首页
社区
课程
招聘
[原创]分享一个Android通用svc跟踪以及hook方案——Frida-Seccomp
发表于: 2022-3-11 19:32 52330

[原创]分享一个Android通用svc跟踪以及hook方案——Frida-Seccomp

2022-3-11 19:32
52330

暂时只支持ARM64,ARM32的逻辑也是一样的,有兴趣的大佬可以自行更改哈。


在这里感谢珍惜大佬介绍的seccomp机制,推荐一波珍惜大佬的课程能学到很多有趣的骚操作。

seccomp沙箱机制介绍文章
seccomp 是 Linux 内核提供的一种应用程序沙箱机制,主要通过限制进程的系统调用来完成部分沙箱隔离功能。seccomp-bpf 是 seccomp 的一个扩展,它可以通过配置来允许应用程序调用其他的系统调用。

seccomp的具体用法可以参考「什么是seccomp」中的seccomp介绍文章。当返回规则设置为「SECCOMP_RET_TRAP」,目标系统调用时seccomp会产生一个SIGSYS系统信号并软中断,这时就可以通过捕获这个SIGSYS信号获得svc调用和打印具体参数。

这里使用Frida的API「CModule」,CModule提供强大的动态编译功能可以让你在JS中写C,
frida文档中的示例

使用Frida的API「Process.setExceptionHandler」即可捕获异常并在自己写的回调中进行数据处理。
数据处理的逻辑解释写在注释里啦。

根据Frida文档介绍「setExceptionHandler」捕获异常后只需要让回调返回true就会resume原本的线程,但是其只是跳过了svc指令继续执行,实际上并不会执行svc,这时候如果不执行syscall轻则导致APP数据异常,重则导致APP直接崩溃。所以在异常的回调中需要手动调用了syscall并赋值给x0。
但这时候会发生个新的问题,因为在主线程开启seccomp后,主线程和其后创建出来的线程都会被seccomp规则约束,在异常处理函数直接调用syscall同样会被seccomp约束再次抛出异常,就形成了”死锁“了。

可以注意到上面“死锁”部分描述,那我们在主线程被约束前,提前创建一个线程,这个线程就是不被约束的,同时受到线程池启发,我们让这个syscall线程循环接受任务,就能完成在一个没有约束的线程里进行syscall调用。

直接使用Frida的API「Thread.backtrace」很容易导致崩溃,原因可能是seccomp规则或者「prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0)」导致的权限收紧和Frida实现堆栈回溯功能冲突。

手动实现堆栈回溯,原理是Arm64中每个函数都会在函数头部位置对x29、x30寄存器存入栈中,所以可以对x29不断读取往上回溯,最后得到完整的堆栈信息。
实现

疑似同坑2的原因

在CModule中手动实现了通过地址查soinfo信息「base, size, soname」等

同坑2的原因

直接改用syscall线程使用「__android_print_log」打印信息

在调用线程syscall前后可以更改传参、返回值、地址等更改,达到HOOK的效果

求star
https://github.com/Abbbbbi/Frida-Seccomp

log信息可以在logcat过滤“seccomp”查看
同时也自动保存到了「包名_pid_时间戳」文件夹内(支持多进程)
图片描述

这是一个bpf规则:
struct sock_filter filter[] = {
        BPF_STMT(BPF_LD + BPF_W + BPF_ABS,
                 (offsetof(struct seccomp_data, nr))),
        BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, nr, 0, 1),
        BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_TRAP),
        BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_ALLOW),
};
这是一个bpf规则:
struct sock_filter filter[] = {
        BPF_STMT(BPF_LD + BPF_W + BPF_ABS,
                 (offsetof(struct seccomp_data, nr))),
        BPF_JUMP(BPF_JMP + BPF_JEQ + BPF_K, nr, 0, 1),
        BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_TRAP),
        BPF_STMT(BPF_RET + BPF_K, SECCOMP_RET_ALLOW),
};
const cm = new CModule(`
#include <stdio.h>
void hello(void) {
  printf("Hello World from CModule\\n");
}
`);
const hello = new NativeFunction(cm.hello, 'void', []);
hello();
const cm = new CModule(`
#include <stdio.h>
void hello(void) {
  printf("Hello World from CModule\\n");
}
`);
const hello = new NativeFunction(cm.hello, 'void', []);
hello();
// 异常处理
    Process.setExceptionHandler(function (details) {
        const current_off = details.context.pc - 4;
        // 判断是否是seccomp导致的异常 读取opcode 010000d4 == svc 0
        if (details.message == "system error" && details.type == "system" && hex(ptr(current_off).readByteArray(4)) == "010000d4") {
            // 上锁避免多线程问题
            lock(syscall_thread_ptr)
            // 获取x8寄存器中的调用号
            const nr = details.context.x8.toString(10);
            let loginfo = "\n=================="
            loginfo += `\nSVC[${syscalls[nr][1]}|${nr}] ==> PC:${addrToString(current_off)} P${Process.id}-T${Process.getCurrentThreadId()}`
            // 构造线程syscall调用参数
            const args = Memory.alloc(7 * 8)
            args.writePointer(details.context.x8)
            let args_reg_arr = {}
            for (let index = 0; index < 6; index++) {
                eval(`args.add(8 * (index + 1)).writePointer(details.context.x${index})`)
                eval(`args_reg_arr["arg${index}"] = details.context.x${index}`)
            }
            // 获取手动堆栈信息
            loginfo += "\n" + stacktrace(ptr(current_off), details.context.fp, details.context.sp).map(addrToString).join('\n')
            // 打印传参
            loginfo += "\nargs = " + JSON.stringify(args_reg_arr)
            // 调用线程syscall 赋值x0寄存器
            details.context.x0 = call_task(syscall_thread_ptr, args, 0)
            loginfo += "\nret = " + details.context.x0.toString()
            // 打印信息
            call_thread_log(loginfo)
            // 解锁
            unlock(syscall_thread_ptr)
            return true;
        }
        return false;
    })
// 异常处理
    Process.setExceptionHandler(function (details) {
        const current_off = details.context.pc - 4;
        // 判断是否是seccomp导致的异常 读取opcode 010000d4 == svc 0
        if (details.message == "system error" && details.type == "system" && hex(ptr(current_off).readByteArray(4)) == "010000d4") {
            // 上锁避免多线程问题
            lock(syscall_thread_ptr)
            // 获取x8寄存器中的调用号
            const nr = details.context.x8.toString(10);
            let loginfo = "\n=================="
            loginfo += `\nSVC[${syscalls[nr][1]}|${nr}] ==> PC:${addrToString(current_off)} P${Process.id}-T${Process.getCurrentThreadId()}`

