-
-
一种简单的Android全局注入方案
-
2018-1-19 21:54
-
Xposed和Cydia Substrate是android上两款比较知名的全局Hook框架,但都不尽善尽美,有时为了实现某个功能往往要绕许多弯路去配合框架,结果也差强人意,与其浪费精力去熟悉框架不如自己实现一套框架。
既然Xposed可以通过修改app_process源码实现全局注入,那自然我们也可通过修改app_process的ELF结构达成相同目的,简单观察发现app_process普遍存在一个DT_DEBUG项,这显然不是必须的,如果我们将其改成DT_NEEDED不就可以完成注入了?答案是肯定的。
一、环境准备
Genymotion + Android 8.0模拟器,由于system分区只读挂载,命令`mount -o rw,remount /system`无法达成目的,故需先修改android_system_disk.vmdk的fstab.vbox86,去掉/system的只读属性,注意权限前后要保持一致。
二、文件修改
模拟器是32位系统,故修改/system/bin/app_process32。搜索FAFFFF6F(对应DEBUG前一项的tag 0x6ffffffa),找到DT_DEBUG,改为DT_NEEDED,因为涉及字符表不好调整,这里直接选择libandroid_runtime.so,并去掉前三个字符lib,结果如下:
测试执行修改后app_process32:`app_process -Xzygote /system/bin --zygote --start-system-server`,如果提示android_runtime.so(注意此处没有lib)找不到,即表明修改正确。
三、代码注入
我们需要编写一个so并放到/system/lib/android_runtime.so,注意此时JNI_OnLoad是不会被加载的,故代码需要置于.init_array中,在C++中可简单借助静态对象的构造函数。
接着是一个关键问题,进入app_process进程后如何优雅地进入Java虚拟机内? 观察发现JNI_CreateJavaVM是个极佳的切入点,通过拦截它可得到JavaVM以及JNIEnv指针,从而打开Java世界大门。
此时还存在另一个关键问题,如何优雅地监听到每个apk的加载即Application.OnCreate入口点的调用?观察发现android/app/Instrumentation@callApplicationOnCreate是个不错的选择。
四、测试
替换掉/system/bin/app_process32,将原来的zygote进程kill掉,此时会软重启,观察日志应该得到类似如下的结果,全局注入达成,是不是很简单?
既然Xposed可以通过修改app_process源码实现全局注入,那自然我们也可通过修改app_process的ELF结构达成相同目的,简单观察发现app_process普遍存在一个DT_DEBUG项,这显然不是必须的,如果我们将其改成DT_NEEDED不就可以完成注入了?答案是肯定的。
Genymotion + Android 8.0模拟器,由于system分区只读挂载,命令`mount -o rw,remount /system`无法达成目的,故需先修改android_system_disk.vmdk的fstab.vbox86,去掉/system的只读属性,注意权限前后要保持一致。
二、文件修改
模拟器是32位系统,故修改/system/bin/app_process32。搜索FAFFFF6F(对应DEBUG前一项的tag 0x6ffffffa),找到DT_DEBUG,改为DT_NEEDED,因为涉及字符表不好调整,这里直接选择libandroid_runtime.so,并去掉前三个字符lib,结果如下:
三、代码注入
我们需要编写一个so并放到/system/lib/android_runtime.so,注意此时JNI_OnLoad是不会被加载的,故代码需要置于.init_array中,在C++中可简单借助静态对象的构造函数。
接着是一个关键问题,进入app_process进程后如何优雅地进入Java虚拟机内? 观察发现JNI_CreateJavaVM是个极佳的切入点,通过拦截它可得到JavaVM以及JNIEnv指针,从而打开Java世界大门。
class static_initializer
{
public:
static_initializer() {
LOGI(__FUNCTION__);
void *p = dlsym(RTLD_DEFAULT, "JNI_CreateJavaVM");
LOGI("JNI_CreateJavaVM = %p", p);
if (p != NULL) {
AKHookFunction(p, __func_cast(JNI_CreateJavaVM_Impl), reinterpret_cast<void **>(&JNI_CreateJavaVM));
} //if
}
};
static static_initializer s;static JavaVM *sys_vm = NULL;
static jmethodID sys_callApplicationOnCreate;
static jmethodID sys_getPackageName;
static void JNICALL callApplicationOnCreate(JNIEnv *env, jobject obj, jobject thisApp)
{
LOGI("thisApp = %p", thisApp);
if (thisApp != NULL) {
jstring pkg_name = static_cast<jstring>(env->CallObjectMethod(thisApp, sys_getPackageName));
const char *s_pkg_name = env->GetStringUTFChars(pkg_name, NULL);
LOGI("thisApp = %p, %s", thisApp, s_pkg_name);
env->ReleaseStringUTFChars(pkg_name, s_pkg_name);
env->DeleteLocalRef(pkg_name);
} //if
env->CallVoidMethod(obj, sys_callApplicationOnCreate, thisApp);
}
//-------------------------------------------------------------------------
static jint(JNICALL *JNI_CreateJavaVM)(JavaVM **p_vm, JNIEnv **p_env, void *vm_args);
extern "C" jint JNICALL JNI_CreateJavaVM_Impl(JavaVM **p_vm, JNIEnv **p_env, void *vm_args)
{
LOGI("p_vm = %p, p_env = %p, vm_args = %p", p_vm, p_env, vm_args);
jint r = JNI_CreateJavaVM(p_vm, p_env, vm_args);
LOGI("vm = %p, env = %p", *p_vm, *p_env);
sys_vm = *p_vm;
(*p_env)->PushLocalFrame(128);
while (r >= JNI_OK) {
jclass class_Instrumentation = (*p_env)->FindClass("android/app/Instrumentation");
LOGI("class android.app.Instrumentation = %p", class_Instrumentation);
if (class_Instrumentation == NULL) {
(*p_env)->ExceptionDescribe();
(*p_env)->ExceptionClear();
break;
} //if
jmethodID method_callApplicationOnCreate = (*p_env)->GetMethodID(class_Instrumentation,
"callApplicationOnCreate",
"(Landroid/app/Application;)V");
LOGI("method callApplicationOnCreate = %p", callApplicationOnCreate);
if (method_callApplicationOnCreate == NULL) {
(*p_env)->ExceptionDescribe();
(*p_env)->ExceptionClear();
break;
} //if
jclass class_Application = (*p_env)->FindClass("android/app/Application");
sys_getPackageName = (*p_env)->GetMethodID(class_Application,
"getPackageName", "()Ljava/lang/String;");
if (AKInitializeOnce(*p_env, *p_vm) < JNI_OK) break;
AKForceNativeMethod(method_callApplicationOnCreate,
__func_cast(callApplicationOnCreate), true, &sys_callApplicationOnCreate);
// while (true) usleep(654321000);
break;
} //if
(*p_env)->PopLocalFrame(NULL);
return r;
}替换掉/system/bin/app_process32,将原来的zygote进程kill掉,此时会软重启,观察日志应该得到类似如下的结果,全局注入达成,是不是很简单?
[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》,视频+靶场+题目!助力进入CTF世界
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
怎么说呢, 菜是这么做的, 用什么灶具就是因人而异了 |
|
|
|
|
|
|
|
|
|
|
|
嗯 讲的很棒。。谢谢分享 |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
@gtict 意思是android_runtime里面的hook代码放到android_runtime.so的initarray中。因为so被加载的时候会依次执行initarray的函数,是先于JNI_OnLoad执行胡 |
