Mirrors/hacktricks
2
0
Fork 0
mirror of https://github.com/carlospolop/hacktricks synced 2024-11-22 20:53:37 +00:00
Code Issues Projects Releases Packages Wiki Activity
hacktricks/mobile-pentesting/android-app-pentesting/frida-tutorial
History
Translator bf1aac9a34 Translated ['mobile-pentesting/android-app-pentesting/frida-tutorial/REA
2024-01-13 22:21:57 +00:00
..
frida-tutorial-1.md Translated ['README.md', 'backdoors/salseo.md', 'cryptography/certificat 2024-01-10 06:29:36 +00:00
frida-tutorial-2.md Translated to Chinese 2023-08-03 19:12:22 +00:00
objection-tutorial.md Translated ['backdoors/salseo.md', 'forensics/basic-forensic-methodology 2023-08-22 10:47:40 +00:00
owaspuncrackable-1.md Translated ['README.md', 'backdoors/salseo.md', 'forensics/basic-forensi 2023-12-16 14:32:12 +00:00
README.md Translated ['mobile-pentesting/android-app-pentesting/frida-tutorial/REA 2024-01-13 22:21:57 +00:00

README.md

Frida 教程

从零开始学习 AWS 黑客技术,成为 htARTE (HackTricks AWS 红队专家)

支持 HackTricks 的其他方式:

Bug bounty 小贴士注册 Intigriti,一个由黑客创建的高级bug bounty 平台!立即加入我们 https://go.intigriti.com/hacktricks,开始赚取高达 $100,000 的赏金!

{% embed url="https://go.intigriti.com/hacktricks" %}

安装

安装 frida 工具

pip install frida-tools
pip install frida

下载并安装 Android上的 frida server下载最新版本)。
一行命令重启adb至root模式连接至设备上传frida-server授权执行权限并在后台运行

{% code overflow="wrap" %}

adb root; adb connect localhost:6000; sleep 1; adb push frida-server /data/local/tmp/; adb shell "chmod 755 /data/local/tmp/frida-server"; adb shell "/data/local/tmp/frida-server &"

{% endcode %}

**检查** 是否**正常工作**

frida-ps -U #List packages and processes
frida-ps -U | grep -i <part_of_the_package_name> #Get all the package name

教程

教程 1

来源https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1
APKhttps://github.com/t0thkr1s/frida-demo/releases
源代码https://github.com/t0thkr1s/frida-demo

点击链接阅读

教程 2

来源https://11x256.github.io/Frida-hooking-android-part-2/第2、3和4部分
APK和源代码https://github.com/11x256/frida-android-examples

点击链接阅读

教程 3

来源https://joshspicer.com/android-frida-1
APKhttps://github.com/OWASP/owasp-mstg/blob/master/Crackmes/Android/Level_01/UnCrackable-Level1.apk

点击链接阅读
你可以在这里找到一些很棒的Frida脚本 https://codeshare.frida.re/

快速示例

在这里你可以找到Frida更基础且有趣的功能以便快速编写脚本

从命令行调用Frida

frida-ps -U

#Basic frida hooking
frida -l disableRoot.js -f owasp.mstg.uncrackable1

#Hooking before starting the app
frida -U --no-pause -l disableRoot.js -f owasp.mstg.uncrackable1
#The --no-pause and -f options allow the app to be spawned automatically,
#frozen so that the instrumentation can occur, and the automatically
#continue execution with our modified code.

基础 Python 脚本

import frida, sys

jscode = open(sys.argv[0]).read()
process = frida.get_usb_device().attach('infosecadventures.fridademo')
script = process.create_script(jscode)
print('[ * ] Running Frida Demo application')
script.load()
sys.stdin.read()

挂钩无参数函数

挂钩类 sg.vantagepoint.a.c 中的函数 a()

Java.perform(function () {
;  rootcheck1.a.overload().implementation = function() {
rootcheck1.a.overload().implementation = function() {
send("sg.vantagepoint.a.c.a()Z   Root check 1 HIT!  su.exists()");
return false;
};
});

Hook java exit()

var sysexit = Java.use("java.lang.System");
sysexit.exit.overload("int").implementation = function(var_0) {
send("java.lang.System.exit(I)V  // We avoid exiting the application  :)");
};

