[原创]frida基础闯关训练七层关卡-Android安全-看雪安全社区

[原创]frida基础闯关训练七层关卡

发表于: 2023-7-14 18:23 14362

[原创]frida基础闯关训练七层关卡

复活甲

2023-7-14 18:23

14362

打开app首先映入眼前是一个常规的登录界面，输入用户名和密码，提示Login filed.显然用户名和密码随便输入肯定是不行了。

首先我们用objection定位到他的页面位置activity,再结合反编译工具对源码进行分析。

可以发现当前类的类已经找到了，objection hook这个类，再触发按钮，观察情况，打印出调用的方法，再hook之。

通过返回值可以大胆猜测，密码经过了加密，将返回值输入的确通过了第一关，不过还需要结合源码分析下。
图片描述
发现是 HmacSHA256 加密，然后我们可以hmac在线加密输入加密对比下结果没问题，输入密码进入下一关。

界面提示点击进入下一关，肯定没那么简单，不出意外提示报错了。

这里只能结合源码分析了。
图片描述
将 R4jSLLLLLLLLLLOrLE7/5B+Z6fsl65yj6BgC6YWz66gO6g2t65Pk6a+P65NK44NNROl0wNOLLLL= 反向还原得到输入的密码，再用frida hook住b方法，则可进入到下一题。
a()b()方法的源码：

正规的算法还原，这里直接Hook通过了，后续在还原这个算法。

图片描述
修改静态成员变量和非静态成员变量的值即可通过，但是给出来了2个函数，出题人的想法应该是让我们触发按钮的时候，主动调用这2个函数，来改变成员变量的值。

观察代码：
图片描述
只要将三个成员变量的值改为true 即可通向下一关。

看源码：
图片描述
将check的值全部改为 true,即可通过下一关。

代码：
图片描述

将调用的三个class的方法改成true，即可通关。

adb shell dumpsys window | grep CurrentFocus
 
#返回
mCurrentFocus=Window{5b2914b u0 com.example.androiddemo/com.example.androiddemo.Activity.LoginActivity}

adb shell dumpsys window | grep CurrentFocus

#返回

mCurrentFocus=Window{5b2914b u0 com.example.androiddemo/com.example.androiddemo.Activity.LoginActivity}

android hooking list activities  
 
#返回       
com.example.androiddemo.Activity.BaseFridaActivity
com.example.androiddemo.Activity.FridaActivity1
com.example.androiddemo.Activity.FridaActivity2
com.example.androiddemo.Activity.FridaActivity3
com.example.androiddemo.Activity.FridaActivity4
com.example.androiddemo.Activity.FridaActivity5
com.example.androiddemo.Activity.FridaActivity6
com.example.androiddemo.Activity.FridaActivity7
com.example.androiddemo.Activity.LoginActivity
com.example.androiddemo.MainActivity
 
 
android hooking watch class com.example.androiddemo.Activity.LoginActivity --dump-args --dump-backtrace --dump-return
#返回
(agent) [vv23m49gobd] Called com.example.androiddemo.Activity.LoginActivity.access$100(java.lang.Strinjava.lang.String)
(agent) [vv23m49gobd] Called com.example.androiddemo.Activity.LoginActivity.a(java.lang.String, java.lang.String)
(agent) [vv23m49gobd] Called com.example.androiddemo.Activity.LoginActivity.a([B)
(agent) [vv23m49gobd] Called com.example.androiddemo.Activity.LoginActivity.access$000(com.example.androiddemo.Activity.LoginActivity)            
 
android hooking watch class_method com.example.androiddemo.Activity.LoginActivity.a  --dump-args --dump-return
#返回：
(agent) [810lsp00gmj] Arguments com.example.androiddemo.Activity.LoginActivity.a([object Object])
(agent) [810lsp00gmj] Return Value: 82d476df642d6c882dcc438e028c6e0908af286439b7cd18975dc971387eb33a
(agent) [810lsp00gmj] Return Value: 82d476df642d6c882dcc438e028c6e0908af286439b7cd18975dc971387eb33a

android hooking list activities

#返回

com.example.androiddemo.Activity.BaseFridaActivity

com.example.androiddemo.Activity.FridaActivity1

com.example.androiddemo.Activity.FridaActivity2

com.example.androiddemo.Activity.FridaActivity3

com.example.androiddemo.Activity.FridaActivity4

com.example.androiddemo.Activity.FridaActivity5

com.example.androiddemo.Activity.FridaActivity6

com.example.androiddemo.Activity.FridaActivity7

com.example.androiddemo.Activity.LoginActivity

com.example.androiddemo.MainActivity

android hooking watch class com.example.androiddemo.Activity.LoginActivity --dump-args --dump-backtrace --dump-return

