用Frida入侵Android App III – OWASP UNCRACKABLE 2

在我发完第二篇关于Frida的博文之后,@muellerberndt立即就决定公布另一个OWASP  Android crackme。我想试试看我是否依然可以用Frida来解决这个问题。如果你也想跟着我一起,那么你需要:

OWASP Uncrackable Level2 APK

Android SDK和 模拟器(我用的是Android 7.1 x64镜像)

Frida的安装包(加上frid服务器)

字节码查看器

radare2(或者你自己选择用其他的反编译器)

apktool

如果你需要Frida的安装教程,请查看Frida的官方文档. 至于Frida的使用,请查看这个教程的第一部分。现在我就当你已经准备好所有东西,在继续往前走之前,你还需要稍微熟悉Frida的使用,还有,确保Frida可以连接你的设备/模拟器。(比如,通过使用frida-ps -U命令)。

说在前面的话:这不仅仅是一篇解决那个crackme的攻略。相反的,我打算向你展示几种不同的方法来解决这个具体的问题。如果你只是想看解决方法,可以直接翻到本教程的最后面,那里有Frida脚本。

注意:如果你在使用Frida时收到下面的错误

1

Erro: access violation accessing 0xebad8082

或者其他类似的错误,它可能会清除模拟器上所有的用户数据,所以你要重启然后重新安装apk。

做好得多试好几次的思想准备,程序会崩溃,模拟器会需要重启,一切都可能变得很乱七八糟的,但最终,我们会成功。

第一次运行

和在UnCrackable 1做的一样,我们第一步是运行那个app。也和它UnCrackable 1一样,当我们在模拟器上运行这个app时,它会被检测到说是在已经root过的设备上运行的。

用Frida入侵Android App III – OWASP UNCRACKABLE 2_第1张图片

我们会像在UnCrackable 1那里一样,钩住OnClickListener函数。但在这之前,我们得看看我们是否已经连上Frida以便我们修改。

michael@sixtyseven:~/Development$ frida -U sg.vantagepoint.uncrackable2

____

/ _  |   Frida 9.1.27 - A world-class dynamic instrumentation framework

| (_| |

> _  |   Commands:

/_/|_|       help      -> Displays the help system

. . . .       object?   -> Display information about'object'

. . . .exit/quit-> Exit

. . . .

. . . .   More info at http://www.frida.re/docs/home/

Failed to attach: ambiguous name; it matches: sg.vantagepoint.uncrackable2 (pid: 5184), sg.vantagepoint.uncrackable2 (pid: 5201)

这是啥?有两个同名进程。我们可以frida-ps -U来验证:

25184 s.vantagepoin.uncrackable2

5201 s.vantagepoin.uncrackable2

好奇怪,让我们把Frida注入到父进程:

michael@sixtyseven:~/Development$ frida -U 5184

____

/ _  |   Frida9..2 - A world class dynamic instrumentation framewor

| (_| |

> _  |   Commands:

/_|_|       help      -> Displays the help system

. . . .     object?   -> Display information about'object'

. . . .exit/quit-> Exit

. . . .

. . . .   More info at http:

//

www.frida.r/docs/homeFailedto attach: unable to access process with pid 518due to system restrictions;

try'sudosysctl kernel.yama.ptrace_scope=`,or run Frida as root

没用。因为我们是在以root运行Frida时得到这样的结果的,所以这个方案没什么效果。这是怎么了?我们得好好研究这个app。解压apk,用字节码查看器(例如CFR-Decompiler)反编译classes.dex

packagesg.vantagepoint.uncrackable2;

importandroid.app.AlertDialog;

importandroid.content.Context;

importandroid.content.DialogInterface;

importandroid.os.AsyncTask;

importandroid.os.Bundle;

importandroid.support.v7.app.c;

importandroid.text.Editable;

importandroid.view.View;

importandroid.widget.EditText;

importsg.vantagepoint.a.a;

importsg.vantagepoint.a.b;

importsg.vantagepoint.uncrackable2.CodeCheck;

importsg.vantagepoint.uncrackable2.MainActivity;

publicclassMainActivity

extendsc {

privateCodeCheck m;

static{

System.loadLibrary("foo");//[1]

}

privatevoida(String string) {

AlertDialog alertDialog =newAlertDialog.Builder((Context)this).create();

alertDialog.setTitle((CharSequence)string);

alertDialog.setMessage((CharSequence)"This in unacceptable. The app is now going to exit.");

alertDialog.setButton(-3, (CharSequence)"OK", (DialogInterface.OnClickListener)new/* Unavailable Anonymous Inner Class!! */);

alertDialog.setCancelable(false);

alertDialog.show();

