宣告
本文章中所有內容僅供學習交流使用,不用于其他任何目的,不提供完整代碼,抓包內容、敏感網址、資料介面等均已做脫敏處理,嚴禁用于商業用途和非法用途,否則由此產生的一切后果均與作者無關!
本文章未經許可禁止轉載,禁止任何修改后二次傳播,擅自使用本文講解的技術而導致的任何意外,作者均不負責,若有侵權,請在公眾號【K哥爬蟲】聯系作者立即洗掉!
逆向目標
- 設備:Google Pixel4,Android 10,已 root
- APP:UnCrackable-Level1.apk(可在公眾號回復 APP 獲取)
- APP 檢測了 root,如果手機 root 了,會強制退出 APP,過了 root 檢測后,還需要輸入一個字串進行校驗,
安裝 ADB
adb(Android Debug Bridge)即安卓除錯橋,安裝后可以在電腦上與手機進行互動,Android Studio 等工具里面會自帶 adb,有時候我們并不想下載這么大的工具,所以這里介紹一下 Android SDK Platform-Tools,它是 Android SDK 的一個組件,它包括與 Android 平臺互動的工具,主要是 adb 和 fastboot,官方下載地址:https://developer.android.com/studio/releases/platform-tools ,下載完成后將該目錄添加到環境變數,USB 連接手機,手機上設定允許 USB 除錯,使用命令 adb version 可查看版本資訊,adb devices 可以查看當前連接的設備,如下圖所示:
安裝 Frida
Frida 是一款基于 Python + JavaScript 的 Hook 與除錯框架,首先電腦端使用命令 pip install frida-tools 安裝 frida 模塊(此命令默認會安裝最新版的 frida 和 frida-tools,如),然后下載 frida-server,下載地址:https://github.com/frida/frida/releases
frida-server 要根據你電腦端安裝的 frida 版本和手機的 CPU 架構來選擇對應的,使用命令 frida --version 可以查看 frida 版本,使用命令 adb shell 進入手機,輸入 getprop ro.product.cpu.abi 查看 CPU 架構,如下圖所示,我這里 frida 是 15.2.2 版本,手機 CPU 為 arm64,所以我下載的是 frida-server-15.2.2-android-arm64.xz,
某些 Android 低版本使用高版本 frida 可能有問題,遇到問題可嘗試降低 frida 版本來解決,
將下載好的 frida-server 使用 adb push 命令傳到手機的 /data/local/tmp/ 目錄下,并給予 777 讀、寫、執行的權限,然后直接運行 frida-server,正常不會有任何輸出,當然也可以使用 & 等方式讓其在后臺運行,
然后另開一個 cmd 使用命令 frida-ps -U 可查看手機行程,有輸出則正常,
逆向分析
使用 adb install 命令安裝 UnCrackable-Level1.apk,打開該 APP,會檢測到 root,出現 Root detected! 的提示,如下圖所示:
使用 JEB、JADX、GDA 等工具反編譯 apk,直接搜索關鍵字 Root detected! 即可定位到檢測的地方:
可以看到圖中有三個檢測方法 c.a()、c.b()、c.c(),其中一個回傳為真,則彈出 Root detected!,然后前面還有一個 onClick 方法,如果點擊 OK 按鈕,則觸發 System.exit(0);,即退出 APP,先點進三個檢測方法看看:
a() 方法通過檢測 Android 系統環境變數中是否有 su 檔案來判斷是否被 root;
b() 方法通過檢測 Build.TAGS 中是否包含字串 test-keys 來判斷是否被 root;
c() 方法通過檢測指定路徑下是否包含指定的檔案來判斷是否被 root,
所以我們這里就有多種過掉檢測的方法:
方法一:Hook 三個檢測方法,讓它們都回傳 false,不再執行后續的 a 方法,就不會退出 APP 了:
Java.perform(
function(){
console.log("[*] Hook begin")
var vantagePoint = Java.use("sg.vantagepoint.a.c")
vantagePoint.a.implementation = function(){
console.log("[*] Hook vantagepoint.a.c.a")
this.a();
return false;
}
vantagePoint.b.implementation = function(){
console.log("[*] Hook vantagepoint.a.c.b")
this.b();
return false;
}
vantagePoint.c.implementation = function(){
console.log("[*] Hook vantagepoint.a.c.c")
this.c();
return false;
}
}
)
方法二:Hook a() 方法,置空,什么都不做,不彈出對話框,也不退出 APP:
Java.perform(
function(){
console.log("[*] Hook begin")
var mainActivity = Java.use("sg.vantagepoint.uncrackable1.MainActivity");
mainActivity.a.implementation = function(){
console.log("[*] Hook mainActivity.a")
}
}
)
