吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4500|回复: 26
收起左侧

[Android 原创] AOSP Android 10内置FridaGadget实践01

  [复制链接]
debug_cat 发表于 2023-1-31 10:16
本帖最后由 正己 于 2023-2-1 17:13 编辑

背景

持久化hook.png

想做frida持久化hook,通过搜索资料发现gadget可以。

这是官方的资料:https://frida.re/docs/gadget/

管理端初步摸索出来了,效果是这样的。

戳哔站视频

这里有详细的使用方法,比如反编译apk插入so文件,如果这个app没有so库,就需要自己在application自己加代码load so,但是这些都不是我现在需要的操作。

我既然修改的是AOSP,在app加载的时候加载so就行了。

经过搜索资料发现了这个博客:http://zhuoyue360.com/crack/78.html

这里面应该学习了某个大佬的课程然后分享出来的,经过分析和实践验证了博客中的一部分内容是可行的,有一些重要的部分是没有的,但是主干思路有了之后剩下的部分有盼头了。

实践与验证

环境:

AOSP 10 r41

pixel 3

Ubuntu 18.04


修改app的启动流程,在启动期间去加载so。

frameworks/base/core/java/android/app/ActivityThread.java中的handleBindApplication

方法中,找到Application创建之前的位置,经过我的测试onCreate之后加载so也可以的!加入如下代码:

//data是前面已经存在的app信息,获取到当前app的包名,用于判断某个目录下是否存在
//某个文件,文件存在做某事
String curPkgName = data.appInfo.packageName;
int curUid = Process.myUid();
//获取进程id,猜测大部分系统进程id都是10000内,应该是过滤了系统的app
//这个判断有问题的,经过实践,如果系统APP少用户APP的进程id就不会超过10000导致无法hook,这里应该修改1000
if (curUid > 1000) {
          //这个类后面会给出来,是复制文件,判断文件夹等等用途
    Persist.LOGD("curPkgName: " + curPkgName + " curUid: " + curUid);
    //判断当前app是否激活了持久化hook,就是判断包目录下是否存在某个文件
    Boolean isPersist = Persist.isEnablePersist(curPkgName);
    Persist.LOGD("isPersist: " + isPersist);
    if (isPersist) {
        //复制hook脚本到app安装目录下,然后加载gadget so
        if(Persist.doXiaojianbangPersist(appContext, curPkgName)){
            Persist.LOGD("doXiaojianbangPersist is ok");
        }else {
            Persist.LOGD("doXiaojianbangPersist failed");
        };
    }
}

这阶段主要是判断app是否需要持久化hook,不是所有的app都需要这样,正常流程。

下面是Persist这个类的加入了,其实这个类加入到系统编译不需要这么麻烦,直接在ActivityThread.java的同级目录下创建这个类就行了,整个流程这个类其实就是给ActivityThread.java使用的,如果按照上面博客的操作还得给这个类配置白名单。

在编译阶段复制so到system/lib下

/frameworks/base/cmds/目录下创建一个自己的目录,把GitHub上面下载的gadget的so文件放到目录中。

下载地址:https://github.com/frida/frida/releases

随便下载一个版本,我习惯用12.x版本或者14.x版本。高版本有bug不考虑了。

下载好之后放进去Ubuntu解压xz文件

xz -d xxxx.tar.xz

这样就得到了so文件了,arm和arm64都下载回来。

添加复制so的脚本

//源码根目录下,在打开这个文件
/build/make/target/product/handheld_system.mk
//找到PRODUCT_COPY_FILES地方
//myfrida这个目录就是你创建的,你可以随便写自己的。
PRODUCT_COPY_FILES += \
    frameworks/base/cmds/myfrida/frida-gadget-14.2.18-android-arm.so:$(TARGET_COPY_OUT_SYSTEM)/lib/myfrida.so \
    frameworks/base/cmds/myfrida/frida-gadget-14.2.18-android-arm64.so:$(TARGET_COPY_OUT_SYSTEM)/lib64/myfrida.so

