mirror of
https://github.com/carlospolop/hacktricks
synced 2024-12-22 11:03:24 +00:00
246 lines
9.8 KiB
Markdown
246 lines
9.8 KiB
Markdown
|
# Frida Tutorial 2
|
||
|
|
||
|
{% hint style="success" %}
|
||
|
Aprenda e pratique AWS Hacking:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||
|
Aprenda e pratique GCP Hacking: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary>Support HackTricks</summary>
|
||
|
|
||
|
* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
|
||
|
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||
|
* **Compartilhe truques de hacking enviando PRs para o** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) repositórios do github.
|
||
|
|
||
|
</details>
|
||
|
{% endhint %}
|
||
|
|
||
|
<figure><img src="../../../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
|
||
|
|
||
|
**Dica de bug bounty**: **inscreva-se** no **Intigriti**, uma plataforma premium de **bug bounty criada por hackers, para hackers**! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje e comece a ganhar recompensas de até **$100,000**!
|
||
|
|
||
|
{% embed url="https://go.intigriti.com/hacktricks" %}
|
||
|
|
||
|
**Este é um resumo do post**: [https://11x256.github.io/Frida-hooking-android-part-2/](https://11x256.github.io/Frida-hooking-android-part-2/) (Partes 2, 3 e 4)\
|
||
|
**APKs e código fonte**: [https://github.com/11x256/frida-android-examples](https://github.com/11x256/frida-android-examples)
|
||
|
|
||
|
A parte 1 é muito fácil.
|
||
|
|
||
|
**Algumas partes do código original não funcionam e foram modificadas aqui.**
|
||
|
|
||
|
## Parte 2
|
||
|
|
||
|
Aqui você pode ver um exemplo de como **hook 2 funções com o mesmo nome** mas parâmetros diferentes.\
|
||
|
Além disso, você vai aprender como **chamar uma função com seus próprios parâmetros**.\
|
||
|
E finalmente, há um exemplo de como **encontrar uma instância de uma classe e fazer com que ela chame uma função**.
|
||
|
```javascript
|
||
|
//s2.js
|
||
|
console.log("Script loaded successfully ");
|
||
|
Java.perform(function x() {
|
||
|
console.log("Inside java perform function");
|
||
|
var my_class = Java.use("com.example.a11x256.frida_test.my_activity");
|
||
|
//Hook "fun" with parameters (int, int)
|
||
|
my_class.fun.overload("int", "int").implementation = function (x, y) { //hooking the old function
|
||
|
console.log("original call: fun(" + x + ", " + y + ")");
|
||
|
var ret_value = this.fun(2, 5);
|
||
|
return ret_value;
|
||
|
};
|
||
|
//Hook "fun" with paramater(String)
|
||
|
var string_class = Java.use("java.lang.String");
|
||
|
my_class.fun.overload("java.lang.String").implementation = function (x) { //hooking the new function
|
||
|
console.log("*")
|
||
|
//Create a new String and call the function with your input.
|
||
|
var my_string = string_class.$new("My TeSt String#####");
|
||
|
console.log("Original arg: " + x);
|
||
|
var ret = this.fun(my_string);
|
||
|
console.log("Return value: " + ret);
|
||
|
console.log("*")
|
||
|
return ret;
|
||
|
};
|
||
|
//Find an instance of the class and call "secret" function.
