免责声明:本文档仅供学习与参考,请勿用于非法用途!不然一切后果自负。
1、frida简介frida是一款基于python + java 的hook框架,可运行在androidioslinuxwinosx等各平台,主要使用动态二进制插桩技术。本期“安仔课堂”,ISEC实验室为你们详解frida,认真读完这篇文章会让你在逆向工做中效率成倍提高哦!一、插桩技术插桩技术是指将额外的代码注入程序中以收集运行时的信息,可分为两种:(1)源代码插桩[Source Code Instrumentation(SCI)]:额外代码注入到程序源代码中。
(2)二进制插桩(Binary Instrumentation):额外代码注入到二进制可执行文件中。
●静态二进制插桩[Static Binary Instrumentation(SBI)]:在程序执行前插入额外的代码和数据,生成一个永久改变的可执行文件。
●动态二进制插桩[Dynamic Binary Instrumentation(DBI)]:在程序运行时实时地插入额外代码和数据,对可执行文件没有任何永久改变。二、你能用DBI作些什么呢(1)访问进程的内存
(2)在应用程序运行时覆盖一些功能
(3)从导入的类中调用函数
(4)在堆上查找对象实例并使用这些对象实例
(5)Hook,跟踪和拦截函数等等2、frida的安装今天咱们用到的frida框架分为两部分:** 一部分是运行在系统上的交互工具frida CLI; 另外一部分是运行在目标机器上的代码注入工具 frida-server。
一、frida CLI
环境要求:
●系统环境 - Windows, macOS, or GNU/Linux
●Python – 最新的3.x版本
经过 pip 安装frida
图1
说明:
(1) 经过pip安装的frida是能够跟python绑定的; 另外frida如今也已经有了跟nodeJs绑定的版本, 所以也能够直接经过 npm 进行安装。
(2) frida CLI是安装的frida的其中一个工具,也是最经常使用的一个工具。
二、frida server
frida-server须要咱们单独下载,在 frida项目的github上能够直接下载对应系统已经编译好的frida server
图2
咱们须要下载的文件名的格式是: frida-server-(version)-(platform)-(cpu).xz
我试验的手机是nexus6p, cpu为arm64
因此我须要下载的是: frida-server-11.0.13-android-x86_64.xz;注意, frida-server 的版本必定要跟 frida CLI的版本一致。
将下载后的压缩包解压获得frida-server, 而后将该文件推送到Android设备上。
图3
将Android设备上的frida-server添加执行权, 并运行该程序(须要root权限)
图4
三、frida tools
前面说过, frida CLI只是frida的其中一个工具,** frida 的工具共有6个:(1) frida CLI: 是一个交互式解释器(REPL),他的交互形式跟IPython很相似。
图5
(2) frida-ps: 用于列出进程的一个命令行工具,当咱们须要跟远程系统进行交互的时候,这个是很是有用的。
图6
另外还有四个分别是: frida-trace, frida-discover, frida-ls-devices, frida-kill
因为不是常常用到,这边就不一一详细介绍了, 感兴趣的同窗能够去frida的官网查看他们的详细介绍和用法。四、Java Api在Hook开始以前,有必要对Java注入相关的api作一个简单介绍, frida的注入脚本是Java, 所以咱们后面都是经过js脚原本操做设备上的Java代码的。
图7
当咱们获取到Java类以后,咱们直经过接..implementations = function() {}的方式来hook wrapper类的method方法,不论是实例方法仍是静态方法均可以。
因为js代码注入时可能会出现超时的错误, 为了防止这个问题,咱们一般还须要在最外面包装一层setImmediate(function(){})的代码。
下面就是js的一个模板代码:
图83、 frida Hook实战接下来我将经过制做一个相似微信抢红包的插件来演示frida的具体使用,因为本文的主旨是教你们如何使用强大的frida框架, 因此侧重描述的是frida的使用, 而不会说明如何逆向微信。一、信息持久化到本地的拦截微信的每一条信息都会保存到本地数据库,这个保存的方法就是 com.tencent.wcdb.database.SQLiteDatabase 类的 insert()方法:
图9
咱们先看看每条信息保存的内容是什么:
图10
咱们将手机链接到电脑, 而后经过frida将脚本注入到微信中:
图11
用微信发送任意消息,咱们能够看到控制台打印内容以下:
图12
arg1就是要插入数据的表名, arg2是表的主键, arg3是要插入表的数据的字段名称跟值的集合。这样, 咱们就能够轻松拿到每条消息的内容和发送者等相关信息。
这里咱们须要注意的是arg3里面如下几个值:
图13
当咱们接收到一条红包消息的时候,咱们能够看到红包信息的具体内容以下:
图14
图15
那咱们要怎样经过这些信息来抢到红包呢?二、抢红包流程分析咱们先来看一下,当咱们点击打开红包之时发生了什么呢? 下面是反编译获得的打开红包按钮的点击事件:
图16
这行代码其实就是发送抢红包的请求, ad 就是一个网络请求类, 那么须要构成这个请求又须要哪些参数呢?