#返回

(agent) [vv23m49gobd] Called com.example.androiddemo.Activity.LoginActivity.access$100(java.lang.Strinjava.lang.String)

(agent) [vv23m49gobd] Called com.example.androiddemo.Activity.LoginActivity.a(java.lang.String, java.lang.String)

(agent) [vv23m49gobd] Called com.example.androiddemo.Activity.LoginActivity.a([B)

(agent) [vv23m49gobd] Called com.example.androiddemo.Activity.LoginActivity.access$000(com.example.androiddemo.Activity.LoginActivity)

android hooking watch class_method com.example.androiddemo.Activity.LoginActivity.a --dump-args --dump-return

#返回：

(agent) [810lsp00gmj] Arguments com.example.androiddemo.Activity.LoginActivity.a([object Object])

(agent) [810lsp00gmj] Return Value: 82d476df642d6c882dcc438e028c6e0908af286439b7cd18975dc971387eb33a

public static String a(byte[] bArr) throws Exception {
       StringBuilder sb = new StringBuilder();
       for (int i = 0; i <= bArr.length - 1; i += 3) {
           byte[] bArr2 = new byte[4];
           byte b = 0;
           for (int i2 = 0; i2 <= 2; i2++) {
               int i3 = i + i2;
               if (i3 <= bArr.length - 1) {
                   bArr2[i2] = (byte) (b | ((bArr[i3] & 255) >>> ((i2 * 2) + 2)));
                   b = (byte) ((((bArr[i3] & 255) << (((2 - i2) * 2) + 2)) & 255) >>> 2);
               } else {
                   bArr2[i2] = b;
                   b = 64;
               }
           }
           bArr2[3] = b;
           for (int i4 = 0; i4 <= 3; i4++) {
               if (bArr2[i4] <= 63) {
                   sb.append(table[bArr2[i4]]);
               } else {
                   sb.append('=');
               }
           }
       }
       return sb.toString();
   }
 
   public static byte[] b(String str) {
       try {
           ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();
           GZIPOutputStream gZIPOutputStream = new GZIPOutputStream(byteArrayOutputStream);
           gZIPOutputStream.write(str.getBytes());
           gZIPOutputStream.finish();
           gZIPOutputStream.close();
           byte[] byteArray = byteArrayOutputStream.toByteArray();
           try {
               byteArrayOutputStream.close();
               return byteArray;
           } catch (Exception e) {
               e.printStackTrace();
               return byteArray;
           }
       } catch (Exception unused) {
           return null;
       }
   }

public static String a(byte[] bArr) throws Exception {

StringBuilder sb = new StringBuilder();

for (int i = 0; i <= bArr.length - 1; i += 3) {

byte[] bArr2 = new byte[4];

byte b = 0;

for (int i2 = 0; i2 <= 2; i2++) {

int i3 = i + i2;

if (i3 <= bArr.length - 1) {

bArr2[i2] = (byte) (b | ((bArr[i3] & 255) >>> ((i2 * 2) + 2)));

b = (byte) ((((bArr[i3] & 255) << (((2 - i2) * 2) + 2)) & 255) >>> 2);

} else {

bArr2[i2] = b;

b = 64;

}

bArr2[3] = b;

for (int i4 = 0; i4 <= 3; i4++) {

if (bArr2[i4] <= 63) {

sb.append(table[bArr2[i4]]);

} else {

sb.append('=');

}

return sb.toString();

}

public static byte[] b(String str) {

try {

ByteArrayOutputStream byteArrayOutputStream = new ByteArrayOutputStream();

GZIPOutputStream gZIPOutputStream = new GZIPOutputStream(byteArrayOutputStream);

gZIPOutputStream.write(str.getBytes());

gZIPOutputStream.finish();

gZIPOutputStream.close();

byte[] byteArray = byteArrayOutputStream.toByteArray();

try {

byteArrayOutputStream.close();

return byteArray;

} catch (Exception e) {

e.printStackTrace();

return byteArray;

}

} catch (Exception unused) {

return null;

}

var FridaActivity1 = Java.use("com.example.androiddemo.Activity.FridaActivity1");
FridaActivity1["b"].implementation = function (str) {
    console.log("FridaActivity1.b is called: str=${str}", str);
    var result = this["b"](str);
    console.log("FridaActivity1.b result=${result}", JSON.stringify(result));
    return result;
};
 