方法三:Hook onClick() 方法,點擊 OK 后不讓其退出 APP,注意這里是內部類的 Hook 寫法:
Java.perform(
function(){
console.log("[*] Hook begin")
var mainActivity$1 = Java.use("sg.vantagepoint.uncrackable1.MainActivity$1");
mainActivity$1.onClick.implementation = function(){
console.log("[*] Hook mainActivity$1.onClick")
}
}
)
方法四:Hook System.exit() 方法,點擊 OK 后不讓其退出 APP:
Java.perform(
function(){
console.log("[*] Hook begin")
var javaSystem = Java.use("java.lang.System");
javaSystem.exit.implementation = function(){
console.log("[*] Hook system.exit")
}
}
)
root 檢測過掉之后,APP 還要輸入一個字串,輸入錯誤會提示 That's not it. Try again.,如下圖所示:
分析 Java 代碼,有一個 if-else 判斷,obj 為輸入的字串,a.a(obj) 判斷為真,就表示輸入正確,
跟到 a.a() 方法,可以看到 bArr 是內置的字串,通過 equals() 方法比較輸入的 str 是否和 bArr 相等:
bArr 的值,主要經過 sg.vantagepoint.a.a.a() 方法處理后得到,繼續跟進去可以發現是 AES 加密演算法:
這里就可以直接 Hook sg.vantagepoint.a.a.a(),直接拿到加密后的值,也就是我們要的正確字串,由于這里回傳的是 ASCII 碼,所以我們還需要在 JavaScript 代碼中使用 String.fromCharCode() 將其轉換成正常字符,Hook 代碼如下:
Java.perform(
function(){
var cryptoAES = Java.use("sg.vantagepoint.a.a");
cryptoAES.a.implementation = function(bArr, bArr2){
console.log("[*] Hook cryptoAES")
var secret = "";
var decryptValue = https://www.cnblogs.com/ikdl/archive/2022/09/15/this.a(bArr, bArr2);
console.log("[*] DecryptValue:", decryptValue)
for (var i=0; i < decryptValue.length; i++){
secret += String.fromCharCode(decryptValue[i]);
}
console.log("[*] Secret:", secret)
return decryptValue;
}
}
)
運行 Hook 腳本有兩種方式,一是結合 Python 使用,二是直接通過 frida 命令使用腳本,注入 Hook 代碼也有個時機問題,有時候需要在 APP 啟動就開始 Hook,有時候可以等 APP 啟動加載完畢了再 Hook,本例中,過 root 檢測的時候,如果采用第一、二種方法,即 Hook 三個檢測方法或者 a 方法,那就需要在 APP 啟動的時候就 Hook,如果采用第三、四種方法,即 Hook onClick() 或者 System.exit() 方法,那么等 APP 啟動了再 Hook 也可以,
結合 Python 使用
首先來看一下結合 Python 怎么使用,JavaScript 代碼如下(frida-hook.js):
/* ==================================
# @Time : 2022-08-29
# @Author : 微信公眾號:K哥爬蟲
# @FileName: frida-hook.js
# @Software: PyCharm
# ================================== */
Java.perform(
function(){
console.log("[*] Hook begin")
// 方法一:Hook 三個檢測方法,讓它們都回傳 false,不再執行后續的 a 方法,就不會退出 APP 了
// var vantagePoint = Java.use("sg.vantagepoint.a.c")
// vantagePoint.a.implementation = function(){
// console.log("[*] Hook vantagepoint.a.c.a")
// this.a();
// return false;
// }
// vantagePoint.b.implementation = function(){
// console.log("[*] Hook vantagepoint.a.c.b")
// this.b();
// return false;
// }
// vantagePoint.c.implementation = function(){
// console.log("[*] Hook vantagepoint.a.c.c")
// this.c();
// return false;
// }
// 方法二:Hook a() 方法,置空,什么都不做,不彈出對話框,也不退出 APP
// var mainActivity = Java.use("sg.vantagepoint.uncrackable1.MainActivity");
// mainActivity.a.implementation = function(){
