0

前言

xposed框架

xposed，主頁(yè)：http://repo.xposed.info/module/de.robv.android.xposed.installer

是個(gè)開源的框架，在github上有源碼的，直接下載apk后安裝激活就可以使用，很多地方有這方面的教程，針對(duì)不同的手機(jī)架構(gòu)，有大牛做了針對(duì)性的修改?？梢栽谡搲羞M(jìn)行搜索

通過(guò)替換/system/bin/app_process程序控制zygote進(jìn)程，使得app_process在啟動(dòng)過(guò)程中會(huì)加載XposedBridge.jar這個(gè)jar包，從而完成對(duì)Zygote進(jìn)程及其創(chuàng)建的Dalvik虛擬機(jī)的劫持。

Xposed在開機(jī)的時(shí)候完成對(duì)所有的Hook Function的劫持，在原Function執(zhí)行的前后加上自定義代碼。

很多人將這個(gè)框架用在對(duì)android的私有化定制上面，其實(shí)在android安全測(cè)試方面這個(gè)框架提供了很大的便利，xposed主要是對(duì)方法的hook，在以往的重打包技術(shù)中，需要對(duì)smali代碼的進(jìn)行修改，修改起來(lái)比較麻煩。

利用xposed框架可以很容易的獲取到android應(yīng)用中的信息，比如加密私鑰、salt值等等，不需要飯編譯獲取密鑰轉(zhuǎn)換算法、不需要了解密鑰保存機(jī)制，直接hook函數(shù)，獲取輸入輸出就可以。

原理

在Android系統(tǒng)中，應(yīng)用程序進(jìn)程都是由Zygote進(jìn)程孵化出來(lái)的，而Zygote進(jìn)程是由Init進(jìn)程啟動(dòng)的。Zygote進(jìn)程在啟動(dòng)時(shí)會(huì)創(chuàng)建一個(gè)Dalvik虛擬機(jī)實(shí)例，每當(dāng)它孵化一個(gè)新的應(yīng)用程序進(jìn)程時(shí)，都會(huì)將這個(gè)Dalvik虛擬機(jī)實(shí)例復(fù)制到新的應(yīng)用程序進(jìn)程里面去，從而使得每一個(gè)應(yīng)用程序進(jìn)程都有一個(gè)獨(dú)立的Dalvik虛擬機(jī)實(shí)例。這也是Xposed選擇替換app_process的原因。

Zygote進(jìn)程在啟動(dòng)的過(guò)程中，除了會(huì)創(chuàng)建一個(gè)Dalvik虛擬機(jī)實(shí)例之外，還會(huì)將Java運(yùn)行時(shí)庫(kù)加載到進(jìn)程中來(lái)，以及注冊(cè)一些Android核心類的JNI方法來(lái)前面創(chuàng)建的Dalvik虛擬機(jī)實(shí)例中去。注意，一個(gè)應(yīng)用程序進(jìn)程被Zygote進(jìn)程孵化出來(lái)的時(shí)候，不僅會(huì)獲得Zygote進(jìn)程中的Dalvik虛擬機(jī)實(shí)例拷貝，還會(huì)與Zygote一起共享Java運(yùn)行時(shí)庫(kù)。這也就是可以將XposedBridge這個(gè)jar包加載到每一個(gè)Android應(yīng)用程序中的原因。XposedBridge有一個(gè)私有的Native（JNI）方法hookMethodNative，這個(gè)方法也在app_process中使用。這個(gè)函數(shù)提供一個(gè)方法對(duì)象利用Java的Reflection機(jī)制來(lái)對(duì)內(nèi)置方法覆寫。有能力的可以針對(duì)xposed的源碼進(jìn)行分析，不得不說(shuō)，作者對(duì)于android的機(jī)制和java的了解已經(jīng)相當(dāng)深入了。

簡(jiǎn)單實(shí)例

很簡(jiǎn)單的一個(gè)android登入代碼：

很簡(jiǎn)單的就是判斷下用戶輸入的用戶名和密碼是正確，這里做個(gè)簡(jiǎn)單的演示，將用戶輸入的用戶名和密碼信息hook出來(lái)不管正確與否

簡(jiǎn)單說(shuō)下xposed模塊的開發(fā)，首先需要的是導(dǎo)入api，具體的可以參考：https://github.com/rovo89/XposedBridge/wiki/Using-the-Xposed-Framework-API

在manifest中定義

聲明這個(gè)是xposed模塊，名稱為hook test 并且使用api版本號(hào)是82

下面創(chuàng)建運(yùn)行時(shí)候的hook代碼：

看代碼中的注釋，主要是三個(gè)方法的調(diào)用，handleLoadPackage，主要是獲取到android包的相關(guān)信息，這里由于只是對(duì)logintest進(jìn)行hook,做下簡(jiǎn)單的判斷。

findAndHookMethod 是主要的hook入口，里面幾個(gè)參數(shù)分別為包名，classloader，hook的函數(shù)名，參數(shù)類型（這個(gè)比較容易出錯(cuò)，比如list類型寫為L(zhǎng)ist.class）,回調(diào)函數(shù)