|
||
|
Java.choose("com.example.a11x256.frida_test.my_activity", {
|
||
|
onMatch: function (instance) {
|
||
|
console.log(tring, and the it has"Found instance: " + instance);
|
||
|
console.log("Result of secret func: " + instance.secret());
|
||
|
},
|
||
|
onComplete: function () { }
|
||
|
});
|
||
|
});
|
||
|
```
|
||
|
Você pode ver que para criar uma String primeiro ele referenciou a classe _java.lang.String_ e então criou um objeto _$new_ dessa classe com uma String como conteúdo. Esta é a maneira correta de criar um novo objeto de uma classe. Mas, neste caso, você poderia simplesmente passar para `this.fun()` qualquer String como: `this.fun("hey there!")`
|
||
|
|
||
|
### Python
|
||
|
```python
|
||
|
//loader.py
|
||
|
import frida
|
||
|
import time
|
||
|
|
||
|
device = frida.get_usb_device()
|
||
|
pid = device.spawn(["com.example.a11x256.frida_test"])
|
||
|
device.resume(pid)
|
||
|
time.sleep(1) #Without it Java.perform silently fails
|
||
|
session = device.attach(pid)
|
||
|
script = session.create_script(open("s2.js").read())
|
||
|
script.load()
|
||
|
|
||
|
#prevent the python script from terminating
|
||
|
raw_input()
|
||
|
```
|
||
|
|
||
|
```
|
||
|
python loader.py
|
||
|
```
|
||
|
## Parte 3
|
||
|
|
||
|
### Python
|
||
|
|
||
|
Agora você vai ver como enviar comandos para o aplicativo conectado via Python para chamar a função:
|
||
|
```python
|
||
|
//loader.py
|
||
|
import time
|
||
|
import frida
|
||
|
|
||
|
def my_message_handler(message, payload):
|
||
|
print message
|
||
|
print payload
|
||
|
|
||
|
|
||
|
device = frida.get_usb_device()
|
||
|
pid = device.spawn(["com.example.a11x256.frida_test"])
|
||
|
device.resume(pid)
|
||
|
time.sleep(1) # Without it Java.perform silently fails
|
||
|
session = device.attach(pid)
|
||
|
with open("s3.js") as f:
|
||
|
script = session.create_script(f.read())
|
||
|
script.on("message", my_message_handler)
|
||
|
script.load()
|
||
|
|
||
|
command = ""
|
||
|
while 1 == 1:
|
||
|
command = raw_input("Enter command:\n1: Exit\n2: Call secret function\n3: Hook Secret\nchoice:")
|
||
|
if command == "1":
|
||
|
break
|
||
|
elif command == "2":
|
||
|
script.exports.callsecretfunction()
|
||
|
elif command == "3":
|
||
|
script.exports.hooksecretfunction()
|
||
|
```
|
||
|
O comando "**1**" irá **sair**, o comando "**2**" irá encontrar e **instanciar a classe e chamar a função privada** _**secret()**_ e o comando "**3**" irá **hookar** a função _**secret()**_ para que ela **retorne** uma **string diferente**.
|
||
|
|
||
|
Então, se você chamar "**2**", você obterá o **segredo real**, mas se você chamar "**3**" e depois "**2**", você obterá o **segredo falso**.
|
||
|
|
||
|
### JS
|
||
|
```javascript
|
||
|
console.log("Script loaded successfully ");
|
||
|
var instances_array = [];
|
||
|
function callSecretFun() {
|
||
|
Java.perform(function () {
|
||
|
if (instances_array.length == 0) { // if array is empty
|
||
|
Java.choose("com.example.a11x256.frida_test.my_activity", {
|
||
|
onMatch: function (instance) {
|
||
|
console.log("Found instance: " + instance);
|
||
|
instances_array.push(instance)
|
||
|
console.log("Result of secret func: " + instance.secret());
|
||
|
},
|
||
|
onComplete: function () { }
|
||
|
|
||
|
});
|
||
|
}
|
||
|
else {//else if the array has some values
|
||
|
console.log("Result of secret func: " + instances_array[0].secret());
|
||
|
}
|
||
|
|
||
|
});
|
||
|
}
|
||
|
|
||
|
function hookSecret() {
|
||
|
Java.perform(function () {
|
||
|
var my_class = Java.use("com.example.a11x256.frida_test.my_activity");
|
||
|
var string_class = Java.use("java.lang.String");
|
||
|
my_class.secret.overload().implementation = function(){
|
||
|
var my_string = string_class.$new("TE ENGANNNNEEE");
|
||
|
return my_string;
|
||
|
}
|
||
|
});
|
||
|
}
|
||
|
rpc.exports = {
|
||
|
callsecretfunction: callSecretFun,
|
||
|
hooksecretfunction: hookSecret
|
||
|
};
|
||
|
```
|
||
|
## Parte 4
|
||
|
|
||
|
Aqui você verá como fazer **Python e JS interagirem** usando objetos JSON. JS usa a função `send()` para enviar dados para o cliente Python, e Python usa a função `post()` para enviar dados para o script JS. O **JS bloqueará a execução** até receber uma resposta do Python.