加入这个之后,保存文件,编译刷机之后怎么验证是否成功了呢。

adb shell进入system/lib和system/lib64目录下查看是否存在myfrida.so,这个命名不要和里面的so重名,不然就挂了。

如果你已经做到这一步了,你会发现没有什么用,app启动的时候其实没有注入so的,上面的判断是否持久化没有成立的。

Boolean isPersist = Persist.isEnablePersist(curPkgName);

这里是没有成立的。分析这个方法。代码是上面博客地址中的。

import android.content.Context;
import android.util.Log;
import android.os.Process;

import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;

import org.json.JSONObject;

public class Persist {

    public static final String SO_NAME = "libxiaojianbang.so";
    public static final String SO_CONFIG_NAME = "libxiaojianbang.config.so";
    public static final String LIB32_DIR = "/system/lib";
    public static final String LIB64_DIR = "/system/lib64";

    public static final String SETTINGS_DIR = "/data/system/xsettings/xiaojianbang/persist";
    public static final String ENABLE_PERSIST_FILE_NAME = "xiaojianbang_persist";

    public static final String CONFIG_JS_DIR = "/data/system/xsettings/xiaojianbang/jscfg";
    public static final String CONFIG_JS_FILE_NAME = "config.js";

    public static final String TAG_NAME = "xiaojianbang_persist";

    public static void LOGD(String msg) {
        Log.d(TAG_NAME, msg);
    }

    private static boolean saveFile(String filePath, String textMsg) {
        try{
            FileOutputStream fileOutputStream = new FileOutputStream(filePath);
            fileOutputStream.write(textMsg.getBytes("utf-8"));
            fileOutputStream.flush();
            fileOutputStream.close();
            return true;
        } catch (Exception e) {
            e.printStackTrace();
        }
        return false;
    }

    private static boolean copyFile(File srcFile, File dstFile) {
        try{
            FileInputStream fileInputStream = new FileInputStream(srcFile);
            FileOutputStream fileOutputStream = new FileOutputStream(dstFile);
            byte[] data = new byte[16 * 1024];
            int len = -1;
            while((len = fileInputStream.read(data)) != -1) {
                fileOutputStream.write(data,0, len);
                fileOutputStream.flush();
            }
            fileInputStream.close();
            fileOutputStream.close();
            return true;
        } catch (Exception e) {
            e.printStackTrace();
        }
        return false;
    }
    // 判断app是否打开自动注入脚本功能
    public static boolean isEnablePersist(String pkgName) {
        // 判断文件是否存在 /data/system/xsettings/xiaojianbang/persist/com.xiaojianbang.app/xiaojianbang_persist
        File enableFile = new File(SETTINGS_DIR, pkgName + File.separator + ENABLE_PERSIST_FILE_NAME);
        return enableFile.exists();
    }
    // 获取源JS文件路径
    private static File getConfigJSPath(String pkgName) {
        // /data/system/xsettings/xiaojianbang/jscfg/com.xiaojianbang.app/config.js
        return new File(CONFIG_JS_DIR, pkgName + File.separator + CONFIG_JS_FILE_NAME);
    }
    // 拷贝源JS文件到app私有目录
    private static File copyJSFile(Context context, String pkgName) {
        // 判断源JS文件是否存在
        File srcJSFile = getConfigJSPath(pkgName);
        if(!srcJSFile.exists()) {
            LOGD("srcJSFile not exists");
            return null;
        }
        // 拷贝源JS文件到app私有目录
        // /data/data/com.xiaojianbang.app/files/config.js
        File dstJSFile = new File(context.getFilesDir(), CONFIG_JS_FILE_NAME);
        boolean isCopyJSOk = copyFile(srcJSFile, dstJSFile);
        if(!isCopyJSOk){
            LOGD("copyJSFile fail: " + srcJSFile + " -> " + dstJSFile);
            return null;
        }
        return dstJSFile;
    }
    // 生成Gadget配置文件
    private static boolean genGadgetConfig(Context context, File dstJSFile) {
        JSONObject jsonObject = new JSONObject();
        JSONObject childObj = new JSONObject();
        try {
            childObj.put("type", "script");
            childObj.put("path", dstJSFile.toString());
            jsonObject.put("interaction", childObj);
        }catch (Exception e){
            e.printStackTrace();
return false;
        }
        String configFilePath = context.getFilesDir() + File.separator + SO_CONFIG_NAME;
        boolean isSaveOk = saveFile(configFilePath, jsonObject.toString());
        if(!isSaveOk){
            LOGD("saveFile fail: " + configFilePath);
            return false;
        }
        return true;
    }
    // 拷贝源so文件到app私有目录
    private static File copySoFile(Context context) {
        // 判断源so文件是否存在
        // /system/lib/libxiaojianbang.so
        // /system/lib64/libxiaojianbang.so
        File srcSoFile = new File(LIB32_DIR, SO_NAME);
        if(Process.is64Bit()) {
            srcSoFile = new File(LIB64_DIR, SO_NAME);
        }
        if(!srcSoFile.exists()) {
            LOGD("srcSoFile not exists");
            return null;
        }
        // 拷贝源so文件到app私有目录
        // /data/data/com.xiaojianbang.app/files/libxiaojianbang.so
        File dstSoFile = new File(context.getFilesDir(), SO_NAME);
        if(srcSoFile.length() != dstSoFile.length()) {
            boolean isCopyFileOk = copyFile(srcSoFile, dstSoFile);
            if(!isCopyFileOk){
                LOGD("copySoFile fail: " + srcSoFile + " -> " + dstSoFile);
                return null;
            }
        }
        return dstSoFile;
    }
    // 进行Frida Gadget持久化
    public static boolean doXiaojianbangPersist(Context context, String pkgName) {
        File dstJSFile = copyJSFile(context, pkgName);
        if(null == dstJSFile) return false;
        if(!genGadgetConfig(context, dstJSFile)) return false;
        File dstSoFile = copySoFile(context);
        if(null == dstSoFile) return false;
        System.load(dstSoFile.toString());
        return true;
    }

