Hook入门与抓包
0x01 Frida基础介绍
Frida介绍
Frida 的 介 绍 是 “Frida 是 平 台 原 生 App 的“Greasemonkey”,专业一点来说就是一种动态插桩工具,可以插入一些代码到原生App的内存空间去动态地监视和修改其行为,这些原生平台可以是Windows、Mac、Linux、Android或者iOS,同时Frida还是开源的。
Frida通过将JavaScript脚本插入到App的内存中来对App的逻辑进行跟踪和监控,甚至重新修改程序的逻辑,实现逆向开发和分析人员想要实现的功能,这样的方式也可以称为Hook(钩住,即通过钩子机制与钩子函数建立关联)。
Frida安装
客户端(电脑主机)安装直接使用命令
1 2 | pip3 install frida==12.8.0
pip3 install frida-tools==5.3.0
|
服务端(手机端)安装
在GitHub上找到与客户端版本相同且与手机硬件架构相同的服务端进行下载,下载后上传到手机/data/local/tmp
目录下,添加可执行权限,进行运行即可
1 2 3 4 5 6 | adb push frida
adb shell
su
cd /data/local/tmp
chmod 777 frida
. /frida
|
Frida操作模式
CLI模式直接通过命令行将JS脚本注入到进程中,对APP进程进行操作。
RPC模式又称为远程过程调用模式,这种模式利用Python对Hook的Js脚本进行包装,但实际上对进程进行操作的还是Js脚本。
Frida注入注入APP进程的方式(attach/spawn)
这种模式是建立在目标App已经启动的情况下,frida直接利用ptrace原理将Hook的Js脚本注入程序而完成Hook操作。
1 | frida -U APP进程 -l HookJs脚本.js
|
这种模式将启动App的权力交由Frida来控制,当使用此模式时,即使App已经启动还是会将App重新启动并注入Hook的JS脚本。
1 | frida -U -f App进程 -l HookJs脚本.js --no-pause
|
Frida Java层Hook 基础API
- setTimeout(指定注入的函数,延迟时间毫秒)
setTimeout函数本身是JS提供的一个函数,通过这个函数可以将FridaHook脚本的函数延迟注入到目标进程,在App有加固情况下比较好用比如: Root检测、Wifi代理检测
这个函数和setTimeout()函数类似,都是用于指定要执行的函数,不同的是setTimeout可以用于指定Frida注入App多长时间后执行函数,往往用于延时注入。
Java.perform() 函数表示将参数中的函数注入到Java运行时,如果没有该函数的包裹注入目标App进程会提示如下图的报错信息:
从内存中获取指定类(包名.类名)的handle句柄,相当于Java中通过反射机制获取到的Class对象。
Frida Hook Java层demo
这段代码表示每秒调用一次show()方法,其中一个方法没有返回值和参数,另一个方法有返回值和参数
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 | package com.example.demo02;
import android.os.Bundle;
import android.util.Log;
import androidx.appcompat.app.AppCompatActivity;
public class example extends AppCompatActivity {
@Override
protected void onCreate(Bundle savedInstanceState) {
super .onCreate(savedInstanceState);
setContentView(R.layout.activity_choose);
while ( true ){
try {
Thread.sleep( 1000 );
} catch (InterruptedException e){
e.printStackTrace();
}
show();
show( "---parameter---" );
}
}
public static void show(){
Log.d( "---no parameter---" , "show方法日志打印" );
}
public static boolean show(String tag){
Log.d(tag, "show方法日志打印" );
return true ;
}
}
|
Hook 该程序show方法的Frida脚本
function main(){
// Java.perform() 函数表示将参数中的函数注入到Java运行时
Java.perform(function(){
// Java.use() 函数表示从内存中获取指定类(包名.类名)的handle句柄
var MainActivity = Java.use('com.example.demo02.example')
// hook show()重载方法
MainActivity.show.overload().implementation = function(){
// 在控制台打印"Hook show()"
console.log("Hook show()")
this.show()
}
// hook show(tag) 重载方法
MainActivity.show.overload("java.lang.String").implementation = function(tag){
// 修改APP内存中的值
var result = this.show("Hook")
// // 获取 Hook 到方法的返回值并在控制台打印
var AppTag = this.show(tag)
console.log("show(tag) retval => ", AppTag)
// 返回修改后的值(Hook)
return result
}
}
)
}
// 指定要注入到APP进程的函数
setImmediate(main)
执行如下命令:
1 | frida -U com.example.demo02 -l 6_example.js
|
0x02 基于Frida开发的动态分析工具Objection
Objection集成的功能主要支持Android和iOS两大移动平台。在对Android的支持中,Objection可以快速完成诸如内存搜索、类和模块搜索、方法Hook以及打印参数、返回值、调用栈等常用功能,是一个非常方便的逆向必备工具和内存漫游神器。
使用命令安装:
1 | pip3 install - U objection
|
Objection默认通过USB连接设备,不必和Frida的命令行一样通过-U参数指定USB模式连接,主要通过-g参数指定注入的进程并通过explore命令进入REPL模式。在进入REPL模式后便可以使用Objection进行Hook的常用命令
1 | objection -g com.roysue.httpurlconnectiondemo(包名) explore
|
常用基础命令:
1 2 3 4 5 6 7 8 9 10 11 12 | jobs命令:作业系统很好用,用于查看和管理当前所执行Hook的任务
查看当前hook任务: jobs list