回調(diào)函數(shù)中比較重要的：beforeHookedMethod和afterHookedMethod，一個(gè)是在函數(shù)運(yùn)行前劫持掉，一個(gè)是hook后放行，實(shí)例中對(duì)用戶輸入的字段進(jìn)行劫持打印，后面將參數(shù)之改為正確登入用戶名和密碼，這樣在app中輸入任何字符都能登入成功

frida Hook框架

Frida是一款基于python + javascript 的hook框架，通殺android\ios\linux\win\osx等各平臺(tái)，由于是基于腳本的交互，因此相比xposed和substrace cydia更加便捷，本文重點(diǎn)介紹Frida在android下面的使用。

Frida的官網(wǎng)為：http://www.frida.re/

安裝

安裝Frida非常簡(jiǎn)單，在pc端直接執(zhí)行

pip install frida

即可

在Android設(shè)備需要導(dǎo)入frida的服務(wù)端，需要root你的手機(jī)

運(yùn)行

設(shè)備上運(yùn)行frida-server:

電腦上運(yùn)行adb forward tcp轉(zhuǎn)發(fā)：

27042端口用于與frida-server通信,之后的每個(gè)端口對(duì)應(yīng)每個(gè)注入的進(jìn)程。

運(yùn)行如下命令驗(yàn)證是否成功安裝：

$ frida-ps-R

正常情況應(yīng)該輸出進(jìn)程列表如下：

Hook模塊的編寫

hook的主要模塊是js編寫的，利用javascript的api與server進(jìn)行通信

下面結(jié)合一個(gè)真實(shí)例子進(jìn)行簡(jiǎn)單的介紹，首先是測(cè)試代碼：

反編譯獲取app中的核心函數(shù)

對(duì)于上面的js代碼，其實(shí)就是調(diào)用app中的某個(gè)函數(shù)，比如sign值生成函數(shù)，加密解密函數(shù)，不需要自己?jiǎn)为?dú)的去分析算法流程，分析key值在哪，直接調(diào)用app的相應(yīng)函數(shù)，讓app幫我們完成這些工作。

這里我們分析的app是友寶，這是一款飲料售貨機(jī)，當(dāng)時(shí)抓包看到提貨的時(shí)候是只有個(gè)訂單id的，猜想是不是遍歷訂單的id，支付成功但是沒有取貨的訂單會(huì)不會(huì)響應(yīng)請(qǐng)求，自己掉貨出來(lái)。

下面對(duì)友寶的訂單進(jìn)行分析過(guò)程

1.抓取支付訂單成功鏈接

分析：
sign是校驗(yàn)值，主要是防止訂單偽造的，orderid是產(chǎn)生的支付訂單id，這個(gè)主要是防止偽造用

2.反編譯友寶app

找到morder/shipping所在的包為：com/ub/main/d/e.class

其中l(wèi)ocalStringBuffer存儲(chǔ)的就是url中的參數(shù)信息，該請(qǐng)求查找到的代碼在a()

生成簽名的函數(shù)在com/ub/main/d/e.class中的b函數(shù)

***加上sign值，發(fā)送請(qǐng)求

3.可以反編譯出他的sign計(jì)算方法，也可以直接調(diào)用b函數(shù)來(lái)產(chǎn)生sign值，后來(lái)發(fā)現(xiàn)app會(huì)自動(dòng)取時(shí)間戳，我們就不需要給他array型的參數(shù)

直接調(diào)用a函數(shù)，把orderId給他，讓他直接return一個(gè)值出來(lái)就好了，就有了上面的js代碼
4. 自動(dòng)化的批量處理

看代碼

構(gòu)造了一個(gè)類，后面直接fuzz uid就可以了，提取里面的sign值拼接到post數(shù)據(jù)中去。

可以產(chǎn)生的post請(qǐng)求和抓到的數(shù)據(jù)包的請(qǐng)求是完全一樣的，但是并沒有測(cè)試成功，分析原因有可能是訂單id和用戶的id有所綁定。

不過(guò)學(xué)習(xí)到了怎樣通過(guò)frida對(duì)app進(jìn)行分析。

復(fù)雜參數(shù)的hook

如果遇到函數(shù)的參數(shù)類型是數(shù)組、map、ArrayList類型的，首先目標(biāo)MyClass類的fun1函數(shù)，聲明如下：

解決方法：

用Xposed自身提供的XposedHelpers的findClass方法加載每一個(gè)類，然后再將得到的類傳遞給hook函數(shù)作參數(shù)！

具體實(shí)現(xiàn)可參考鏈接，大牛講的很清楚。

參考鏈接

https://xianzhi.aliyun.com/forum/read/611.html

http://www.freebuf.com/articles/terminal/56453.html

http://bbs.pediy.com/showthread.php?t=202147&page=2