// console.log("[*] Hook mainActivity.a")
// }
// 方法三:Hook onClick() 方法,點擊 OK 后不讓其退出 APP
// var mainActivity$1 = Java.use("sg.vantagepoint.uncrackable1.MainActivity$1");
// mainActivity$1.onClick.implementation = function(){
// console.log("[*] Hook mainActivity$1.onClick")
// }
// 方法四:Hook System.exit 方法,點擊 OK 后不讓其退出 APP
var javaSystem = Java.use("java.lang.System");
javaSystem.exit.implementation = function(){
console.log("[*] Hook system.exit")
}
var cryptoAES = Java.use("sg.vantagepoint.a.a");
cryptoAES.a.implementation = function(bArr, bArr2){
console.log("[*] Hook cryptoAES")
var secret = "";
var decryptValue = https://www.cnblogs.com/ikdl/archive/2022/09/15/this.a(bArr, bArr2);
console.log("[*] DecryptValue:", decryptValue)
for (var i=0; i < decryptValue.length; i++){
secret += String.fromCharCode(decryptValue[i]);
}
console.log("[*] Secret:", secret)
return decryptValue;
}
}
)
Python 代碼如下(frida-hook.py):
# ==================================
# --*-- coding: utf-8 --*--
# @Time : 2022-08-29
# @Author : 微信公眾號:K哥爬蟲
# @FileName: frida-hook.py
# @Software: PyCharm
# ==================================
import sys
import frida
def on_message(message, data):
if message['type'] == 'send':
print("[*] {0}".format(message['payload']))
else:
print(message)
with open("./frida-hook.js", "r", encoding="utf-8") as fp:
hook_string = fp.read()
# 方式一:attach 模式,已經啟動的 APP
process = frida.get_usb_device(-1).attach("Uncrackable1")
script = process.create_script(hook_string)
script.on("message", on_message)
script.load()
sys.stdin.read()
# 方式二,spawn 模式,重啟 APP
# device = frida.get_usb_device(-1)
# pid = device.spawn(["owasp.mstg.uncrackable1"])
# process = device.attach(pid)
# script = process.create_script(hook_string)
# script.on("message", on_message)
# script.load()
# device.resume(pid)
# sys.stdin.read()
Python 代碼中,attach 模式 Hook 已經存在的行程,spawn 模式會重啟 APP,啟動一個新的行程并掛起,在啟動的同時注入 frida 代碼,適用于在行程啟動前的一些 Hook,attach 模式傳入的是 APP 名稱,spawn 模式傳入的是 APP 包名,查看 APP 名稱和包名的方法有很多,這里介紹兩個 frida 命令,frida-ps -Uai:列出安裝的程式,frida-ps -Ua:列出正在運行中的程式,如下圖所示,本例中 Uncrackable1 就是 APP 名稱,owasp.mstg.uncrackable1 就是包名:
運行 Python 代碼,注意手機端也要啟動 frida-server,過掉 root 檢測后,先隨便輸入字串,點擊 VERIFY 就會 Hook 到正確的字串為 I want to believe,再次輸入正確的字串,即可驗證成功,
frida 命令
不使用 Python,也可以直接使用 frida 命令來實作,和前面 Python 一樣也有兩種模式,同樣的一個是 APP 名一個是包名:
frida -U Uncrackable1 -l .\frida-hook.js:attach 模式,APP 啟動后注入 frida 代碼;
frida -U -f owasp.mstg.uncrackable1 -l .\frida-hook.js --no-pause:spawn 模式,重啟 APP,啟動的同時注入 frida 代碼,
至此,我們完美繞過了 root 檢測,并成功找到了正確的字串,
轉載請註明出處,本文鏈接:https://www.uj5u.com/houduan/508774.html
標籤:其他