成立的。
```java
Boolean isPersist = Persist.isEnablePersist(curPkgName);
```
这里是没有成立的。分析这个方法。代码是上面博客地址中的。
````java
import android.content.Context;
import android.util.Log;
import android.os.Process;
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import org.json.JSONObject;
public class Persist {
public static final String SO_NAME = "libxiaojianbang.so";
public static final String SO_CONFIG_NAME = "libxiaojianbang.config.so";
public static final String LIB32_DIR = "/system/lib";
public static final String LIB64_DIR = "/system/lib64";
public static final String SETTINGS_DIR = "/data/system/xsettings/xiaojianbang/persist";
public static final String ENABLE_PERSIST_FILE_NAME = "xiaojianbang_persist";
public static final String CONFIG_JS_DIR = "/data/system/xsettings/xiaojianbang/jscfg";
public static final String CONFIG_JS_FILE_NAME = "config.js";
public static final String TAG_NAME = "xiaojianbang_persist";
public static void LOGD(String msg) {
Log.d(TAG_NAME, msg);
}
private static boolean saveFile(String filePath, String textMsg) {
try{
FileOutputStream fileOutputStream = new FileOutputStream(filePath);
fileOutputStream.write(textMsg.getBytes("utf-8"));
fileOutputStream.flush();
fileOutputStream.close();
return true;
} catch (Exception e) {
e.printStackTrace();
}
return false;
}
private static boolean copyFile(File srcFile, File dstFile) {
try{
FileInputStream fileInputStream = new FileInputStream(srcFile);
FileOutputStream fileOutputStream = new FileOutputStream(dstFile);
byte[] data = new byte;
int len = -1;
while((len = fileInputStream.read(data)) != -1) {
fileOutputStream.write(data,0, len);
fileOutputStream.flush();
}
fileInputStream.close();
fileOutputStream.close();
return true;
} catch (Exception e) {
e.printStackTrace();
}
return false;
}
// 判断app是否打开自动注入脚本功能
public static boolean isEnablePersist(String pkgName) {
// 判断文件是否存在 /data/system/xsettings/xiaojianbang/persist/com.xiaojianbang.app/xiaojianbang_persist
File enableFile = new File(SETTINGS_DIR, pkgName + File.separator + ENABLE_PERSIST_FILE_NAME);
return enableFile.exists();
}
// 获取源JS文件路径
private static File getConfigJSPath(String pkgName) {
// /data/system/xsettings/xiaojianbang/jscfg/com.xiaojianbang.app/config.js
return new File(CONFIG_JS_DIR, pkgName + File.separator + CONFIG_JS_FILE_NAME);
}
// 拷贝源JS文件到app私有目录
private static File copyJSFile(Context context, String pkgName) {
// 判断源JS文件是否存在
File srcJSFile = getConfigJSPath(pkgName);
if(!srcJSFile.exists()) {
LOGD("srcJSFile not exists");
return null;
}
// 拷贝源JS文件到app私有目录
// /data/data/com.xiaojianbang.app/files/config.js
File dstJSFile = new File(context.getFilesDir(), CONFIG_JS_FILE_NAME);
boolean isCopyJSOk = copyFile(srcJSFile, dstJSFile);
if(!isCopyJSOk){
LOGD("copyJSFile fail: " + srcJSFile + " -> " + dstJSFile);
return null;
}
return dstJSFile;
}
// 生成Gadget配置文件
private static boolean genGadgetConfig(Context context, File dstJSFile) {
JSONObject jsonObject = new JSONObject();
JSONObject childObj = new JSONObject();
try {
childObj.put("type", "script");
childObj.put("path", dstJSFile.toString());
jsonObject.put("interaction", childObj);
}catch (Exception e){
e.printStackTrace();
return false;
}
String configFilePath = context.getFilesDir() + File.separator + SO_CONFIG_NAME;
boolean isSaveOk = saveFile(configFilePath, jsonObject.toString());
if(!isSaveOk){
LOGD("saveFile fail: " + configFilePath);
return false;
}
return true;
}
// 拷贝源so文件到app私有目录
private static File copySoFile(Context context) {
// 判断源so文件是否存在
// /system/lib/libxiaojianbang.so
// /system/lib64/libxiaojianbang.so