FridaActivity1["a"].implementation = function (bArr) {
    console.log("FridaActivity1.a is called: bArr=${bArr}", JSON.stringify(bArr));
    var result = this["a"](bArr);
    console.log("FridaActivity1.a result=${result}", result);
    result = 'R4jSLLLLLLLLLLOrLE7/5B+Z6fsl65yj6BgC6YWz66gO6g2t65Pk6a+P65NK44NNROl0wNOLLLL='
    return result;
};

var FridaActivity1 = Java.use("com.example.androiddemo.Activity.FridaActivity1");

FridaActivity1["b"].implementation = function (str) {

console.log("FridaActivity1.b is called: str=${str}", str);

var result = this["b"](str);

console.log("FridaActivity1.b result=${result}", JSON.stringify(result));

return result;

};

FridaActivity1["a"].implementation = function (bArr) {

console.log("FridaActivity1.a is called: bArr=${bArr}", JSON.stringify(bArr));

var result = this["a"](bArr);

console.log("FridaActivity1.a result=${result}", result);

result = 'R4jSLLLLLLLLLLOrLE7/5B+Z6fsl65yj6BgC6YWz66gO6g2t65Pk6a+P65NK44NNROl0wNOLLLL='

登录后可查看完整内容

[培训]Windows内核深度攻防：从Hook技术到Rootkit实战！

最后于 2023-7-17 18:19 被kanxue编辑，原因：将百度网盘附件转本地

#HOOK注入 #逆向分析

上传的附件：

frida_example_1.1.apk （1.63MB，144次下载）

收藏・30

免费・2

支持

最新回复 (12)
TrumpWY 雪币： 874 活跃值： (1045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 76 粉丝 2 关注私信	TrumpWY 2 楼很棒，值得新手学习！ 2023-7-14 22:29 0
秋狝雪币： 9114 活跃值： (33256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 39 关注私信	秋狝 3 楼感谢分享 2023-7-14 23:37 1
huangyalei 雪币： 31711 活跃值： (9633) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 396 粉丝 10 关注私信	huangyalei 4 楼谢谢，apk能提供吗？ 2023-7-14 23:59 0
复活甲雪币： 2911 活跃值： (7217) 能力值： ( LV6，RANK：90 ) 在线值：发帖 24 回帖 60 粉丝 122 关注私信	复活甲 5 楼 huangyalei 谢谢，apk能提供吗？链接：cd3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4P5W2c8K9y4i4l9#2i4K6u0V1k6s2c8V1d9s2S2c8k6h3p5@1c8W2W2S2f1W2m8%4i4K6t1$3L8X3u0K6M7q4)9K6b7R3`.`. 提取码：a5ho --来自百度网盘超级会员V1的分享 2023-7-15 08:29 1
chengdrgon 雪币： 12391 活跃值： (6655) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 132 粉丝 1 关注私信	chengdrgon 6 楼感谢分享 2023-7-15 11:37 0
萌木盖雪币： 109 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 4 关注私信	萌木盖 7 楼第五关-动态加载dex（你标题中的第六关）的另一种方法 Java.perform(function() { var CheckInterface = Java.use("com.example.androiddemo.Dynamic.CheckInterface"); var RegisterClass = Java.registerClass({ name: "com.dta.test.frida.activity.RegisterClass", implements : [CheckInterface], methods: { check: { returnType: "boolean", argumentTypes:[], implementation: function(){ return true } } } }); Java.choose("com.example.androiddemo.Activity.FridaActivity5", { onMatch: function (instance) { instance.DynamicDexCheck.value = RegisterClass.$new(); }, onComplete: function () { } }); }); 2023-7-18 18:13 1
青眼白龙雪币： 6344 活跃值： (7173) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 1 关注私信	青眼白龙 8 楼感谢分享 2023-7-18 22:20 0
wantwill 雪币： 6 活跃值： (454) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	wantwill 9 楼链接：673K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4P5W2c8K9y4i4l9#2i4K6u0V1k6s2c8V1d9s2S2c8k6h3p5@1c8W2W2S2f1W2m8%4i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4c8e0g2Q4b7e0c8Q4b7U0q4Q4c8e0k6Q4z5e0g2Q4z5o6S2Q4c8e0c8Q4b7V1q4Q4z5o6j5`. 2023-7-26 09:01 0
wx_吉拉德雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_吉拉德 10 楼第四关：修改成员变量 same_name_bool_var 反编译出来是这个。但是frida 设置参数的时候为何是 _same_name_bool_var 多了一个下划线才生效 2023-8-23 16:42 0
ICEtomato113 雪币： 225 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	ICEtomato113 11 楼第四关：修改成员变量根据思路解体，导致程序返回上一关之后就失效了，得重新hook 另外多个下划线不太明白 2023-9-1 17:19 0
SPeakedness 雪币： 27 活跃值： (140) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	SPeakedness 12 楼 wx_吉拉德第四关：修改成员变量 same_name_bool_var 反编译出来是这个。但是frida 设置参数的时候为何是 _same_name_bool_var 多了一个下划线才生效是因为same_name_bool_var字段名与same_name_bool_var函数名相同，所以需要在前面加个下划线 2024-2-21 15:48 0
zx_1012740 雪币： 522 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	zx_1012740 13 楼感谢分享 2025-4-6 11:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