咱们单独看看 ad 类的建立:
图17
其中第1,2,3,4,9个参数都是来自luckyMoneyReceiveUI.kRG, 第8个参数是固定的 "v1.0"
接下来咱们来打印一下第5,6,7个参数是什么:
图18
从新加载这段js代码, 而后咱们打开一个红包, 咱们能够看到控制台打印以下信息:
图19
第5,6个参数实际上是本身的头像跟昵称信息,第7个是发送者的信息,而第4个参数跟上面红包内容里面的nativeurl的值是同样的。
那luckyMoneyReceiveUI.kRG 中的msgType,bxk,kLZ,ceR,kRC这些要怎么获得呢?
luckyMoneyReceiveUI.kRG 这个字段的类型是: com.tencent.mm.plugin.luckymoney.b.ag,ag类跟以前提到的ad类同样, 都是一个请求类, 他们都是继承同一个类。其中, msgType是固定的 1,bxk,kLZ,ceR 是在ag的构造方法里面就被初始化的:
图20
而kRC则是在里面的a方法里面被赋值的:
图21
……
图22
这个a方法是请求类发起请求以后的一个回调,而在 LuckyMoneyReceiveUI的 OnCreate 方法里面咱们能够看到 com.tencent.mm.plugin.luckymoney.b.ag 是怎么被构造出来的:
图23
第一个参数是nativeurl中的channelid;
第二个参数是nativeurl中的sendid;
第三个参数是nativeurl自己;
第四个参数能够用0;
第五个参数是也是固定的 "v1.0"
通过上面的分析以后, 咱们的思路就清晰了, 在收到红包信息后咱们解析出红包信息里面nativeurl, channelid, sendid, 根据这些参数发送一个com.tencent.mm.plugin.luckymoney.b.ag的请求, 以后获得timingIdentifier, 最后根据获得的timingIdentifier 再发送一个com.tencent.mm.plugin.luckymoney.b.ad的请求就能够抢到红包了。三、模拟请求到这里咱们也就剩最后一个问题了, 那就是怎么把请求发送出去?这个咱们一样能够看看微信, 咱们跟踪到红包界面的请求都是经过下面的方法发送的:
图24
上面的g.Eh().dpP获得的是一个专门发送请求的Network, 获得这个Network以后咱们就能够调用他的a方法把这个请求发送出去。须要注意的是frida不支持直接经过.dpP的方式拿到属性, 不过不要紧, 咱们能够经过反射的方式来获取:
图25
获得Network以后咱们就开始发送请求了:
第一步是收到红包信息以后要解析出ContentValues里面的信息,并根据解析出的内容发送ag请求。
图26
咱们单独把红包信息的content的解析拿出来:
图27
nativeurl的具体内容以下:
图28
经过上面的解析以后咱们就能够获得以下的info:
图29
第二步是Hook ag请求的a方法, 在里面咱们能够拿到timingIdentifier的值:
图30
注意:当一个类里面有重载的方法的时候, 咱们须要用.overload(paramtype...)来表示咱们hook的是哪一个重载方法。
最后咱们还须要改造一下以前Hook的SQL的insert方法, 咱们须要过滤出表名为message,类型为436207665的消息:
图31
接下来就能够开始体验咱们的抢红包插件了!
图32
最后请看效果:
图334、附录**
本次试验环境以下:
微信版本: 6.6.7
frida版本: 11.0.13
frida-server: frida-server-11.0.13-android-x86_64
Android: 7.0node