首页
论坛
课程
招聘
雪    币: 1944
活跃值: 活跃值 (736)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝

[原创]举杯邀Frida,对影成三题

2020-7-8 13:07 3925

[原创]举杯邀Frida,对影成三题

2020-7-8 13:07
3925

0x00 序言

    在7月建党节之际做了几道作业,回想起学习中国共产党18年革命斗争的历史经验时书本中指出这样一句话:“统一战线武装斗争党的建设,是中国共产党在中国革命中战胜敌人的三大法宝”。

    其实,这句话到什么时刻都是具有一定的借鉴意义。那我们开门见山,接下来放的三道题的解题思路就是靠的三大法宝的“变形”。


0x01 第一题:统一“Frida和Objection”的战线

要求是使用Frida,或者新建工程跑,但我个人是选择了Frida。

如果成功,flag则会输出出来,看一下流程

首先str是username 和 password的转字符串的拼接

String str = MainActivity.this.username_et.getText().toString() + MainActivity.this.password_et.getText().toString();

经过VVVVV.VVVV判断为true之后就会告诉我们“恭喜您,成功了!flag is+str”

那关键的逻辑就在于这个VVVVV.VVVV里面我们去看一下

由于看到VVVV是静态函数,我们选择使用Java.use封装

function main(){
    Java.perform(function() {
        Java.use("com.kanxue.pediy1.VVVVV").VVVV.implementation = function(x,y){
            var result = this.VVVV(x,y);
            console.log("x,y,result:",x,y,result);
            return result;
        }
    })
}
setImmediate(main)

可以看到成功hook住了我们的输入

接下来我们不要着急写Frida的代码(为什么?因为反编译的结果不能完全相信),既然统一了战线,那先让我们的战友Objection去探探敌情,开远程比较方便:

./fri12820x64 -l 0.0.0.0:8888
objection -N -h 192.168.1.103 -p 8888 -g com.kanxue.pediy1 explore
android hooking watch class_method com.kanxue.pediy1.VVVVV.VVVV --dump-args --dump-backtrace --dump-return

android hooking watch class_method com.kanxue.pediy1.VVVVV.eeeee --dump-args --dump-backtrace --dump-return

由于再看了一下前提条件,有个输入长度username+password必须长度为5,因此我们规定username:123 password:45

可以看到VVVV调用了eeeee,此时验证了Jadx反编译的内容确实没错,我们可以放心大胆地使用Frida。

然后输入是12345,返回值是object object

由于返回的是object不便于观察,因此我们使用陈总的r0gson,并用frida打印:

function main(){
    Java.perform(function() {
        Java.openClassFile("/data/local/tmp/r0gson.dex").load();
        const gson = Java.use("com.r0ysue.gson.Gson");
        Java.use("com.kanxue.pediy1.VVVVV").eeeee.implementation = function(x){
            var result = this.eeeee(x);
            console.log("x,result:",x,gson.$new().toJson(result));
            return result;
        }
    })
}
setImmediate(main)

噢明白了,那就是需要这个返回值要和”6f452303f18605510aac694b0f5736beebf110bf“的getBytes结果相等才行~   

我们去Android Stutio新建一个工程后尝试一下打印getBytes()的结果

String str = "6f452303f18605510aac694b0f5736beebf110bf";
byte[] byt = str.getBytes();
for (byte b : byt) {
    System.out.println(b);
}

#结果是:

[54,102,52,53,50,51,48,51,102,49,56,54,48,53,53,49,48,97,97,99,54,57,52,98,48,102,53,55,51,54,98,101,101,98,102,49,49,48,98,102]

那么我们就可以重新写如下脚本爆破“敌方大本营”

function firethehome(){
    Java.perform(function(){
        var VVVVV_Class = Java.use("com.kanxue.pediy1.VVVVV")
        console.log("VVVVV_Class:", VVVVV_Class)
        VVVVV_Class.eeeee.implementation=function(x){
                var result = this.eeeee(x);
                console.log("VVVVV.eeeee is hook! x ,result",x,JSON.stringify(result));
                return result;
        }
        var ByteString = Java.use("com.android.okhttp.okio.ByteString");
        console.log(ByteString);
        var pSign = Java.use("java.lang.String").$new("6f452303f18605510aac694b0f5736beebf110bf").getBytes();
        console.log( ByteString.of(pSign).hex());
       // 爆破5位
        for(var i = 9999;i<100000;i++){
            console.log("i="+i);
            var v =  Java.use("java.lang.String").$new(String(i));
            var vSign = VVVVV_Class.eeeee(v);
            console.log("vSign:",ByteString.of(vSign).hex());
            if(ByteString.of(vSign).hex() == ByteString.of(pSign).hex()){
                console.log("i="+i);
                break;
            }
        }
    })
}
setImmediate(firethehome)