终止hook任务: jobs kill id
内存漫游相关命令:
列出当前内存中所有类:android hooking list classes
搜索内存中包含关键字的类: android hooking search class 关键字
搜索内存中包含关键字的方法: android hooking search methods 关键字
列出指定类中的所有方法: android hooking list class_methods 类完整路径
列出当前APP四大组件: android hooking list activities|services|receivers|providers
Hook相关命令:
Hook指定的方法: android hooking watch class_method 方法名称 --dump-args --dump-backtrace --dump- return
Hook某个类的所有方法: android hooking watch class 类名
|
0x03 root检测绕过
方法一
使用jadx反编译工具反编译apk文件,搜索root检测相关代码
找到包名为目标APP包名的那个方法,跟踪代码
然后根据root检测逻辑编写绕过检测的js代码,具体代码略
方法二
上面的方法有个缺点就是只能针对特定的APP绕过,下面介绍通用的绕过方式
直接Hook java.io.FIle类的exists方法,这个方式的好处是:
1.其他APP不敢对这个类进行混淆
2.这个类一定存在于内存中无需延迟注入
仔细观察方法一种root检测部分截图的代码,发现使用的是Java基础类File的exists()方法进行检测
因此我们可以直接对File进行Hook,代码如下
function main(){
Java.perform(function(){
var File = Java.use("java.io.File") // 获取java.io.File
File.exists.implementation = function(){ // Hook exists方法并获取path值
var path = this.path.value; // 获取path值
var result = this.exists() // 获取exists()原始值
// console.log(path)
if(path == "/system/bin/su" || path == "/system/xbin/su" || path == "/sbin/su" || path == "/vendor/bin/su"){
result = false // 将返回值设为false代表未获取root
}
return result
}
})
}
setImmediate(main)
0x04 Hook HTTP/S网络请求框架
安卓开发中常用的HTTP/S网络请求框架
HttpURLConnection属于原生的网络通信库,从Android 5(2014年)开始,Android官方不再推荐使用HttpClient。Android 6.0的SDK中去掉了HttpClient的支持。 在Android 9之后,Android更是彻底取消了对HTTPClient的支持,因此可以说原生的网络通信库就只剩下了HttpURLConnection。
因为网络通信的操作涉及异步、多线程和效率等问题,在HttpURLConnection中并未对这些操作进行完整的封装,而是交给了开发者去完成,因此就出现了第二类网络通信框架——第三方HTTP(S)网络请求框架。okhttp 是大名鼎鼎的Square公司的开源网络请求框架,有2、3、4几个大版 本,目前主流使用的是okhttp3。相比HttpUrlConnection,okhttp3更加优雅和高效,大部分Android第三方网络框架(比如Retrofit2网络通信框架)也都是基于okhttp3的再封装。
另外,还有Volley网络通信框架,它是在2013年 的Google I/O大会上被推出的基于HttpUrlConnection的一款异步 网络请求框架和图片加载框架,Volley特别适合数据量小、通信频繁的网络操作。
HttpURLConnection基础开发流程
1.通过传入目标网络地址来新建一个URL对象,然后通过 openConnection()函数获取一个HttpURLConnection实例
2.获取到HttpURLConnection实例后,按照HTTP建立连接的流程设置HTTP请求头和参数信息例如:
setRequestMethod()函数设置HTTP请求方法
setRequestProperty() 设置请求参数
setConnectionTimeout() 函数设置连接超时时间
setReadTimeout()函数设置接收超时时间
3.调用HttpURLConnection实例的getInputStream()方法与服务器连接并获取到服务器返回的输入流,对输入流完成读取,最终调用disconnection()方法将HTTP连接关闭掉。
实例:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 | package com.roysue.httpurlconnectiondemo;
import androidx.appcompat.app.AppCompatActivity;
import android.os.Bundle;
import android.util.Log;
import java.io.IOException;
import java.io.InputStream;
import java.net.HttpURLConnection;
import java.net.URL;
import java.nio.charset.StandardCharsets;
public class MainActivity extends AppCompatActivity {
@Override
protected void onCreate(Bundle savedInstanceState) {
super .onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
new Thread( new Runnable() {
@Override
public void run() {
while ( true ){
try {
URL url = new URL( "https://www.baidu.com" );
HttpURLConnection connection = (HttpURLConnection) url.openConnection();
connection.setRequestMethod( "GET" );
connection.setRequestProperty( "token" , "r0ysue666" );
connection.setConnectTimeout( 8000 );
connection.setReadTimeout( 8000 );
connection.connect();
InputStream in = connection.getInputStream();
int bufferSize = 1024 ;
byte [] buffer = new byte [bufferSize];
StringBuffer sb = new StringBuffer();