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2022-3-12 22:53 被阿碧编辑 ,原因:
收藏
免费 40
支持
分享
打赏 + 55.00雪花
打赏次数 2 雪花 + 55.00
 
赞赏  Editor   +50.00 2022/04/07 恭喜您获得“雪花”奖励,安全圈有你而精彩!
赞赏  virjar   +5.00 2022/03/12 好文章值得赞赏
最新回复 (46)
雪    币: 3354
活跃值: (14003)
能力值: ( LV9,RANK:230 )
在线值:
发帖
回帖
粉丝
2
火钳刘明
2022-3-11 19:49
1
雪    币: 16501
活跃值: (6382)
能力值: ( LV13,RANK:923 )
在线值:
发帖
回帖
粉丝
3
目测必火
2022-3-11 20:05
0
雪    币: 1490
活跃值: (9913)
能力值: ( LV9,RANK:240 )
在线值:
发帖
回帖
粉丝
4
收藏收藏。
2022-3-11 20:42
0
雪    币: 181
活跃值: (2943)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5

b哥牛批

最后于 2022-3-11 21:08 被huaerxiela编辑 ,原因:
2022-3-11 21:08
0
雪    币: 207
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
6
6呀6呀  骚操作
2022-3-11 21:15
0
雪    币: 4295
活跃值: (2642)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
niu bee 6666
2022-3-12 09:19
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
8
nbbbb
2022-3-12 11:44
0
雪    币: 236
活跃值: (1138)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
tql!!!
2022-3-12 11:56
0
雪    币: 3071
活跃值: (4152)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
收藏=会了
2022-3-12 13:52
0
雪    币: 94
活跃值: (2372)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
11
看过=会了
2022-3-12 15:00
0
雪    币: 102
活跃值: (2045)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
mark
2022-3-12 22:15
0
雪    币: 5330
活跃值: (5464)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
13
mark
2022-3-12 23:39
0
雪    币: 8437
活跃值: (5031)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
14
mark
2022-3-13 20:47
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
15
学习下
2022-3-14 09:01
0
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
16
你这个能hook  Android 下的 cat不
2022-3-14 14:42
0
雪    币: 514
活跃值: (1836)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
17
wx_Then_580 你这个能hook Android 下的 cat不
没太理解到意思
2022-3-16 01:14
0
雪    币: 986
活跃值: (6167)
能力值: ( LV7,RANK:115 )
在线值:
发帖
回帖
粉丝
18
强!
2022-3-16 16:41
0
雪    币: 169
活跃值: (472)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
2022-3-24 18:00
0
雪    币: 219
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
20
这个函数"call_read_maps"有个bug,函数结尾返回了局部变量指针地址
2022-4-7 18:38
0
雪    币: 6052
活跃值: (6267)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
21
nnnnnnb
2022-4-7 19:41
0
雪    币: 1736
活跃值: (463)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
看了等于学会了
2022-4-8 10:57
1
雪    币: 0
活跃值: (296)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
学习学习
2022-4-9 11:27
0
雪    币: 187
活跃值: (315)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
留名!!
2022-4-9 20:32
0
雪    币: 19
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
25
tql
2022-4-10 11:26
0
游客
登录 | 注册 方可回帖
返回
//