可以发现打印了两次,那么这就是flag

当然,如果不想要flag,也可以这么玩

function main(){
    Java.perform(function() {
        Java.openClassFile("/data/local/tmp/r0gson.dex").load();
        const gson = Java.use("com.r0ysue.gson.Gson");
        Java.use("com.kanxue.pediy1.VVVVV").eeeee.implementation = function(x){
            var result = this.eeeee(x);
            console.log("x,result:",x,gson.$new().toJson(result));
            var v = result;
            v = Java.array('byte',[54,102,52,53,50,51,48,51,102,49,56,54,48,53,53,49,48,97,97,99,54,57,52,98,48,102,53,55,51,54,98,101,101,98,102,49,49,48,98,102])
            console.log(gson.$new().toJson(v));
            return v;
        }
    })
}
setImmediate(main)

就是无论输入什么都会判断你是对的~


到了第二题,敌人发现了我们火力凶猛,想到使用动态加载Dex进行了初步的保护,别急,我们有第二法宝。


0x02 第二题:面对动态加载保护,我们使用枚举ClassLoader来武装“Frida”斗争

题目要求是“没有要求,做出来即可”。

那我们回到Jadx,我们可以看MainActivity里面存在着动态加载Dex的操作


str是username和password的字符串拼接result是最后拿到flag的关键

result刚开始赋值成false,经过try的处理,可以得知是调用了动态加载的classes.dex中的VVVVV类下的VVVV函数

function main(){
    Java.perform(function(){
        Java.enumerateClassLoaders({
            onMatch:function(loader){
                try{
                        if(loader.findClass("com.kanxue.pediy1.VVVVV")){
                            console.log("success found com.kanxue.pediy1.VVVVV!",loader);
                            Java.classFactory.loader = loader;//替换ClassLoader为DexClassLoader
                        }
                }catch(e){
                            console.log("found error!",e);
                }
            },onComplete(){console.log("enum completed!")}
        })
        Java.use("com.kanxue.pediy1.VVVVV").VVVV("12345");
    });
}
function hookDex(){
    Java.perform(function(){
         Java.choose("com.kanxue.pediy1.MainActivity",{
            onMatch:function(instance){
                console.log("found instance:",instance);
                console.log("invoke loadDexClass!",instance.loadDexClass());
            },onComplete(){}
        })
        Java.choose("dalvik.system.DexClassLoader",{
            onMatch:function(loader){
                Java.classFactory.loader = loader;
                console.log("the Loader:", Java.classFactory.loader)
            },onComplete:function(){}
        })
         var VVVVV_Class = Java.use("com.kanxue.pediy1.VVVVV")
         console.log("VVVVV_Class:", VVVVV_Class)
        VVVVV_Class.eeeee.implementation=function(x){
                var result = this.eeeee(x);
                console.log("VVVVV.eeeee is hook!",result);
                return result;
        }
    })
}

#使用两步函数调用法

frida -U  com.kanxue.pediy1 -l homework2.js

hookDex()

main()

发现已经成功拿到动态加载的DexClassLoader,并替换我们Frida的Java.ClassFactory,最后成功走到VVVVV类中hook住eeeee函数


OK,敌方的小尾巴已经被我们抓住,开始爆破,主要修改hookDex()

function hookDex(){
    Java.perform(function(){
         Java.choose("com.kanxue.pediy1.MainActivity",{
            onMatch:function(instance){
                console.log("found instance:",instance);
                console.log("invoke loadDexClass!",instance.loadDexClass());
            },onComplete(){}
        })
        Java.choose("dalvik.system.DexClassLoader",{
            onMatch:function(loader){
                Java.classFactory.loader = loader;
                console.log("the Loader:", Java.classFactory.loader)
            },onComplete:function(){}
        })
        var VVVVV_Class = Java.use("com.kanxue.pediy1.VVVVV")
        console.log("VVVVV_Class:", VVVVV_Class)
        var ByteString = Java.use("com.android.okhttp.okio.ByteString");
        console.log(ByteString);
        var pSign = Java.use("java.lang.String").$new("7c133979c8fc45943815792c0288300687cf0a16").getBytes();
        console.log( ByteString.of(pSign).hex());
        for(var i = 9999;i<100000;i++){
            console.log("i="+i);
            var v =  Java.use("java.lang.String").$new(String(i));
            var vSign = VVVVV_Class.eeeee(v);
            console.log("vSign:",ByteString.of(vSign).hex());
            if(ByteString.of(vSign).hex() == ByteString.of(pSign).hex()){
                console.log("i="+i);
                break;
            }
        }
    })
}