}

static /* synthetic */ void a(MainActivity mainActivity, String string) {

mainActivity.a(string);

}

private native void init(); //[2]

protected void onCreate(Bundle bundle) {

this.init(); //[3]

if (b.a() || b.b() || b.c()) {

this.a("Root detected!");

}

if (a.a((Context)this.getApplicationContext())) {

this.a("App is debuggable!");

}

new /* Unavailable Anonymous Inner Class!! */.execute((Object[])new Void[]{null, null, null});

this.m = new CodeCheck();

super.onCreate(bundle);

this.setContentView(2130968603);

}

public void verify(View view) {

String string = ((EditText)this.findViewById(2131427422)).getText().toString();

AlertDialog alertDialog = new AlertDialog.Builder((Context)this).create();

if (this.m.a(string)) {

alertDialog.setTitle((CharSequence)"Success!");

alertDialog.setMessage((CharSequence)"This is the correct secret.");

} else {

alertDialog.setTitle((CharSequence)"Nope...");

alertDialog.setMessage((CharSequence)"That's not it. Try again.");

}

alertDialog.setButton(-3, (CharSequence)"OK", (DialogInterface.OnClickListener)new /* Unavailable Anonymous Inner Class!! */);

alertDialog.show();

}

}

我们注意到static块里调用了System.load来加载foo库(参看【1】)。这个app还在OnCreate函数里的第一行就调用了this.init(),而这个函数被声明为native函数(参看【2】),所以它应该是foo的一部分。

让我们来看看这个foo库。在radare2中打开这个库(你会在lib文件夹里看到几个不同的架构,我这里用的是lib/x86_64),分析它并列出它的输出。

michael@sixtyseven:~/Development/UnCrackable2/lib/x86_64$ r2 libfoo.so

-- Don't look at the code. Don'tlook.

[0x000007a0]> aaa

[x] Analyze all flags starting with sym. and entry0 (aa)

[x] Analyze len bytes of instructionsforreferences (aar)

[x] Analyzefunctioncalls (aac)

[ ] [*] Use -AA or aaaa to perform additional experimental analysis.

[x] Constructing afunctionnameforfcn.* and sym.func.* functions (aan))

[0x000007a0]> iE

[Exports]

vaddr=0x00001060 paddr=0x00001060 ord=004 fwd=NONE sz=183 bind=GLOBALtype=FUNC name=Java_sg_vantagepoint_uncrackable2_CodeCheck_bar

vaddr=0x00001050 paddr=0x00001050 ord=006 fwd=NONE sz=15 bind=GLOBALtype=FUNC name=Java_sg_vantagepoint_uncrackable2_MainActivity_init

vaddr=0x00004008 paddr=0x00003008 ord=014 fwd=NONE sz=0 bind=GLOBALtype=NOTYPE name=__bss_start

vaddr=0x00004008 paddr=0x00003008 ord=015 fwd=NONE sz=0 bind=GLOBALtype=NOTYPE name=__bss_start

vaddr=0x0000400d paddr=0x0000400d ord=016 fwd=NONE sz=0 bind=GLOBALtype=NOTYPE name=_end

5 exports

[0x000007a0]>

我们看到这个库导出了两个很有意思的函数:Java_sg_vantagepoint_uncrackable2_MainActivity_init和Java_sg_vantagepoint_uncrackable2_CodeCheck_bar(关于这些函数的命名,请查看Java nativ interface JNI),我们要看的是:

Java_sg_vantagepoint_uncrackable2_MainActivity_init

1

2[0x000007a0]> s 0x00001050

[0x00001050]> V

这是一个蛮短的函数:

[0x00001050 29% 848 libfoo.so]> pd $r @ sym.Java_sg_vantagepoint_uncrackable2_MainActivity_init

/ (fcn) sym.Java_sg_vantagepoint_uncrackable2_MainActivity_init 15

|   sym.Java_sg_vantagepoint_uncrackable2_MainActivity_init ();

|           0x00001050      50             push rax

|           0x00001051      e8caf7ffff     call sub.fork_820           ;[1]

|           0x00001056      c605af2f0000.  mov byte [0x0000400c], 1    ; [0x400c:1]=58 ;": (GNU) 4.9.x 20150123 (prerelease)"

|           0x0000105d      58             pop rax

\           0x0000105e      c3             ret

0x0000105f      90             nop

它调用了另一个函数sub.fork_820,这个要做的事就比较多了:

[0x00000820 14% 265 libfoo.so]> pd $r @ sub.fork_820

/ (fcn) sub.fork_820 242

|   sub.fork_820 ();

|           ; var int local_8h @ rsp+0x8

|           ; var int local_10h @ rsp+0x10

|              ; CALL XREF from 0x00001051 (sym.Java_sg_vantagepoint_uncrackable2_MainActivity_init)

|           0x00000820      4156           push r14

|           0x00000822      53             push rbx

|           0x00000823      4883ec18       sub rsp, 0x18

|           0x00000827      64488b042528.  mov rax, qword fs:[0x28]    ; [0x28:8]=0x3180 ;'('

|           0x00000830      4889442410     mov qword [local_10h], rax

|           0x00000835      e806ffffff     call sym.imp.fork           ;[1]

|           0x0000083a      8905c8370000   mov dword loc.__bss_start, eax ; [0x4008:4]=0x43434700 ; loc.__bss_start

|           0x00000840      85c0testeax, eax

|       ,=< 0x00000842      741a           je 0x85e                    ;[2]

|       |   0x00000844      488d15a5ffff.  lea rdx, 0x000007f0         ; 0x7f0

|       |   0x0000084b      488d7c2408     lea rdi, [local_8h]         ; 0x8

|       |   0x00000850      31f6           xor esi, esi

|       |   0x00000852      31c9           xor ecx, ecx

|       |   0x00000854      e8f7feffff     call sym.imp.pthread_create ;[3]; ssize_tread(int fildes, void *buf, size_t nbyte)

|      ,==< 0x00000859      e990000000     jmp 0x8ee                   ;[4]

|      ||      ; JMP XREF from 0x00000842 (sub.fork_820)

|      |`-> 0x0000085e      e8fdfeffff     call sym.imp.getppid        ;[5]

|      |    0x00000863      89c3           mov ebx, eax

|      |    0x00000865      bf10000000     mov edi, 0x10

|      |    0x0000086a      31d2           xor edx, edx

|      |    0x0000086c      31c9           xor ecx, ecx

|      |    0x0000086e      31c0           xor eax, eax

|      |    0x00000870      89de           mov esi, ebx

|      |    0x00000872      e8f9feffff     call sym.imp.ptrace         ;[6]

|      |    0x00000877      4885c0testrax, rax

|      |,=< 0x0000087a      7572           jne 0x8ee                   ;[4]

|      ||   0x0000087c      4c8d742408     lea r14, [local_8h]         ; 0x8

|      ||   0x00000881      31d2           xor edx, edx

|      ||   0x00000883      89df           mov edi, ebx

|      ||   0x00000885      4c89f6         mov rsi, r14

|      ||   0x00000888      e883feffff     call sym.imp.waitpid        ;[7]

我们看到调用了fork,pthread_create,getppid,ptrace和waitpid.无需花太多时间来反编译我们就可以猜到,当调试器用ptrace的时候,主进程会fork一个子进程来关联它。这是很简单的反调试技术,你可以从这里了解到更多细节。

因为Fridaptrace来初始化注入,所以这就解释了为什么我们不能连接到父进程:因为已经连接了一个进程来作为调试器,再来一个进程关联调试将被阻塞。

反反调试方案1:Frida

Frida救援。相比于注入Frida到一个正在运行的进程,我们可以让它自己spawn出一个进程来给我们。用-f选项,我们告诉Frida注入Zygote然后启动该应用程序。在我们启动Frida后关掉这个应用程序,看看发生什么:

frida -U -f sg.vantagepoint.uncrackable2

我们得到:

michael@sixtyseven:~/Development/UnCrackable2/lib/x86_64$ frida -U -f sg.vantagepoint.uncrackable2 --no-pause

____

/ _  |   Frida 9.1.27 - A world-class dynamic instrumentation framework

| (_| |

> _  |   Commands:

/_/|_|       help      -> Displays the help system

. . . .       object?   -> Display information about'object'

. . . .exit/quit-> Exit

. . . .

. . . .   More info at http://www.frida.re/docs/home/

Spawned `sg.vantagepoint.uncrackable2`. Resuming main thread!