Hook MainActivity .onStart() & .onCreate()

var mainactivity = Java.use("sg.vantagepoint.uncrackable1.MainActivity");
mainactivity.onStart.overload().implementation = function() {
send("MainActivity.onStart() HIT!!!");
var ret = this.onStart.overload().call(this);
};
mainactivity.onCreate.overload("android.os.Bundle").implementation = function(var_0) {
send("MainActivity.onCreate() HIT!!!");
var ret = this.onCreate.overload("android.os.Bundle").call(this,var_0);
};

Hook Android .onCreate()

在 Android 应用程序中,.onCreate() 方法是活动生命周期的起点。通过挂钩这个方法,我们可以在活动开始时执行代码。

以下是如何使用 Frida 挂钩 .onCreate() 方法的步骤:

  1. 确定要挂钩的正确类名。
  2. 编写 Frida 脚本来挂钩 .onCreate() 方法。
  3. 将 Frida 脚本注入目标应用程序。

步骤 1: 确定类名

要挂钩 .onCreate() 方法,首先需要找到包含该方法的类的完整名称。这可以通过阅读应用的源代码或使用反编译工具来完成。

步骤 2: 编写 Frida 脚本

一旦有了类名,就可以编写一个 Frida 脚本来挂钩 .onCreate() 方法。脚本可能看起来像这样:

Java.perform(function () {
    var MainActivity = Java.use("com.example.android.MainActivity");
    MainActivity.onCreate.overload('android.os.Bundle').implementation = function (bundle) {
        console.log("MainActivity.onCreate() called");
        this.onCreate(bundle);
    };
});

步骤 3: 注入 Frida 脚本

使用 Frida 注入上面的脚本到目标应用程序。这可以通过命令行或使用一个工具如 Frida's CLI 工具 frida 来完成。

完成这些步骤后,每当 .onCreate() 方法被调用时,你的 Frida 脚本将会执行,允许你监视或修改应用程序的行为。

var activity = Java.use("android.app.Activity");
activity.onCreate.overload("android.os.Bundle").implementation = function(var_0) {
send("Activity HIT!!!");
var ret = this.onCreate.overload("android.os.Bundle").call(this,var_0);
};

使用参数挂钩函数并检索值

挂钩解密函数。打印输入,调用原始函数解密输入,最后打印明文数据:

function getString(data){
var ret = "";
for (var i=0; i < data.length; i++){
ret += data[i].toString();
}
return ret
}
var aes_decrypt = Java.use("sg.vantagepoint.a.a");
aes_decrypt.a.overload("[B","[B").implementation = function(var_0,var_1) {
send("sg.vantagepoint.a.a.a([B[B)[B   doFinal(enc)  // AES/ECB/PKCS7Padding");
send("Key       : " + getString(var_0));
send("Encrypted : " + getString(var_1));
var ret = this.a.overload("[B","[B").call(this,var_0,var_1);
send("Decrypted : " + ret);

var flag = "";
for (var i=0; i < ret.length; i++){
flag += String.fromCharCode(ret[i]);
}
send("Decrypted flag: " + flag);
return ret; //[B
};

挂钩函数并用我们的输入调用它们

挂钩一个接收字符串的函数,并用另一个字符串调用它(来自这里

var string_class = Java.use("java.lang.String"); // get a JS wrapper for java's String class

my_class.fun.overload("java.lang.String").implementation = function(x){ //hooking the new function
var my_string = string_class.$new("My TeSt String#####"); //creating a new String by using `new` operator
console.log("Original arg: " +x );
var ret =  this.fun(my_string); // calling the original function with the new String, and putting its return value in ret variable
console.log("Return value: "+ret);
return ret;
};

获取已创建类的对象

如果您想提取已创建对象的某些属性,可以使用此方法。

在此示例中,您将看到如何获取类 my_activity 的对象以及如何调用函数 .secret(),该函数将打印对象的私有属性:

Java.choose("com.example.a11x256.frida_test.my_activity" , {
onMatch : function(instance){ //This function will be called for every instance found by frida
console.log("Found instance: "+instance);
console.log("Result of secret func: " + instance.secret());
},
onComplete:function(){}
});

其他 Frida 教程

漏洞赏金小贴士注册 Intigriti,一个由黑客创建,为黑客服务的高级漏洞赏金平台!立即加入我们 https://go.intigriti.com/hacktricks,开始赚取高达 $100,000 的赏金!

{% embed url="https://go.intigriti.com/hacktricks" %}

从零开始学习 AWS 黑客技术,成为 htARTE (HackTricks AWS 红队专家)

其他支持 HackTricks 的方式: