从三道题目入门frida
偶然从看雪看到了一篇入门frida的题目,正好苦于没练手的东西,直接上手一波
1.第一题jadx打开,也没有壳和混淆,整体非常清晰,判断的逻辑也很简单
发现其实就是两个输入框,一个用户名一个密码,先拼接起来然后传入VVVVV.VVVV()方法中去校验,跟进去看一手
其实代码逻辑还是挺清晰的,手逆也不难,但是这里主要还是用hook来做,这里破解是非常容易的,直接hook VVVV()方法的返回值直接返回为true
,这样不管输入什么都只会通过,但是这边的话,我们还是选择要得到flag,所以选择在frida中进行爆破,求解,因为在方法中也可以调用原方法,而且
字符串的位数只有5位,爆破还是挺容易的,不过要注意的地方就是js的字符串和java的不太一样,所以我们需要通过hook java.lang.String类,然后
去实现java的字符串对象,进而调用原方法
- function main()
- {
- Java.perform(function(){
- var string_class=Java.use("java.lang.String");
- Java.use("com.kanxue.pediy1.VVVVV").VVVV.implementation=function(t,y)
- {
- for(var i=0;i<=9;i++)
- {
- for(var j=0;j<=9;j++)
- {
- for(var k=0;k<=9;k++)
- {
- for(var w=0;w<=9;w++){
- for(var x=0;x<=9;x++)
- {
- var res=string_class.$new(i.toString()+j.toString()+k.toString()+w.toString()+x.toString());
- if(this.VVVV(t,res))
- {
- console.log("right answer:",res);
- return true;
- }else
- {
- console.log("wrong answer:",res);
- }
- }
- }
- }
- }
- }
- }
- })
- }
- setImmediate(main);
frida -U --no-pause -f 包名 -l 注入的js。启动就等着结果出来就好了
第二题走起:
第二题有点热修复的意思,就是调用文件夹中dex中类的方法,
其实就是自定义了个classloader,只要hook就完事了,然后和第一题校验逻辑是一样的,爆破就好了
- function main()
- {
- Java.perform(function(){
- console.log("YenKoc");
- Java.enumerateClassLoaders({
- onMatch:function(loader){
- try{
- if(loader.findClass("com.kanxue.pediy1.VVVVV"))
- //if(loader.toString().indexOf('dalvik.system.DexClassLoader')>-1)
- {
- console.log("find right classloader");
- console.log(loader);
- Java.classFactory.loader=loader;
- hookVVVV();
- return;
- }
- }catch(error)
- {
- console.log("find error"+error);
- }
- },
- onComplete:function(){
- console.log("end1");
- }
- })
- })
- }
- function hookVVVV(){
- Java.perform(function(){
- console.log('loader',Java.classFactory.loader);
- for (var i = 0; i <= 9; i++) {
- for (var j = 0; j <= 9; j++) {
- for (var k = 0; k <= 9; k++) {
- for (var t = 0; t <= 9; t++) {
- for (var y = 0; y <= 9; y++) {
- var newInput = Java.use('java.lang.String').$new(i.toString()
- + j.toString()
- + k.toString()
- + t.toString()
- + y.toString())
- //console.log(newInput)
- console.log("tmp:",newInput);
- var result = Java.use('com.kanxue.pediy1.VVVVV').VVVV(newInput)
- if(result == true){
- console.log('flag is ',newInput)
- return;
- }
- }
- }
- }
- }
- }
- })
- }
- setImmediate(main);
- //setTimeout(main,2000);
有几点坑的地方,第一个就是这个apk是测试用的apk,所以直接adb install是装不了的,我百度了下,修改androidmainfest.xml文件
把android:testOnly = "true"这个东西删了,二次重打包下,结果还是不行,我丢,然后我又重新adb install -t apk名字,可以安装了
这是安装测试apk的命令,然后就是这题frida -U --no-pause 包名 -l hook注入的js名字,不要在包名加-f了,加-f是spawn,开始就自启动
这样会导致找不到classloader的,所以我们要attach上去,之后才能找到。
第三题:
和第二题相比就是加了检测frida的方法,init()是native方法,我们用ida打开发现是动态注册,先去找一手jni_onload因为动态注册肯定
先调用这个方法的,
动态注册的话,其实本质就是换了个名字,之前静态注册的话,特征太明显了,java_包名_类名_native方法,所以出现了
动态注册,利用jninativeMethod这个结构体来存储native方法和本地函数的关联
- //JNINativeMethod结构体
- typedef struct {
- const char* name; //Java中native方法的名字
- const char* signature; //Java中native方法的描述符
- void* fnPtr; //对应JNI函数的指针
- } JNINativeMethod;
- /**
- * @param clazz java类名,通过 FindClass 获取
- * @param methods JNINativeMethod 结构体指针
- * @param nMethods 方法个数
- */
- jint RegisterNatives(jclass clazz, const JNINativeMethod* methods, jint nMethods)
- //JNI_OnLoad
- JNIEXPORT jint JNICALL JNI_OnLoad(JavaVM* vm, void* reserved);
这个就说的很清晰了。就不多bb了,
说明真正的native方法对应的本地函数是init,我们跟进去一下
发现就是新建了一个线程,检测frida是否占用了端口
这里处理方式
1.第一种是重打包,直接不调用init()这个方法了,这个androidkiller的话,很简单的,就不多bb了
2.直接hook native 方法
- function hook_pthread_create(){
- var pt_create_func = Module.findExportByName(null,'pthread_create');
- var detect_frida_loop_addr = null;
- console.log('pt_create_func:',pt_create_func);
- Interceptor.attach(pt_create_func,{
- onEnter:function(){
- if(detect_frida_loop_addr == null)
- {
- var base_addr = Module.getBaseAddress('libnative-lib.so');
- if(base_addr != null){
- detect_frida_loop_addr = base_addr.add(0xe9c)
- console.log('this.context.x2: ', detect_frida_loop_addr , this.context.x2);
- if(this.context.x2.compare(detect_frida_loop_addr) == 0) {
- hook_anti_frida_replace(this.context.x2);
- }
- }
- }
- },
- onLeave : function(retval){
- // console.log('retval',retval);
- }
- })
- }
- function hook_anti_frida_replace(addr){
- console.log('replace anti_addr :',addr);
- Interceptor.replace(addr,new NativeCallback(function(a1){
- console.log('replace success');
- return;
- },'pointer',[]));
- }
这里hook native的手法,我还不太熟悉,直接搬肉丝表哥的代码的233,晚上研究一手
3.还有就是修改硬编码so,直接就是patch,爆破那种思路,各位大佬也是有手就行
从三道题目入门frida的更多相关文章
- 漫谈C指针:参数传递的三道题目
漫谈C指针:参数传递的三道题目 2009-07-02 开讲之前,我先请你做三道题目.(嘿嘿,得先把你的头脑搞昏才行……唉呀,谁扔我鸡蛋?) 考题一,程序代码如下: [c] view plaincopy ...
- CodeForce——Deltix Round, Autumn 2021 (open for everyone, rated, Div. 1 + Div. 2)前三道题目题解
目录 A: B: C: 题目链接 A Divide and Multiply standard input/output 1 s, 256 MB 正在上传-重新上传取消 x13036 B Willia ...
- 《算法C语言实现》————三道题目
1.对于N = 10,100和1000,记录你的运行环境中分别运行一下程序所花费的时间.(用python) import datetime global a a = 0 def time_1(s): ...
- 27号华为笔试(三道ac两道)
三道题目case:100,100,0: 三个题目: 前两个都全部ac了,第三题没时间: 记录一下大概的思路: 第一题 主要通过Java中的字符串处理函数:然后控制字符串输入格式: 卡bug的点: 1: ...
- 一步步学习javascript基础篇(6):函数表达式之【闭包】
回顾前面介绍过的三种定义函数方式 1. function sum (num1, num2) { return num1 + num2; } //函数声明语法定义 2. var sum = funct ...
- leetcode6
好吧,今天晚上赶项目确实是做不了三道题目了,最近项目在网络编程方面有些进步,学到了东西,有时间再积累下来,很深的体会就是,和别人一起写代码,虽然蛋疼但是比自己一个人写要好点,不过发现自己对链表和排序什 ...
- April Fools Day Contest 2014
April Fools Day Contest 2014 A.C.H三道题目 ============================================================= ...
- HDU 1828 Picture(线段树扫描线求周长)
Picture Time Limit: 6000/2000 MS (Java/Others) Memory Limit: 32768/32768 K (Java/Others) Total Su ...
- 【转】lonekight@xmu·ACM/ICPC 回忆录
转自:http://hi.baidu.com/ordeder/item/2a342a7fe7cb9e336dc37c89 2009年09月06日 星期日 21:55 初识ACM最早听说ACM/ICPC ...
随机推荐
- 关于Ajax 的 cache 属性 (Day_34)
最近做项目,在某些页面显示,ajax刷新总是拿不到新内容,时常需要清除缓存,才能到达想要的效果. 经过再次查看文档,最后加了一行属性:cache:false 即可解决问题 我们先看下文档的说明: 可以 ...
- Raft: 一点阅读笔记
前言 如果想要对Raft算法的了解更深入一点的话,仅仅做6.824的Lab和读<In Search of an Understandable Consensus Algorithm>这篇论 ...
- 分布式调度任务-ElasticJob
一:问题的引出与复现 在一个风和日丽的工作日,公司运营发现系统的任务数据没有推送执行,整个流程因此停住了.我立马远程登陆服务器,查看日志,好家伙,系统在疯狂的打印相同的一段日志:c.d.d.j.i.e ...
- 3D点云完美匹配
3D点云完美匹配 The Perfect Match: 3D Point Cloud Matching with Smoothed Densities 地址链接: http://openaccess. ...
- MinkowskiBroadcast广播
MinkowskiBroadcast广播 MinkowskiBroadcastAddition广播加法 class MinkowskiEngine.MinkowskiBroadcastAddition ...
- [NOIP1998 提高组] 拼数
题目描述 设有 n 个正整数 a1-an,将它们联接成一排,相邻数字首尾相接,组成一个最大的整数. 输入格式 第一行有一个整数,表示数字个数 n. 第二行有 n 个整数,表示给出的 n 个整数 a_ ...
- Java 面试题关于包装类
这几个问题的知识点涉及的内容非常的刁钻,值得自己好好的理解. 问以下程序的输出结果是: 问题一: Object object=true ? new Integer(1):new Double(2.0) ...
- 简单理解数据库连接池(JDBC)
为什么要使用连接池? 在我们写代码的时候,写了很多类,假如这些类都和数据库打交道.这样的话每个类都要去获取数据库连接,操作完了之后就把连接释放了. 要知道,获取数据库连接的操作其实是向操作系统底层去获 ...
- Python小白的数学建模课-07 选址问题
选址问题是要选择设施位置使目标达到最优,是数模竞赛中的常见题型. 小白不一定要掌握所有的选址问题,但要能判断是哪一类问题,用哪个模型. 进一步学习 PuLP工具包中处理复杂问题的字典格式快捷建模方法. ...
- CSS ::marker 让文字序号更有意思
本文将介绍 CSS 中一个比较有意思的伪元素 ::marker,利用它,我们可以让我们的文字序号变得更加的有意思! 什么是 ::marker CSS 伪元素 ::marker 是从 CSS Pseud ...