|
||
|
|
||
|
### Python
|
||
|
```python
|
||
|
//loader.py
|
||
|
import time
|
||
|
import frida
|
||
|
|
||
|
def my_message_handler(message, payload):
|
||
|
print message
|
||
|
print payload
|
||
|
if message["type"] == "send":
|
||
|
print message["payload"]
|
||
|
data = message["payload"].split(":")[1].strip()
|
||
|
print 'message:', message
|
||
|
data = data.decode("base64")
|
||
|
user, pw = data.split(":")
|
||
|
data = ("admin" + ":" + pw).encode("base64")
|
||
|
print "encoded data:", data
|
||
|
script.post({"my_data": data}) # send JSON object
|
||
|
print "Modified data sent"
|
||
|
|
||
|
|
||
|
device = frida.get_usb_device()
|
||
|
pid = device.spawn(["com.example.a11x256.frida_test"])
|
||
|
device.resume(pid)
|
||
|
time.sleep(1)
|
||
|
session = device.attach(pid)
|
||
|
with open("s4.js") as f:
|
||
|
script = session.create_script(f.read())
|
||
|
script.on("message", my_message_handler) # register the message handler
|
||
|
script.load()
|
||
|
raw_input()
|
||
|
```
|
||
|
### JS
|
||
|
```javascript
|
||
|
console.log("Script loaded successfully ");
|
||
|
Java.perform(function () {
|
||
|
var tv_class = Java.use("android.widget.TextView");
|
||
|
tv_class.setText.overload('java.lang.CharSequence').implementation = function (x) {
|
||
|
var string_to_send = x.toString();
|
||
|
var string_to_recv = "";
|
||
|
send(string_to_send); // send data to python code
|
||
|
recv(function (received_json_object) {
|
||
|
string_to_recv = received_json_object.my_data;
|
||
|
}).wait(); //block execution till the message is received
|
||
|
console.log("Final string_to_recv: "+ string_to_recv)
|
||
|
return this.setText(string_to_recv);
|
||
|
}
|
||
|
});
|
||
|
```
|
||
|
There is a part 5 that I am not going to explain because there isn't anything new. But if you want to read it is here: [https://11x256.github.io/Frida-hooking-android-part-5/](https://11x256.github.io/Frida-hooking-android-part-5/)
|
||
|
|
||
|
<figure><img src="../../../.gitbook/assets/i3.png" alt=""><figcaption></figcaption></figure>
|
||
|
|
||
|
**Dica de bug bounty**: **inscreva-se** na **Intigriti**, uma plataforma premium de **bug bounty criada por hackers, para hackers**! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje e comece a ganhar recompensas de até **$100,000**!
|
||
|
|
||
|
{% embed url="https://go.intigriti.com/hacktricks" %}
|
||
|
|
||
|
{% hint style="success" %}
|
||
|
Aprenda e pratique Hacking AWS:<img src="/.gitbook/assets/arte.png" alt="" data-size="line">[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)<img src="/.gitbook/assets/arte.png" alt="" data-size="line">\
|
||
|
Aprenda e pratique Hacking GCP: <img src="/.gitbook/assets/grte.png" alt="" data-size="line">[**HackTricks Training GCP Red Team Expert (GRTE)**<img src="/.gitbook/assets/grte.png" alt="" data-size="line">](https://training.hacktricks.xyz/courses/grte)
|
||
|
|
||
|
<details>
|
||
|
|
||
|
<summary>Support HackTricks</summary>
|
||
|
|
||
|
* Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)!
|
||
|
* **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.**
|
||
|
* **Compartilhe truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
|
||
|
|
||
|
</details>
|
||
|
{% endhint %}
|