本文首发于先知
前言
frida Xposed简单对比
学安卓hook入门的时候纠结于选用哪个平台,Xposed和frida看了看,都在脑子里云了一下觉得都好好用,于是干脆和教程反着来,看着师傅Xposed的文章后用frida复现一遍(实战链接也在文章中,就不发出来了),而且之前Peanuts师傅也发过Xposed的了.
其实两者差别还是比较大的,就拿工作方式来说,Xposed走的是开发那一套,,重新写组件后再打包用,可以说是一劳永逸,以后直接拿apk就能用;frida则不然,它的方式是把js代码注入到进程的方式,简单但是缺点也很明显就是不好用到实际app的使用中
环境搭建
本机实验环境
python3.7
夜神模拟器Android5.1.1
Windows10
frida 安装
pip install frida
pip install frida-tools
frida-server 安装运行
先看看自己模拟器平台,一般模拟器架构都是x86的
λ adb shell getprop ro.product.cpu.abi
x86
我这边是x86的,到frida-releases这找到对应版本进行下载,之后用adb把它push到手机中,转发到本机端口,起frida-server
adb push frida-server /data/local/tmp
adb forward tcp:27042 tcp:27042
adb shell /data/local/tmp/frida-server
已经起来了,可以用frida-ps -U
看看模拟器进程
hook实战测试
实战链接在最上方
就直接拿师傅的程序搞了,师傅用写xposed组件的方式写的,我就拿frida复现一遍,同时实现几个别的思路,开始吧
解锁码
先装到手机上测试,发现进去后要一个key进行解锁.
使用反编译工具(我用的jadx)打开apk,发现有两个小测验,第一处是要一个解锁码,解锁码与程序算出来的完全一致就跳到下一个挑战.
进入加密函数一探究竟,可以看到进行了加密.
之后程序使用equals函数判断和我们输入的是否相等(在此之前程序有一处输出解锁码的函数,即a.a,不过因为条件不满足未执行).
了解流程后进行打hook绕过,思路有两种,一种是把真实的解锁码打印出来(这思路等下用两种方式实现,分别是hook掉打印函数a.a和系统函数equals的方式),还有偷鸡的方式就是直接修改加密函数return一个我们控制的值,之后在输入的时候直接输我们的值就好了.
在注入js代码的时候有两种方式,分别是js直接加载和使用python的方式,python当作一个loader的角色把js代码注入进去,python代码在最下侧,本篇用的是python的方式.下面是js代码(这代码不用纠结,和pwntools一样用多了就熟练了):
console.log("Script loaded successfully ");
Java.perform(function x() {
var String = Java.use('java.lang.String')//定位到要hook的类名
String.equals.implementation = function (arg1) {//equals就是我们要hook的函数
console.log("your input : " + this.toString());
console.log("I'm the real key : " + arg1);//打印出来真实的解锁码
var ret = this.equals(arg1);
return ret;//返回值
}
var Show_key = Java.use("com.hfdcxy.android.by.a.a");
Show_key.a.overload("java.lang.String").implementation = function (args1) {
console.log("Your_key_is" + args1);//打印解锁码
}
var my_class = Java.use("com.hfdcxy.android.by.test.a");
my_class.a.implementation = function () {
return "123456789";//使用"123456789"当返回值
}
});
三种方法都能完成步骤一的hook,使用python注入一下看看效果
看到了输入的123和真正的作比较
成功了,进入下一个界面.本质上是两种方法,一种是hook自实现函数,一种就是hook系统函数
点金币,开宝箱
点金币的这个onclick执行的函数很简单,就是点击一次后coin加i(原本程序i等于1)
开宝箱按钮就是判断你的coin值大小,大于等于9999就完成挑战
这里再介绍另一种姿势,就是修改函数的参数完成参数调用,frida实现起来也很简单,见js:
console.log("Script loaded successfully ");
Java.perform(function x() {
var coin = Java.use("com.hfdcxy.android.by.test.b");
coin.a.overload("android.content.SharedPreferences", "android.widget.TextView", "int").implementation = function (args1,args2,args3) {//overload后接的参数都是这个a函数的参数
return this.a(args1,args2,9999)//把参数改成9999,这样一次就能加9999个了
}
});
点了几次coin就很大了,直接满足条件
总结 & python loader
可以看到frida在hook时真的方便,代码也不难,本篇js太过简单,有好多很nb的模板都可以拿来练练并测试,官方文档也是深入学习的好去处
import time
import frida
device = frida.get_remote_device()
pid = device.spawn(["com.ss.android.ugc.aweme"])#程序名
device.resume(pid)
time.sleep(1)
session = device.attach(pid)
with open("s1.js") as f:
script = session.create_script(f.read())
script.load()
input()