复活甲

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
TrumpWY 雪币： 874 活跃值： (1045) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 76 粉丝 2 关注私信	TrumpWY 2 楼很棒，值得新手学习！ 2023-7-14 22:29 0
秋狝雪币： 9114 活跃值： (33256) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 39 关注私信	秋狝 3 楼感谢分享 2023-7-14 23:37 1
huangyalei 雪币： 31711 活跃值： (9633) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 396 粉丝 10 关注私信	huangyalei 4 楼谢谢，apk能提供吗？ 2023-7-14 23:59 0
复活甲雪币： 2911 活跃值： (7217) 能力值： ( LV6，RANK：90 ) 在线值：发帖 24 回帖 60 粉丝 122 关注私信	复活甲 5 楼 huangyalei 谢谢，apk能提供吗？链接：cd3K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4P5W2c8K9y4i4l9#2i4K6u0V1k6s2c8V1d9s2S2c8k6h3p5@1c8W2W2S2f1W2m8%4i4K6t1$3L8X3u0K6M7q4)9K6b7R3`.`. 提取码：a5ho --来自百度网盘超级会员V1的分享 2023-7-15 08:29 1
chengdrgon 雪币： 12391 活跃值： (6655) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 132 粉丝 1 关注私信	chengdrgon 6 楼感谢分享 2023-7-15 11:37 0
萌木盖雪币： 109 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 4 关注私信	萌木盖 7 楼第五关-动态加载dex（你标题中的第六关）的另一种方法 Java.perform(function() { var CheckInterface = Java.use("com.example.androiddemo.Dynamic.CheckInterface"); var RegisterClass = Java.registerClass({ name: "com.dta.test.frida.activity.RegisterClass", implements : [CheckInterface], methods: { check: { returnType: "boolean", argumentTypes:[], implementation: function(){ return true } } } }); Java.choose("com.example.androiddemo.Activity.FridaActivity5", { onMatch: function (instance) { instance.DynamicDexCheck.value = RegisterClass.$new(); }, onComplete: function () { } }); }); 2023-7-18 18:13 1
青眼白龙雪币： 6344 活跃值： (7173) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 1 关注私信	青眼白龙 8 楼感谢分享 2023-7-18 22:20 0
wantwill 雪币： 6 活跃值： (454) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	wantwill 9 楼链接：673K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6H3j5h3&6Q4x3X3g2T1j5h3W2V1N6g2)9J5k6h3y4G2L8g2)9J5c8Y4y4Q4x3V1j5I4P5W2c8K9y4i4l9#2i4K6u0V1k6s2c8V1d9s2S2c8k6h3p5@1c8W2W2S2f1W2m8%4i4K6t1$3L8X3u0K6M7q4)9K6b7W2)9J5y4X3&6T1M7%4m8Q4x3@1u0Q4c8e0g2Q4b7e0c8Q4b7U0q4Q4c8e0k6Q4z5e0g2Q4z5o6S2Q4c8e0c8Q4b7V1q4Q4z5o6j5`. 2023-7-26 09:01 0
wx_吉拉德雪币： 0 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wx_吉拉德 10 楼第四关：修改成员变量 same_name_bool_var 反编译出来是这个。但是frida 设置参数的时候为何是 _same_name_bool_var 多了一个下划线才生效 2023-8-23 16:42 0
ICEtomato113 雪币： 225 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	ICEtomato113 11 楼第四关：修改成员变量根据思路解体，导致程序返回上一关之后就失效了，得重新hook 另外多个下划线不太明白 2023-9-1 17:19 0
SPeakedness 雪币： 27 活跃值： (140) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	SPeakedness 12 楼 wx_吉拉德第四关：修改成员变量 same_name_bool_var 反编译出来是这个。但是frida 设置参数的时候为何是 _same_name_bool_var 多了一个下划线才生效是因为same_name_bool_var字段名与same_name_bool_var函数名相同，所以需要在前面加个下划线 2024-2-21 15:48 0
zx_1012740 雪币： 522 能力值： ( LV1，RANK：0 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	zx_1012740 13 楼感谢分享 2025-4-6 11:35 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]frida基础 闯关训练 七层关卡

[原创]frida基础闯关训练七层关卡