while ((in.read(buffer)) != - 1 ) {
sb.append( new String(buffer));
}
Log.d( "r0ysue666" , sb.toString());
connection.disconnect();
} catch (IOException e) {
e.printStackTrace();
}
try {
Thread.sleep( 10 * 1000 );
} catch (InterruptedException e) {
e.printStackTrace();
}
}
}
}).start();
}
}
|
HttpURLConnection“自吐”脚本开发
从HttpURLConnection基础开发流程我们发现几个关键的收发包函数
1.URL类的构造函数,其包含了目标网址的字符串。
2.setRequestMethod()和setRequestProperty()方法设置请求头和请求参数等信息。
3.getInputStream()方法获取response服务器响应数据。
利用Objection动态分析HttpURLConnection
- URL类的构造函数,其包含了目标网址的字符串。
Objection hook java.net.HttpURL类构造函数的方法
- setRequestMethod()和setRequestProperty()方法设置请求头和请求参数等信息。
Hook setRequestProperty()方法,发现无日志信息
Hook java.net.HttpURLConnection
整个类的方法调用,观察调用了哪些方法
当hook HttpURLConnection类的方法时,没有打印出预想的setRequestProperty()、setRequestMethod()等方法的调用,这是因为HttpURLConnection是一个抽象类,无法创建对象实例所以内存中没有对象实例,需要Hook它的子类实例。
HttpURLConnection类定义
通过断点调试查看实现HttpURLConnection的子类实例
在获取HttpURLConnection对象后断点
HttpURLConnectoin具体实现类com.android.okhttp.internal.huc.HttpURLConnectionImpl
hook com.android.okhttp.internal.huc.HttpURLConnectionImpl类获取请求头部和参数信息
1 | android hooking watch class com.android.okhttp.internal.huc.HttpURLConnectionImpl
|
根据Hook HttpURLConnection的结果编写“自吐”脚本
function main(){
Java.perform(function(){
var URL = Java.use("java.net.URL")
var HttpURLConnection = Java.use("com.android.okhttp.internal.huc.HttpURLConnectionImpl")
var BufferedReader = Java.use("java.io.BufferedReader")
var StringBuilder = Java.use("java.lang.StringBuilder")
var InputStreamReader = Java.use("java.io.InputStreamReader")
// Hook URL构造方法获取请求url
URL.$init.overload("java.lang.String").implementation = function(url){
console.log("--NetWork Start--")
console.log("--url--", url)
this.$init(url)
}
// Hook setRequestMethod方法获取请求方法
HttpURLConnection.setRequestMethod.implementation = function(method){
console.log(method)
this.setRequestMethod(method)
}
// Hook setRequestProperty方法获取请求参数
HttpURLConnection.setRequestProperty.implementation = function(key, value){
console.log("--param-- : key=>", key, "value=>",value)
this.setRequestProperty(key, value)
}
// Hook getInputStream方法获取响应报文
HttpURLConnection.getInputStream.implementation = function(){
var inputStream = this.getInputStream()
var buffer = BufferedReader.$new(InputStreamReader.$new(inputStream));
var sb = StringBuilder.$new()
var line = null;
while((line = buffer.readLine()) != null){
sb.append(line);
}
var data = sb.toString()
console.log("--response--: " +data)
console.log("--Network Stop--")
return inputStream
}
}
)
}
setImmediate(main)
执行结果如下:
OkHttp基础开发流程
1.创建一个OkhttpClient客户端对象
2.创建Request对象设置header、body、url等参数
3.使用OkhttpClient客户端将Request请求封装成Call对象后,调用enqueue()方法产生一次真实的网络请求,onResponse()等回调方法处理网络请求结果(网络请求可分为同步和异步两种,在Android中主要使用异步)
MainActivity代码:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 | package com.r0ysue.okhttp3demo;
import android.os.Bundle;
import android.util.Log;
import android.view.View;
import android.widget.Button;
import androidx.appcompat.app.AppCompatActivity;
import java.io.IOException;
public class MainActivity extends AppCompatActivity {
private static String TAG = "r0ysue666" ;
@Override
protected void onCreate(Bundle savedInstanceState) {
super .onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