File srcSoFile = new File(LIB32_DIR, SO_NAME);
if(Process.is64Bit()) {
srcSoFile = new File(LIB64_DIR, SO_NAME);
}
if(!srcSoFile.exists()) {
LOGD("srcSoFile not exists");
return null;
}
// 拷贝源so文件到app私有目录
// /data/data/com.xiaojianbang.app/files/libxiaojianbang.so
File dstSoFile = new File(context.getFilesDir(), SO_NAME);
if(srcSoFile.length() != dstSoFile.length()) {
boolean isCopyFileOk = copyFile(srcSoFile, dstSoFile);
if(!isCopyFileOk){
LOGD("copySoFile fail: " + srcSoFile + " -> " + dstSoFile);
return null;
}
}
return dstSoFile;
}
// 进行Frida Gadget持久化
public static boolean doXiaojianbangPersist(Context context, String pkgName) {
File dstJSFile = copyJSFile(context, pkgName);
if(null == dstJSFile) return false;
if(!genGadgetConfig(context, dstJSFile)) return false;
File dstSoFile = copySoFile(context);
if(null == dstSoFile) return false;
System.load(dstSoFile.toString());
return true;
}
}
````
是否激活持久化是这样判断的:`判断文件是否存在 `
```java
/data/system/xsettings/xiaojianbang/persist/com.xiaojianbang.app/xiaojianbang_persist
```
这个文件是否存在。仔细发现我们的系统中并没有`xsettings`这个目录,需要我们创建。
##### 持久化相关的目录
`/system/core/rootdir/init.rc`在手机启动的时候处理我们需要的目录。
在`chown root radio /proc/cmdline`下面添加代码
```shell
mkdir /data/system/xsettings 0775 system system
mkdir /data/system/xsettings/xiaojianbang 0775 system system
mkdir /data/system/xsettings/xiaojianbang/persist 0775 system system
mkdir /data/system/xsettings/xiaojianbang/jscfg 0775 system system
```
其实不一定要在`chown root radio /proc/cmdline`下面添加代码,这里的操作无非是创建目录给权限。
只要`mkdir /data/system`目录创建之后去执行上面的代码就行了,也就是先有父目录,后面就可以创建子目录了。
OK,事情都好像很顺利,开心的编译刷机,然后进入shell中创建目录,持久化文件,app启动的时候注入so成功了。
```shell
/data/system/xsettings/xiaojianbang/jscfg/pkgName/config.js
```
在这里写入hook脚本写成功了。
注意,这里是通过shell去做的,博客也没有说,我是这样先做注入测试的。
我们需要针对某个app进行持久化hook每次都这样手动进入shell去设置是有点麻烦的,能不能开发一个app来做这件事:
1:查看当前用户安装的app列表。
2:选择某个app配置js脚本。js脚本也可能多个,做列表来显示多个脚本,可以选择其中一个来hook。
3:是否激活持久化hook。
写app嘛,老本行了,说干就干。
##### 编写管理脚本的app
需求已经明确了,开始撸码。
根据上面`Persist`这个类的规则,我们想激活某个app进行持久化hook就需要在`/data/system/xsettings/xiaojianbang/persist/pkgName/xiaojianbang_persist`这里有一个文件,举个例子:
包名是com.demo。就需要在`/data/system/xsettings/xiaojianbang/persist` 下创建目录`com.demo`切在目录中创建一个文件,空文件就行。
最后是这样: `/data/system/xsettings/xiaojianbang/persist/com.demo/xiaojianbang_persist`
创建目录和创建文件都不难,这里会出问题,我们直接写app创建是没有权限的,普通用户的app无法操作系统目录。
那如果我们也是系统级app呢?这就到了AOSP内置apk的问题了。
我的哔站有视频:https://www.bilibili.com/video/BV1S14y1K7Ew
这个管理的app是无so的,直接复制脚本就行了。签名使用`platform`。
编译apk的时候需要在配置文件`AndroidMainfest.xml`中加入`android:sharedUserId="android.uid.system"`这样app有系统权限了。
一切都很美好~,创建目录,创建文件。。。`Permission Denied`
还是没有权限。。。
##### 配置新增目录的SEPolicy
这里需要配置的内容就比较多了,下一篇给出全部配置代码。 Golive180 发表于 2023-2-2 10:08
话说论坛里有没有教怎么自己搞安卓开发板,自己编译AOSP的教程
应该有吧,我的博客就有如何编译AOSP刷入手机的,开发版差不多,只不过是板子的店家会给你完整的代码和驱动,你按他们的文档编译就行了,例如rk板子。编译完成后就是flashall。这个和你线刷差不多一个意思。我的签名就是我个人博客。 luliucheng 发表于 2023-1-31 13:42
大佬您好,正文中有两处格式错误:
链接的切分存在问题。还有,Permission Denial -> Permission Denied ...
感谢提醒,至于后面说的root权限,APP是我内置到系统的,是具备system权限的,ROM是我自己编译的debug版本,默认就是有root权限。整个文章的前提是,下载AOSP代码自己编译,改代码刷入手机。由于policy限制,就算是system的APP也无法对新增的目录访问,这个下一篇会给出怎么给/data/system/新增目录增加权限,允许system权限的APP访问。 学习一下 本帖最后由 luliucheng 于 2023-1-31 13:49 编辑
大佬您好,正文中有两处格式错误:
下载地址:https://github.com/frida/frida/releases随便下载一个版本,我习惯用12.x版本或者14.x版本。高版本有bug不考虑了。
链接的切分存在问题。还有,Permission Denial -> Permission Denied
这里会出问题,我们直接写app创建是没有权限的,普通用户的app无法操作系统目录。
可以先给手机ROOT,然后用Root权限操作,不过我没开发过安卓App,不知道行不行。 这种使用gadget加载的frida,容易被检测到吗 Light紫星 发表于 2023-1-31 13:48
这种使用gadget加载的frida,容易被检测到吗
这个需要看情况的,如果APP自己经常扫描内存中frida的so特征就回发现,如果APP不做这种事情就不会。这个不好说的。不是每个APP都会做防御。 先收藏了,感谢 收藏一个 你也买了jb的课? 谢谢分享 期待继续