}

是否激活持久化是这样判断的:判断文件是否存在

/data/system/xsettings/xiaojianbang/persist/com.xiaojianbang.app/xiaojianbang_persist

这个文件是否存在。仔细发现我们的系统中并没有xsettings这个目录,需要我们创建。

持久化相关的目录

/system/core/rootdir/init.rc在手机启动的时候处理我们需要的目录。

chown root radio /proc/cmdline下面添加代码

mkdir /data/system/xsettings 0775 system system
mkdir /data/system/xsettings/xiaojianbang 0775 system system
mkdir /data/system/xsettings/xiaojianbang/persist 0775 system system
mkdir /data/system/xsettings/xiaojianbang/jscfg 0775 system system

其实不一定要在chown root radio /proc/cmdline下面添加代码,这里的操作无非是创建目录给权限。

只要mkdir /data/system目录创建之后去执行上面的代码就行了,也就是先有父目录,后面就可以创建子目录了。

OK,事情都好像很顺利,开心的编译刷机,然后进入shell中创建目录,持久化文件,app启动的时候注入so成功了。

/data/system/xsettings/xiaojianbang/jscfg/pkgName/config.js

在这里写入hook脚本写成功了。

注意,这里是通过shell去做的,博客也没有说,我是这样先做注入测试的。

我们需要针对某个app进行持久化hook每次都这样手动进入shell去设置是有点麻烦的,能不能开发一个app来做这件事:

1:查看当前用户安装的app列表。

2:选择某个app配置js脚本。js脚本也可能多个,做列表来显示多个脚本,可以选择其中一个来hook。

3:是否激活持久化hook。

写app嘛,老本行了,说干就干。

编写管理脚本的app

需求已经明确了,开始撸码。

根据上面Persist这个类的规则,我们想激活某个app进行持久化hook就需要在/data/system/xsettings/xiaojianbang/persist/pkgName/xiaojianbang_persist这里有一个文件,举个例子:

