多臺設(shè)備

連接多臺設(shè)備還是很簡單的，使用Frida作者oleavr(很多人稱他是大胡子，以后就用這個稱呼了)為我門提供的python binding功能。當(dāng)然前提是相應(yīng)設(shè)備的frida-server已經(jīng)開了。

根據(jù)設(shè)備id就可以獲取相應(yīng)設(shè)備的device。使用的函數(shù)是get_device。

互聯(lián)互通

互聯(lián)互通是指把a(bǔ)pp中捕獲的內(nèi)容傳輸?shù)诫娔X上，電腦上處理結(jié)束后再發(fā)回給app繼續(xù)處理?？此坪芎唵蔚囊粋€功能，目前卻僅有Frida可以實現(xiàn)。后面的這句話我不清楚是否真假，就我所知道的，它是真的，不過通過這句話也能感受到Firda的強(qiáng)大。

預(yù)備知識

?recv([type, ]callback):?request callback to be called on the next message received from your Frida-based application. Optionally type may be specified to only receive a message where the type field is set to type. This will only give you one message, so you need to call recv() again to receive the next one.?send(message[, data]):?send the JavaScript object message to your Frida-based application?(it must be serializable to JSON). If you also have some raw binary data that you’d like to send along with it, e.g. you dumped some memory using NativePointer#readByteArray, then you may pass this through the optional data argument. This requires it to either be an ArrayBuffer or an array of integers between 0 and 255.

App

頁面

簡單的登陸頁面如下圖:

功能

admin賬戶不能用來登陸，這個只是在前臺進(jìn)行的校驗。對賬戶密碼進(jìn)行base64編碼發(fā)送給服務(wù)器。

源代碼

功能代碼:

package com.example.myapplication;

import androidx.appcompat.app.AppCompatActivity;

import android.os.Bundle;
import android.util.Base64;
import android.view.View;
import android.widget.EditText;
import android.widget.TextView;

public class MainActivity extends AppCompatActivity {


? ?EditText username_et;
? ?EditText password_et;
? ?TextView message_tv;

? ?// Used to load the 'native-lib' library on application startup.
? ?static {
? ? ? ?System.loadLibrary("native-lib");
? ?}

? ?@Override
? ?protected void onCreate(Bundle savedInstanceState) {
? ? ?// ?super.onCreate(savedInstanceState);
? ? ? ?//setContentView(R.layout.activity_main);

? ? ? ?// Example of a call to a native method
? ? ? ?//TextView tv = findViewById(R.id.sample_text);
? ? ? ?//tv.setText(stringFromJNI());
? ? ? ?super.onCreate(savedInstanceState);
? ? ? ?setContentView(R.layout.activity_main);

? ? ? ?password_et = (EditText) this.findViewById(R.id.password);
? ? ? ?username_et = (EditText) this.findViewById(R.id.username);
? ? ? ?message_tv = ((TextView) findViewById(R.id.textView));

? ? ? ?this.findViewById(R.id.login).setOnClickListener(new View.OnClickListener() {
? ? ? ? ? ?@Override
? ? ? ? ? ?public void onClick(View v) {

? ? ? ? ? ? ? ?if (username_et.getText().toString().compareTo("admin") == 0) {
? ? ? ? ? ? ? ? ? ?message_tv.setText("You cannot login as admin");
? ? ? ? ? ? ? ? ? ?return;
? ? ? ? ? ? ? ?}
? ? ? ? ? ? ? ?//我們hook的目標(biāo)就在這里
? ? ? ? ? ? ? ?message_tv.setText("Sending to the server :" + Base64.encodeToString((username_et.getText().toString() + ":" + password_et.getText().toString()).getBytes(), Base64.DEFAULT));

? ? ? ? ? ?}
? ? ? ?});

? ?}

? ?/**
? ? * A native method that is implemented by the 'native-lib' native library,
? ? * which is packaged with this application.
? ? */
? ?public native String stringFromJNI();
}


布局代碼:

<?xml version="1.0" encoding="utf-8"?>
<androidx.constraintlayout.widget.ConstraintLayout xmlns:android="http://schemas.android.com/apk/res/android"
? ?xmlns:app="http://schemas.android.com/apk/res-auto"
? ?xmlns:tools="http://schemas.android.com/tools"
? ?android:layout_width="match_parent"
? ?android:layout_height="match_parent"
? ?tools:context=".MainActivity">


? ?<LinearLayout xmlns:android="http://schemas.android.com/apk/res/android"
? ? ? ?android:orientation="vertical"
? ? ? ?android:layout_height="match_parent"
? ? ? ?android:layout_width="match_parent">


? ?<TextView
? ? ? ?android:layout_width="match_parent"
? ? ? ?android:layout_height="wrap_content"
? ? ? ?android:text="用戶名"
? ? ? ?android:textSize="24sp" />

? ?<EditText
? ? ? ?android:id="@+id/username"
? ? ? ?android:layout_width="match_parent"
? ? ? ?android:layout_height="wrap_content"
? ? ? ?android:hint="請輸入您的用戶名"/>

