# Objection Tutorial {% hint style="success" %} Learn & practice AWS Hacking:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ Learn & practice GCP Hacking: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks * Check the [**subscription plans**](https://github.com/sponsors/carlospolop)! * **Join the** 💬 [**Discord group**](https://discord.gg/hRep4RUj7f) or the [**telegram group**](https://t.me/peass) or **follow** us on **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Share hacking tricks by submitting PRs to the** [**HackTricks**](https://github.com/carlospolop/hacktricks) and [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud) github repos.
{% endhint %} **Dica de bug bounty**: **inscreva-se** no **Intigriti**, uma **plataforma de bug bounty premium criada por hackers, para hackers**! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje e comece a ganhar recompensas de até **$100,000**! {% embed url="https://go.intigriti.com/hacktricks" %} ## **Introdução** **objection - Exploração Móvel em Tempo de Execução** [**Objection**](https://github.com/sensepost/objection) é um kit de ferramentas de exploração móvel em tempo de execução, alimentado por [Frida](https://www.frida.re). Foi criado com o objetivo de ajudar a avaliar aplicativos móveis e sua postura de segurança sem a necessidade de um dispositivo móvel com jailbreak ou root. **Nota:** Isso não é uma forma de jailbreak / bypass de root. Ao usar `objection`, você ainda está limitado por todas as restrições impostas pelo sandbox aplicável que está enfrentando. ### Resumo O **objetivo** do **objection** é permitir que o usuário chame as **principais ações que o Frida oferece**. **Caso contrário**, o usuário precisará criar um **único script para cada aplicativo** que deseja testar. ## Tutorial Para este tutorial, vou usar o APK que você pode baixar aqui: {% file src="../../../.gitbook/assets/app-release.zip" %} Ou do seu [repositório original](https://github.com/asvid/FridaApp) (baixe app-release.apk) ### Instalação ```bash pip3 install objection ``` ### Conexão Faça uma **conexão ADB regular** e **inicie** o servidor **frida** no dispositivo (e verifique se o frida está funcionando tanto no cliente quanto no servidor). Se você estiver usando um **dispositivo com root**, é necessário selecionar o aplicativo que você deseja testar dentro da opção _**--gadget**_. neste caso: ```bash frida-ps -Uai objection --gadget asvid.github.io.fridaapp explore ``` ### Ações Básicas Nem todos os comandos possíveis do objection serão listados neste tutorial, apenas os que eu achei mais úteis. #### Ambiente Algumas informações interessantes (como senhas ou caminhos) podem ser encontradas dentro do ambiente. ```bash env ``` ![](<../../../.gitbook/assets/image (220).png>) #### Informações sobre o Frida ```bash frida ``` ![](<../../../.gitbook/assets/image (1093).png>) #### Upload/Download ```bash file download [] file upload [] ``` #### Importar script frida ```bash import ``` #### SSLPinning ```bash android sslpinning disable #Attempts to disable SSL Pinning on Android devices. ``` #### Detecção de root ```bash android root disable #Attempts to disable root detection on Android devices. android root simulate #Attempts to simulate a rooted Android environment. ``` #### Exec Command ```bash android shell_exec whoami ``` #### Capturas de tela ```bash android ui screenshot /tmp/screenshot android ui FLAG_SECURE false #This may enable you to take screenshots using the hardware keys ``` ### Análise estática feita dinâmica Em uma aplicação real, devemos conhecer todas as informações descobertas nesta parte antes de usar objection graças à **análise estática**. De qualquer forma, dessa maneira você pode ver **algo novo**, pois aqui você terá apenas uma lista completa de classes, métodos e objetos exportados. Isso também é útil se, de alguma forma, você estiver **incapaz de obter algum código-fonte legível** do aplicativo. #### Listar atividades, receptores e serviços ```bash android hooking list activities ``` ![](<../../../.gitbook/assets/image (1016).png>) ```bash android hooking list services android hooking list receivers ``` Frida lançará um erro se nenhum for encontrado #### Obtendo a atividade atual ```bash android hooking get current_activity ``` ![](<../../../.gitbook/assets/image (813).png>) #### Buscar Classes Vamos começar a procurar classes dentro do nosso aplicativo. ```bash android hooking search classes asvid.github.io.fridaapp ``` ![](<../../../.gitbook/assets/image (507).png>) #### Métodos de busca de uma classe Agora vamos extrair os métodos dentro da classe _MainActivity:_ ```bash android hooking search methods asvid.github.io.fridaapp MainActivity ``` ![](<../../../.gitbook/assets/image (929).png>) #### Listar métodos declarados de uma classe com seus parâmetros Vamos descobrir quais parâmetros os métodos da classe precisam: ```bash android hooking list class_methods asvid.github.io.fridaapp.MainActivity ``` ![](<../../../.gitbook/assets/image (299).png>) #### Listar classes Você também pode listar todas as classes que foram carregadas dentro da aplicação atual: ```bash android hooking list classes #List all loaded classes, As the target application gets usedmore, this command will return more classes. ``` Isso é muito útil se você quiser **hook a method de uma classe e você só conhece o nome da classe**. Você poderia usar essa função para **procurar qual módulo possui a classe** e então hook seu método. ### Hooking sendo fácil #### Hooking (assistindo) um método Do [código-fonte](https://github.com/asvid/FridaApp/blob/master/app/src/main/java/asvid/github/io/fridaapp/MainActivity.kt) da aplicação, sabemos que a **função** _**sum()**_ **da** _**MainActivity**_ está sendo executada **a cada segundo**. Vamos tentar **dumpar todas as informações possíveis** cada vez que a função é chamada (argumentos, valor de retorno e backtrace): ```bash android hooking watch class_method asvid.github.io.fridaapp.MainActivity.sum --dump-args --dump-backtrace --dump-return ``` ![](<../../../.gitbook/assets/image (1086).png>) #### Hooking (assistindo) uma classe inteira Na verdade, acho todos os métodos da classe MainActivity realmente interessantes, vamos **hook them all**. Cuidado, isso pode **crash** uma aplicação. ```bash android hooking watch class asvid.github.io.fridaapp.MainActivity --dump-args --dump-return ``` Se você brincar com o aplicativo enquanto a classe está conectada, você verá quando **cada função está sendo chamada**, seus **argumentos** e o **valor de retorno**. ![](<../../../.gitbook/assets/image (861).png>) #### Mudando o valor de retorno booleano de uma função Do código-fonte, você pode ver que a função _checkPin_ recebe um _String_ como argumento e retorna um _boolean_. Vamos fazer a função **sempre retornar true**: ![](<../../../.gitbook/assets/image (883).png>) Agora, se você escrever qualquer coisa na caixa de texto para o código PIN, você verá que qualquer coisa é válida: ![](<../../../.gitbook/assets/image (228).png>) ### Instâncias de classe Pesquise e imprima **instâncias ativas de uma classe Java específica**, especificada por um nome de classe totalmente qualificado. A saída é o resultado de uma tentativa de obter um valor de string para uma objeção descoberta, que normalmente **contém valores de propriedade para o objeto**. ``` android heap print_instances ``` ![](<../../../.gitbook/assets/image (1095).png>) ### Keystore/Intents Você pode brincar com o keystore e intents usando: ```bash android keystore list android intents launch_activity android intent launch_service ``` ### Memória #### Despejo ```bash memory dump all #Dump all memory memory dump from_base #Dump a part ``` #### Lista ```bash memory list modules ``` ![](<../../../.gitbook/assets/image (286).png>) Na parte inferior da lista, você pode ver frida: ![](<../../../.gitbook/assets/image (1097).png>) Vamos verificar o que frida está exportando: ![](<../../../.gitbook/assets/image (298).png>) #### Pesquisar/Escrever Você também pode pesquisar e escrever na memória com objection: ```bash memory search "" (--string) (--offsets-only) memory write "
" "" (--string) ``` ### SQLite Você pode usar o comando `sqlite` para interagir com bancos de dados sqlite. ### Exit ```bash exit ``` ## O que eu sinto falta no Objection * Os métodos de hooking às vezes fazem o aplicativo travar (isso também é por causa do Frida). * Você não pode usar as instâncias das classes para chamar funções da instância. E você não pode criar novas instâncias de classes e usá-las para chamar funções. * Não há um atalho (como o de sslpinnin) para hookear todos os métodos criptográficos comuns usados pelo aplicativo para ver texto cifrado, texto simples, chaves, IVs e algoritmos usados. **Dica de bug bounty**: **inscreva-se** no **Intigriti**, uma plataforma de **bug bounty premium criada por hackers, para hackers**! Junte-se a nós em [**https://go.intigriti.com/hacktricks**](https://go.intigriti.com/hacktricks) hoje e comece a ganhar recompensas de até **$100,000**! {% embed url="https://go.intigriti.com/hacktricks" %} {% hint style="success" %} Aprenda e pratique Hacking AWS:[**HackTricks Training AWS Red Team Expert (ARTE)**](https://training.hacktricks.xyz/courses/arte)\ Aprenda e pratique Hacking GCP: [**HackTricks Training GCP Red Team Expert (GRTE)**](https://training.hacktricks.xyz/courses/grte)
Support HackTricks * Confira os [**planos de assinatura**](https://github.com/sponsors/carlospolop)! * **Junte-se ao** 💬 [**grupo do Discord**](https://discord.gg/hRep4RUj7f) ou ao [**grupo do telegram**](https://t.me/peass) ou **siga**-nos no **Twitter** 🐦 [**@hacktricks\_live**](https://twitter.com/hacktricks\_live)**.** * **Compartilhe truques de hacking enviando PRs para os repositórios do** [**HackTricks**](https://github.com/carlospolop/hacktricks) e [**HackTricks Cloud**](https://github.com/carlospolop/hacktricks-cloud).
{% endhint %}