包名是com.demo。就需要在/data/system/xsettings/xiaojianbang/persist 下创建目录com.demo切在目录中创建一个文件,空文件就行。

最后是这样: /data/system/xsettings/xiaojianbang/persist/com.demo/xiaojianbang_persist

创建目录和创建文件都不难,这里会出问题,我们直接写app创建是没有权限的,普通用户的app无法操作系统目录。

那如果我们也是系统级app呢?这就到了AOSP内置apk的问题了。

我的哔站有视频:https://www.bilibili.com/video/BV1S14y1K7Ew

这个管理的app是无so的,直接复制脚本就行了。签名使用platform

编译apk的时候需要在配置文件AndroidMainfest.xml中加入android:sharedUserId="android.uid.system"这样app有系统权限了。

一切都很美好~,创建目录,创建文件。。。Permission Denied

还是没有权限。。。

配置新增目录的SEPolicy

这里需要配置的内容就比较多了,下一篇给出全部配置代码。

免费评分

参与人数 7威望 +1 吾爱币 +25 热心值 +6 收起 理由
birdnofeet + 1 谢谢@Thanks!
Golive180 + 1 用心讨论,共获提升!
正己 + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
5omggx + 1 + 1 用心讨论,共获提升!
笙若 + 1 + 1 谢谢@Thanks!
sob13600 + 1 + 1 用心讨论,共获提升!
woyucheng + 1 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| debug_cat 发表于 2023-2-2 10:28
Golive180 发表于 2023-2-2 10:08
话说论坛里有没有教怎么自己搞安卓开发板,自己编译AOSP的教程

应该有吧,我的博客就有如何编译AOSP刷入手机的,开发版差不多,只不过是板子的店家会给你完整的代码和驱动,你按他们的文档编译就行了,例如rk板子。编译完成后就是flashall。这个和你线刷差不多一个意思。我的签名就是我个人博客。
 楼主| debug_cat 发表于 2023-1-31 14:45
luliucheng 发表于 2023-1-31 13:42
大佬您好,正文中有两处格式错误:

链接的切分存在问题。还有,Permission Denial -> Permission Denied ...

感谢提醒,至于后面说的root权限,APP是我内置到系统的,是具备system权限的,ROM是我自己编译的debug版本,默认就是有root权限。整个文章的前提是,下载AOSP代码自己编译,改代码刷入手机。由于policy限制,就算是system的APP也无法对新增的目录访问,这个下一篇会给出怎么给/data/system/新增目录增加权限,允许system权限的APP访问。
patch12345 发表于 2023-1-31 10:29
luliucheng 发表于 2023-1-31 13:42
本帖最后由 luliucheng 于 2023-1-31 13:49 编辑

大佬您好,正文中有两处格式错误:
下载地址:https://github.com/frida/frida/releases随便下载一个版本,我习惯用12.x版本或者14.x版本。高版本有bug不考虑了。

链接的切分存在问题。还有,Permission Denial -> Permission Denied

这里会出问题,我们直接写app创建是没有权限的,普通用户的app无法操作系统目录。

可以先给手机ROOT,然后用Root权限操作,不过我没开发过安卓App,不知道行不行。
Light紫星 发表于 2023-1-31 13:48
这种使用gadget加载的frida,容易被检测到吗
 楼主| debug_cat 发表于 2023-1-31 14:51
Light紫星 发表于 2023-1-31 13:48
这种使用gadget加载的frida,容易被检测到吗

这个需要看情况的,如果APP自己经常扫描内存中frida的so特征就回发现,如果APP不做这种事情就不会。这个不好说的。不是每个APP都会做防御。
sob13600 发表于 2023-1-31 15:55
先收藏了,感谢
hellobirthday 发表于 2023-1-31 16:51
收藏一个
QingYi. 发表于 2023-1-31 18:03
你也买了jb的课?
yippee 发表于 2023-1-31 19:43
谢谢分享 期待继续
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-23 01:58

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表