? ?<TextView
? ? ? ?android:layout_width="match_parent"
? ? ? ?android:layout_height="wrap_content"
? ? ? ?android:text="密碼"
? ? ? ?android:textSize="24sp" />

? ?<EditText
? ? ? ?android:id="@+id/password"
? ? ? ?android:layout_width="match_parent"
? ? ? ?android:layout_height="wrap_content"
? ? ? ?android:hint="請輸入您的密碼"/>

? <TextView
? ? ? ?android:id = "@+id/textView"
? ? ? ?android:layout_width="match_parent"
? ? ? ?android:layout_height="wrap_content"
? ? ? ?android:text="請輸入用戶名和密碼"
? ? ? ?android:textAlignment="center"
? ? ? ?android:textSize="24sp" />

? ?<Button
? ? ? ?android:id="@+id/login"
? ? ? ?android:layout_height="60dp"
? ? ? ?android:layout_width="wrap_content"
? ? ? ?android:text="登錄"
? ? ? ?android:layout_gravity="center"
? ? ? ?android:textAlignment="center"
? ? ? ?android:textSize="18sp" />
? ?</LinearLayout>

</androidx.constraintlayout.widget.ConstraintLayout>


布局類介紹: A ConstraintLayout is a android.view.ViewGroup which allows you to position and size widgets in a flexible way. LinearLayout is a layout that arranges other views either horizontally in a single column or vertically in a single row.

通過hook修改邏輯

(1)實現(xiàn)能夠讓admin登陸，繞過前臺的校驗。 (2)將setText中文本發(fā)送給電腦端，通過電腦端對數(shù)據(jù)進(jìn)行修改，然后把修改后的內(nèi)容再次發(fā)送給手機(jī)。也就是互聯(lián)互通。

python代碼(python3.8):

import time
import frida
import sys
import base64

def my_message_handler(message, payload):
? ?print(message)
? ?print(payload)
? ?if message["type"] == "send":
? ? ? ?print(message["payload"])
? ? ? ?data = message["payload"].split(":")[1].strip()
? ? ? ?print('message:', message)
? ? ? ?print("burning data:"+data)
? ? ? ?data = str(base64.b64decode(data), "utf-8")# 解碼
? ? ? ?user, pw = data.split(":") # 提取用戶名和密碼
? ? ? ?data ?= ?str(base64.b64encode(("admin" + ":" + pw).encode("utf-8")), "utf-8") # 組成新的組合并編碼，這是使用admin登陸
? ? ? ?print("encoded data:", data)
? ? ? ?script.post({"my_data": data}) ?# 將JSON對象發(fā)送回去
? ? ? ?print("Modified data sent")

device = frida.get_usb_device()
pid = device.spawn(["com.example.myapplication"])
device.resume(pid)
time.sleep(1)
session = device.attach(pid)
with open("conn.js") as f:
? ?script = session.create_script(f.read())
script.on("message", my_message_handler) ?# 注冊消息處理函數(shù)
script.load()
sys.stdin.read()


conn.js代碼:

Java.perform(function () {
? ?var tv_class = Java.use("android.widget.TextView");
? ?tv_class.setText.overload("java.lang.CharSequence").implementation = function (x) {
? ? ? ?var string_to_send = x.toString();
? ? ? ?var string_to_recv;
? ? ? ?console.log("send"+string_to_send);
? ? ? ?send(string_to_send); // 將數(shù)據(jù)發(fā)送給PC端
? ? ? ?recv(function (received_json_object) {
? ? ? ? ? ?string_to_recv = received_json_object.my_data
? ? ? ? ? ?console.log("string_to_recv: " + string_to_recv);
? ? ? ?}).wait(); //收到數(shù)據(jù)之后，再執(zhí)行下去
? ? ? ?var string = Java.use("java.lang.String");
? ? ? ?string_to_recv = string.$new(string_to_recv);//將收到的數(shù)據(jù)轉(zhuǎn)化為String類型
? ? ? ?return this.setText(string_to_recv);
? ?}
});


又很多數(shù)據(jù)通過JavaScript處理起來可能比較麻煩，那么可以考慮把數(shù)據(jù)發(fā)送給PC端，在PC端用python對數(shù)據(jù)處理就容易多了，處理完成之后再把數(shù)據(jù)發(fā)送回去。

遠(yuǎn)程調(diào)用(RPC)

在?Frida API使用(1)?對RPC進(jìn)行了介紹。在文章中把js和python代碼寫在了一個文件中，最好是把他們分開寫，這里不再舉例。

這個定義還是很重要的:?rpc.exports?is?empty object?that you can either replace or insert into to expose an RPC-style API to your application. The key specifies the method name and the value is your exported function.

寫在最后

再前面的apk中,通過hook技術(shù)很容易繞過了前臺的校驗,由此可見,前臺的校驗是多么的不靠譜.這種校驗最好都放在后臺,

公眾號

更多Frida的內(nèi)容,歡迎關(guān)注我的微信公眾號:無情劍客.