Button btn = findViewById(R.id.mybtn);
btn.setOnClickListener( new View.OnClickListener() {
@Override
public void onClick(View v) {
String requestUrl = "https://sapi.k780,com/" ;
example myexample = new example();
try {
myexample.run(requestUrl);
} catch (IOException e) {
e.printStackTrace();
}
}
});
}
}
|
example代码
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 | package com.r0ysue.okhttp3demo;
import android.util.Log;
import java.io.IOException;
import java.net.InetSocketAddress;
import java.net.Proxy;
import java.util.HashMap;
import okhttp3.Call;
import okhttp3.Callback;
import okhttp3.FormBody;
import okhttp3.OkHttpClient;
import okhttp3.Request;
import okhttp3.RequestBody;
import okhttp3.Response;
public class example {
private static final String TAG = "---okhttp3---" ;
OkHttpClient client = new OkHttpClient
.Builder()
.proxy( new Proxy(Proxy.Type.HTTP, new InetSocketAddress( "192.168.110.125" , 8080 )))
.addNetworkInterceptor( new LoggingInterceptor())
.build();
void run(String url) throws IOException {
HashMap<String, String> paramMap = new HashMap<>();
paramMap.put( "app" , "weather.today" );
paramMap.put( "appkey" , "10003" );
paramMap.put( "sign" , "b59bc3ef6191eb9f747dd4e83c99f2a4" );
paramMap.put( "format" , "json" );
paramMap.put( "cityNm" , "重庆" );
FormBody.Builder builder = new FormBody.Builder();
for (String key:paramMap.keySet()){
builder.add(key, paramMap.get(key));
}
RequestBody body = builder.build();
Request request = new Request.
Builder()
.url(url)
.header( "city" , "shanghai" )
.post(body)
.build();
client.newCall(request).enqueue(
new Callback() {
@Override
public void onFailure(Call call, IOException e) {
call.cancel();
}
@Override
public void onResponse(Call call, Response response) throws IOException {
Log.d(TAG, response.body().string());
}
}
);
}
}
|
Okhttp3“自吐”脚本开发
从Okhttp3基础开发流程我们发现几个关键的点
1.请求的服务器URL。
2.使用的协议版本,比如HTTP/1.0或者HTTP/1.1等。
3.请求头Header以及请求的Body数据。
4.请求的返回数据。
如果通过Hook的方式实现另类的“抓包”,那么我们的需求是保留URL、请求Body和headers以及请求的返回数据。可以在okhttpClient.newCall(request)函数中找到我们关注的请求Request对象,而这个对象中会包含我们关注的1、2、3项。但是由于Okhttp3设计的原因,如果按照HttpURLConnection自吐脚本输出Request和Response的难度比较大。
Okhttp3 Hook客户端强行设置代理
通过查看OkHttp3官方API发现可以在构造OkhttpClient对象时设置代理,之后的请求就会发送到代理服务器。
一般来说开发者使用OkHttpClient创建客户端对象并不会使用proxy方法设置代理,但是我们可以通过Frida Hook的方式在调用build()方法时强行设置代理,这样就能在不设置WIFI代理或VPN代理的方式抓取到请求包。Frida代码如下:
function main(){
Java.perform(function(){
// 在内存中获取okhttp3.OkHttpClient$Builder内部句柄
var Builder = Java.use("okhttp3.OkHttpClient$Builder")
// 为创建代理对象做准备
var Proxy = Java.use("java.net.Proxy")
var TYPE = Java.use("java.net.Proxy$Type")
var InetSocketAddress = Java.use("java.net.InetSocketAddress")
var String = Java.use("java.lang.String")
console.log(Builder)
// hook okhttp3.OkHttpClient$Builder内部类的build方法代表最终构造OkHttpClient对象
Builder.build.implementation = function(){
// 设置代理服务器IP地址
var ip_str = String.$new("192.168.110.125")
// 创建代理服务器对象
var Proxy_IP_PORT = InetSocketAddress.$new(ip_str, 8080)
// 调用当前对象的proxy强行设置代理
this.proxy(Proxy.$new(TYPE.HTTP.value, Proxy_IP_PORT))
console.log("设置代理成功:协议:", TYPE.HTTP.value)
return this.build()
}
})
}
setImmediate(main)
运行效果
[培训]《安卓高级研修班(网课)》月薪三万计划,掌
握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
最后于 2024-2-2 10:35
被Alvinlight编辑
,原因: