2. 程式人生 > 實用技巧 >FridaHook框架學習(2)

FridaHook框架學習(2)

阿新 發佈:2020-07-27

FridaHook框架學習(2)

前言

學習過程參考https://bbs.pediy.com/thread-227233.htm。

逆向分析

安裝並執行例子程式,可以看到這個例子是一個驗證註冊碼的程式。

使用jadx解析這個APK。

通過類名以及AndroidManifest可以猜測以及知道LauncherActivity是這個程式的啟動類。先看看LauncherActivity的程式碼。

public class LauncherActivity extends AppCompatActivity {
    /* access modifiers changed from: protected */
    public void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView((int) R.layout.activity_launcher);
    }

    public void verifyClick(View v) {
        try {
            InputStream in = new URL("http://broken.license.server.com/query?license=" + ((EditText) findViewById(R.id.text_license)).getText().toString()).openConnection().getInputStream();
            StringBuilder responseBuilder = new StringBuilder();
            byte[] b = new byte[0];
            while (in.read(b) > 0) {
                responseBuilder.append(b);
            }
            String response = responseBuilder.toString();
            if (response.equals("LICENSEKEYOK")) {
                String activatedKey = new String(MainActivity.xor(getMac().getBytes(), response.getBytes()));
                SharedPreferences.Editor editor = getApplicationContext().getSharedPreferences("preferences", 0).edit();
                editor.putString("KEY", activatedKey);
                editor.commit();
                new AlertDialog.Builder(this).setTitle((CharSequence) "Activation successful").setMessage((CharSequence) "Activation successful").setIcon(17301543).show();
                return;
            }
            new AlertDialog.Builder(this).setTitle((CharSequence) "Invalid license!").setMessage((CharSequence) "Invalid license!").setIcon(17301543).show();
        } catch (Exception e) {
            new AlertDialog.Builder(this).setTitle((CharSequence) "Error occured").setMessage((CharSequence) "Server unreachable").setNeutralButton((CharSequence) "OK", (DialogInterface.OnClickListener) null).setIcon(17301543).show();
        }
    }

    private String getKey() {
        return getApplicationContext().getSharedPreferences("preferences", 0).getString("KEY", "");
    }

    private String getMac() {
        try {
            return ((WifiManager) getApplicationContext().getSystemService("wifi")).getConnectionInfo().getMacAddress();
        } catch (Exception e) {
            return "";
        }
    }

    public void showPremium(View view) {
        Intent i = new Intent(this, MainActivity.class);
        i.putExtra("MAC", getMac());
        i.putExtra("KEY", getKey());
        startActivity(i);
    }
}

可以通過方法名猜測verifyClick方法應該就是VERIFY按鈕的點選事件,showPremium應該就是另一個按鈕的點選事件。可以看到程式的邏輯大概為通過網路驗證license的正確性,若正確就呼叫MainActivity的xor方法通過MAC和response生成金鑰並儲存在本地的preference中。

其中InputStream是Java一個用於讀取流的類。SharedPreferences是一個類似Python中字典的一種資料結構。

再來看看MainActivity的程式碼

public class MainActivity extends AppCompatActivity {
    public native String stringFromJNI(String str, String str2);

    public static byte[] xor(byte[] val, byte[] key) {
        byte[] o = new byte[val.length];
        for (int i = 0; i < val.length; i++) {
            o[i] = (byte) (val[i] ^ key[i % key.length]);
        }
        return o;
    }

    public void onCreate(Bundle savedInstanceState) {
        String key = getIntent().getStringExtra("KEY");
        String mac = getIntent().getStringExtra("MAC");
        if (key == "" || mac == "") {
            key = "";
            mac = "";
        }
        super.onCreate(savedInstanceState);
        setContentView((int) R.layout.activity_main);
        ((TextView) findViewById(R.id.sample_text)).setText(stringFromJNI(key, mac));
    }

    static {
        System.loadLibrary("native-lib");
    }
}

可以看到顯示flag的函式寫在了So中,通過金鑰KEY和MAC生成。

可以得到Hook思路:Hook getKey方法直接使用MAC和LICENSEOK構造金鑰並返回,之後點選PREMIUMCONTENT按鈕即可

Hook程式碼編寫

import frida
import sys


jscode = """
    Java.perform(function(){

        function stringToBytes(str){
            var javaString = Java.use('java.lang.String');
            var bytes = [];
            bytes = javaString.$new(str).getBytes();
            return bytes;
        }
    
        function bytesToString(bytes){
            var javaString = Java.use('java.lang.String');
            return javaString.$new(bytes);
        }


        var launcheractivity = Java.use('de.fraunhofer.sit.premiumapp.LauncherActivity');
        var main = Java.use('de.fraunhofer.sit.premiumapp.MainActivity');
        var license = "LICENSEKEYOK";
        launcheractivity.getKey.implementation = function() {
            var mac = this.getMac();

            var macbyte = stringToBytes(mac);
            var licensebyte = stringToBytes(license);

            var xor = main.xor(macbyte,licensebyte);
            send(xor)
            var key = bytesToString(xor);
            send(key.toString());
            return key;
        }

        launcheractivity.verifyClick.implementation = function(v) {
            this.showPremium(v);
        }
    });
"""

def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)


process = frida.get_usb_device().attach('de.fraunhofer.sit.premiumapp')
script = process.create_script(jscode)
script.on('message', on_message)
script.load()
sys.stdin.read()

執行結果

總結

編寫js程式碼的時候是真的累,因為要寫在字串裡,沒法自動補全,有些變數名就打錯了,還全部都是綠綠的很難看出來,終於也看懂了一點js的報錯才找出來了。Js中可以通過Java.use使用Java中的一些基類用於靈活轉換型別。

相關推薦

FridaHook框架學習2

FridaHook框架學習2 前言 學習過程參考https://bbs.pediy.com/thread-227233.htm。 逆向分析

在WIN上使用TORCS模擬器做深度強化學習2

當你在win上下載安裝好TORCS和patch之後如果不會請翻看之前的文章,你可以點選安裝目錄中的wtorcs.exe來啟動客戶端

UiAutomator原始碼學習2-- UiAutomationBridge

從上一章對UiDevice的學習,可以看出幾乎所有的操作都離不開UiAutomationBridge。重新看一下UIDevice的構造方法:

Pytorch框架學習---5調整學習率、視覺化操作

本節簡單總結Pytorch中用於學習率調整的函式,如何使用tensorboard視覺化曲線、梯度、權重、特徵圖、卷積核,以及如何使用torchvision.utils.make_grid()製作網格圖。【文中思維導圖採用MindMaster軟體】

Pytorch框架學習---6hook函式和CAM類啟用圖

本節簡單總結Pytorch中hook函式,CAM演算法生成注意力圖【文中思維導圖採用MindMaster軟體】

spring學習2依賴注入

依賴注入:spring通過依賴注入來管理Bean之間的依賴關係; 我理解的依賴注入,就是你執行一個類A的時候,需要一些資料,資料可能是基本型別的一個String,也可能是一個自定義的類,比如需要另一個類B,那類B怎麼不通

OpenCV計算機視覺學習2——影象算術運算 & 掩膜mask操作數值計算,影象融合,邊界填充

  在OpenCV中我們經常會遇到一個名字:Mask掩膜。很多函式都使用到它,那麼這個Mask到底是什麼呢,下面我們從影象基本運算開始,一步一步學習掩膜。

OpenCV計算機視覺學習2——影象算術運算 &影象閾值數值計算,掩膜mask操作,邊界填充,二值化

人工智慧學習離不開實踐的驗證,推薦大家可以多在FlyAI-AI競賽服務平臺多參加訓練和競賽,以此來提升自己的能力。FlyAI是為AI開發者提供資料競賽並支援GPU離線訓練的一站式服務平臺。每週免費提供專案開

HANA SQL Script學習2: Data Type Extension

2 Data Type Extension /* 2.Data Type Extension --建立table資料型別 CREATE TYPE <type_name> AS TABLE (<column_list_definition>)

python關於chromdriver自動化學習2

import unittestimport timefrom selenium import webdriverfrom ddt import data,ddt,unpack@ddtclass forTestTest(unittest.TestCase):#類的初始化# @classmethod# def setUpClass(cls) -> None:#print()# 因為

資料庫+swing學習2

繼續簡化 lambde表示式可以更簡化,新舊對比回撥callback 這次的addactionListen方法就是回撥,被系統自動呼叫LABLE的使用滑鼠懸停

Python學習2保留字,識別符號和變數

技術標籤:python程式語言 Python學習(2)保留字,識別符號和變數 2.1保留字 保留字是 Python 語言中一些已經被賦予特定意義的單詞,這就要求開發者在開發程式時,不能用這些保留字作為識別符號給變數、函式、類

前端基礎學習-2京東搜尋框

技術標籤:csscss3html 前端基礎學習-2京東搜尋框 作為前端學習的小白,個人在學習過程中認知:京東搜尋框使用到了浮動(float)、定位(position)、垂直水平居中、圖示引用等知識。

HttpRunner2.X開源介面測試框架學習:yaml格式測試用例編寫

HttpRunner測試用例的基本結構 每個YAML/JSON檔案對應一個測試用例testcase) 每個測試用例為一個list of dict結構,其中可能包含全域性配置項config)和若干個測試步驟test)

Web自動化學習2

問題1:Selenium是什麼,流行的版本有哪些?是一個開源的web自動化測試的框架,支援多種程式語言,支援跨瀏覽器平臺進行測試。Selenium 1.0或Selenium RCSelenium 2.0或Selenium WebdriverSelenium 3.0

Redis學習2

https://www.cnblogs.com/yeyu2000/p/15424115.html 每天一學,接上文 三、操作Redis Redis命令中心Redis commands -- Redis中國使用者組CRUG

Java學習2

介面可以看做是一個“純”抽象類,它只提供一種形式,並不提供實現。 • 介面只包含抽象方法,不能有任何具體的方法。

python 第三方庫BeautifulSoup4文件學習2

bs4的四種物件 Beautiful Soup對html文件進行處理後會生成一種樹形結構的資料結構,每一個節點代表一個物件,物件大致歸為四類:Tag、NavigableString、BeautifulSoup、comment;

MATLAB學習2

MATLAB學習第二天 向量是數字的一維陣列,矩陣是數字的二維陣列。 當引用帶有冒號的向量時,例如v:),將列出向量的所有成分。

【pytest單元測試框架2pytest 的基本使用方法

pytest 的基本使用方法 1、斷言   在 unittest 單元測試框架中提供了豐富的斷言方法,如 assertEqual()、assertIn()、assertTrue()、assertIs()等。pytest 單元測試框架並沒有提供專門的斷言方法,而是直接使用Py