OK,回过头去验证一下:

竟然没有成功,那么,已经在java层分析没有大问题的前提下,我们要考虑去Native层看看有没有蹊跷

目标是libnative-lib.so中的StringFromJNI函数【因为动态加载dex的时候调用VVVV方法时用到了stringFromJNI的返回值做了参数】

去IDA中查看:

一看,果然是这里,也就是最后传出来的参数也就是要当作VVVV参数的input【上图中的result】是+1后的结果。

因此我们逆向时需要减一,因此flag猜想是66999-1=66998

到了第三题,敌方已然是强弩之末,使出了最后的“杀手锏”保护措施——杀Frida进程。

莫慌,我们也有最后的第三法宝。


0x03 第三题:面对反Frida保护屡试不爽的kill进程,采用Native Hook来强化建设我们的"Frida"

发现了检测frida的循环函数,跟进去查看,

因为strcmp此时若等于0(也就是第一个参数也为REJECT),会调用kill函数杀死进程

有攻就有防,既然在so中出现了strcmp这么可爱的经典Native函数,关键它还是影响kill()的判断条件我们就加以利用,四两拨千斤

那我们可以写如下脚本:

function hookstrcmp(){
    Java.perform(function() {
        console.log("I am a Hook function");
        var strcmp = Module.findExportByName("libc.so","strcmp");//这里发现无论“libnative-lib.so”还是“libc.so”都是一样的地址
        console.log("find strcmp:",strcmp);
        Interceptor.attach(strcmp, {
            onEnter: function (args) {
                    //hook住后打印strcmp的第一个参数和第二个参数的内容
                    if(ptr(args[1]).readCString().indexOf("REJECT")>=0){
                        console.log("[*] strcmp (" + ptr(args[0]).readCString() + "," + ptr(args[1]).readCString()+")");
                        this.isREJECT = true;
                    }
            
            },onLeave:function(retval){
                if(this.isREJECT){
                    console.log("the REJECT's result :",retval);
                }
            }
        });
    })
}

而且这里设计的初衷是不影响其他正常的strcmp操作,因此我使用this来设置一个可以从传参到返回值都能用的一个标志(this.isREJECT)。

发现打印的都是第二个参数带REJECT的

好了,接下来为了不让这一系列REJECT为第二参数的strcmp判断为0,我们需要replace这个函数的返回值,打算让它一直返回0x1

function hookstrcmp(){
    Java.perform(function() {
        console.log("I am a Hook function");
        var strcmp = Module.findExportByName("libc.so","strcmp");//这里发现无论“libnative-lib.so”还是“libc.so”都是一样的地址
        console.log("find strcmp:",strcmp);
        Interceptor.attach(strcmp, {
            onEnter: function (args) {
                    //hook住后打印strcmp的第一个参数和第二个参数的内容
                    if(ptr(args[1]).readCString().indexOf("REJECT")>=0){
                        console.log("[*] strcmp (" + ptr(args[0]).readCString() + "," + ptr(args[1]).readCString()+")");
                        this.isREJECT = true;
                    }
            },onLeave:function(retval){
                if(this.isREJECT){
                    retval.replace(0x1);
                    console.log("the REJECT's result :",retval);
                }
            }
        });
    })
}

这时候可以发现即使判断到接收信息是REJECT,我们的程序也不退出了~

Fire!!!