[USB::Android Emulator 5554::['sg.vantagepoint.uncrackable2']]->

呼啦啦!Frida注入到Zygote了,spawn我们的进程并等待输入。(我承认,有很多教程都告诉你们要在Frida加-f选项,但你也被警告过……)

我们现在已经做好准备了。但是在继续往下走之前,我们再来看另一种针对这个crackme的反反调试方案。

反反调试方案2:修改

除去让Frida来spawn,我们也可以通过修改这个app来解决这个问题。这意味着,我们要反编译这个app,重新打包和签名修改过的apk。然而,在这个crackme中,这样做会在后面给我们带来麻烦。就算这样,我还是决定告诉你怎样做,后面的问题后面解决。

我们可以用apktool来修改:

michael@sixtyseven:~/Disassembly$/opt/apktool/apktool.sh -r d UnCrackable-Level2.apk

I: Using Apktool 2.2.0 on UnCrackable-Level2.apk

I: Copying raw resources...

I: Baksmaling classes.dex...

I: Copying assets and libs...

I: Copying unknown files...

I: Copying original files...

(我用-r来跳过了提取资源,因为这会在重新编译apk时出错。而且,在这里我们也不需要这些资源。)

来看看在smali/sg/vantagepoint/uncrackable2/MainActivity.smali的smali代码。你可以看到调用inti的操作是在82行附近,你可以把它注释掉。

# virtual methods

.method protected onCreate(Landroid/os/Bundle;)V

.locals 4

const/4v3, 0x0

#    invoke-direct {p0}, Lsg/vantagepoint/uncrackable2/MainActivity;->init()V

invoke-static {}, Lsg/vantagepoint/a/b;->a()Z

重新打包(忽略叼那个fatal error……):

michael@sixtyseven:~/Disassembly/UnCrackable-Level2$/opt/apktool/apktool.sh b

I: Using Apktool 2.2.0

I: Checking whether sources has changed...

I: Smaling smali folder into classes.dex...

[Fatal Error] AndroidManifest.xml:1:1: Content ist nicht zulässiginProlog.

I: Checking whether resources has changed...

I: Copying raw resources...

I: Copying libs... (/lib)

I: Building apkfile...

I: Copying unknown files/dir...

align(优化):

michael@sixtyseven:~/Disassembly/UnCrackable-Level2$ zipalign -v4 dist/UnCrackable-Level2.apk  UnCrackable2.recompiled.aligned.apk

Verifying alignment of UnCrackable2.recompiled.aligned.apk (4)...

49 AndroidManifest.xml (OK - compressed)

914 classes.dex (OK - compressed)

269899 lib/arm64-v8a/libfoo.so (OK - compressed)

273297 lib/armeabi-v7a/libfoo.so (OK - compressed)

279346 lib/armeabi/libfoo.so (OK - compressed)

签名(注意:在这一步你要有一个key和keystore,你可以在OWASP手机安全测试指南看到更多介绍。):

michael@sixtyseven:~/Disassembly/UnCrackable-Level2$ jarsigner -verbose -keystore ~/.android/debug.keystore  UnCrackable2.recompiled.aligned.apk signkey

Enter Passphraseforkeystore:

adding: META-INF/MANIFEST.MF

adding: META-INF/SIGNKEY.SF

adding: META-INF/SIGNKEY.RSA

signing: AndroidManifest.xml

signing: classes.dex

signing: lib/arm64-v8a/libfoo.so

signing: lib/armeabi-v7a/libfoo.so

signing: lib/armeabi/libfoo.so

signing: lib/mips/libfoo.so

[...]

卸载原来的apk,安装这个修改过的apk:

adb uninstall sg.vantagepoint.uncrackable2

adbinstallUnCrackable2.recompiled.aligned.apk

启动这个app,运行frida-ps我们会看到只有一个进程了:

9996  sg.vantagepoint.uncrackable2

然后连接Frida也没有问题:

michael@sixtyseven:~/Disassembly/UnCrackable-Level2$ frida -U sg.vantagepoint.uncrackable2

____

/ _  |   Frida 9.1.27 - A world-class dynamic instrumentation framework

| (_| |

> _  |   Commands:

/_/|_|       help      -> Displays the help system

. . . .       object?   -> Display information about'object'

. . . .exit/quit-> Exit

. . . .

. . . .   More info at http://www.frida.re/docs/home/

[USB::Android Emulator 5554::sg.vantagepoint.uncrackable2]->

相比于只是在Frida里加-r选项是比较麻烦啦,但这也更普遍。

就像前面提过的,如果我们使用这个修改过的版本,那后面要提取那个Secret String就不会那么容易(尽管如此,我还是会告诉你怎样解决的,所以不要放弃哦)。但是现在我们要用的是原来的版本来进行后面的操作。确保你下面安装的是原来的版本。

本文由 看雪翻译小组 lumou 编译

你可能感兴趣的:(用Frida入侵Android App III – OWASP UNCRACKABLE 2)