function hookDex(){
    Java.perform(function(){
         Java.choose("com.kanxue.pediy1.MainActivity",{
            onMatch:function(instance){
                console.log("found instance:",instance);
                console.log("invoke loadDexClass!",instance.loadDexClass());
            },onComplete(){}
        })
        Java.choose("dalvik.system.DexClassLoader",{
            onMatch:function(loader){
                Java.classFactory.loader = loader;
                console.log("the Loader:", Java.classFactory.loader)
            },onComplete:function(){}
        })
        var VVVVV_Class = Java.use("com.kanxue.pediy1.VVVVV")
        console.log("VVVVV_Class:", VVVVV_Class)
        var ByteString = Java.use("com.android.okhttp.okio.ByteString");
        console.log(ByteString);
        var pSign = Java.use("java.lang.String").$new("971b82e071392d8293e57b39fc5056c731517d4e").getBytes();
        console.log( ByteString.of(pSign).hex());
        //爆破
        for(var i = 9999;i<100000;i++){
            console.log("i="+i);
            var v =  Java.use("java.lang.String").$new(String(i));
            var vSign = VVVVV_Class.eeeee(v);
            console.log("vSign:",ByteString.of(vSign).hex());
            if(ByteString.of(vSign).hex() == ByteString.of(pSign).hex()){
                console.log("i="+i);
                break;
            }
        }
    })
}
function hookstrcmp(){
    Java.perform(function() {
        console.log("I am a Hook function");
        var strcmp = Module.findExportByName("libc.so","strcmp");//这里发现无论“libnative-lib.so”还是“libc.so”都是一样的地址
        console.log("find strcmp:",strcmp);
        //Hook strcmp
        Interceptor.attach(strcmp, {
            onEnter: function (args) {
                    //hook住后打印strcmp的第一个参数和第二个参数的内容
                    if(ptr(args[1]).readCString().indexOf("REJECT")>=0){
                        console.log("[*] strcmp (" + ptr(args[0]).readCString() + "," + ptr(args[1]).readCString()+")");
                        this.isREJECT = true;
                    }
            },onLeave:function(retval){
                if(this.isREJECT){
                    retval.replace(0x1);
                    console.log("the REJECT's result :",retval);
                }
            }
        });
    })
}
setImmediate(hookstrcmp);

可以发现在99999处i出现了两次,通过再次比较pSign发现两者一致,所以答案是99999

最后测试的时候发现还是和第二题一样做了+1的操作,那我们还是99999-1=99998

flag即为99998


0x04 结语

党的三大法宝在现今仍有很强的教育意义,其实关键就看我们如何看待前人总结的宝贵经验。

当然这是题外话,论坛中还有很多大佬写了不同解法,建议一同食用,取长补短,共同进步~

祝7月顺利!



[公告]看雪论坛2020激励机制上线了!多多参与讨论可以获得积分快速升级?

最后于 2020-7-8 13:09 被一颗金柚子编辑 ,原因:
上传的附件:
最新回复 (11)
雪    币: 620
活跃值: 活跃值 (5299)
能力值: ( LV9,RANK:166 )
在线值:
发帖
回帖
粉丝
0x指纹 活跃值 3 2020-7-8 14:37
2
0
感谢分享~
雪    币: 4631
活跃值: 活跃值 (620)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
supperlitt 活跃值 2020-7-8 19:16
3
0
感谢分享~
雪    币: 547
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
安和桥南 活跃值 2020-7-9 10:00
4
0
感谢分享~
雪    币: 1082
活跃值: 活跃值 (612)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
梨子 活跃值 2020-7-9 13:27
5
0
雪    币: 795
活跃值: 活跃值 (253)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
cnzzh 活跃值 2020-7-9 14:26
6
0
感谢分享~
雪    币: 772
活跃值: 活跃值 (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
saf3d0s 活跃值 2020-7-9 17:42
7
0
感谢分享
雪    币: 725
活跃值: 活跃值 (305)
能力值: ( LV3,RANK:35 )
在线值:
发帖
回帖
粉丝
xiongcc 活跃值 2020-7-9 18:26
8
0
感谢分享
雪    币: 98
活跃值: 活跃值 (363)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Zard_ 活跃值 2020-7-9 18:27
9
0
雪    币: 166
活跃值: 活跃值 (24)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
psych1 活跃值 2020-7-10 08:06
10
0
感谢分享
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
mb_rlxlelnn 活跃值 2020-7-17 11:02
11
0
666
雪    币: 856
活跃值: 活跃值 (112)
能力值: (RANK:10 )
在线值:
发帖
回帖
粉丝
看雪高研 活跃值 2020-7-21 10:59
12
0
这位学员的解题思路有几个亮点:
1. Frida内置的JSON其实功能非常有限,但是使用谷歌的gson效果就完全不同了,几乎可以打印所有java对象,点赞!
2. “反编译的结果不能完全相信”,使用objection去内存中枚举类并打印调用栈,进一步确认类的名称和执行流程,这样是比较严谨的。
3. Frida hook nativelibc strcmp 判断第二个参数为“REJECT”,体现了尽量不要改so,而且修改系统库的思想,非常优秀。
游客
登录 | 注册 方可回帖
返回