聲明 本文章中所有內容僅供學習交流使用,不用於其他任何目的,不提供完整代碼,抓包內容、敏感網址、數據介面等均已做脫敏處理,嚴禁用於商業用途和非法用途,否則由此產生的一切後果均與作者無關! 本文章未經許可禁止轉載,禁止任何修改後二次傳播,擅自使用本文講解的技術而導致的任何意外,作者均不負責,若有侵權, ...
聲明
本文章中所有內容僅供學習交流使用,不用於其他任何目的,不提供完整代碼,抓包內容、敏感網址、數據介面等均已做脫敏處理,嚴禁用於商業用途和非法用途,否則由此產生的一切後果均與作者無關!
本文章未經許可禁止轉載,禁止任何修改後二次傳播,擅自使用本文講解的技術而導致的任何意外,作者均不負責,若有侵權,請在公眾號【K哥爬蟲】聯繫作者立即刪除!
逆向目標
- 設備:Google Pixel4,Android 10,已 root
- APP:UnCrackable-Level1.apk(可在公眾號回覆 APP 獲取)
- APP 檢測了 root,如果手機 root 了,會強制退出 APP,過了 root 檢測後,還需要輸入一個字元串進行校驗。
安裝 ADB
adb(Android Debug Bridge)即安卓調試橋,安裝後可以在電腦上與手機進行交互,Android Studio 等工具裡面會自帶 adb,有時候我們並不想下載這麼大的工具,所以這裡介紹一下 Android SDK Platform-Tools,它是 Android SDK 的一個組件,它包括與 Android 平臺交互的工具,主要是 adb 和 fastboot,官方下載地址:https://developer.android.com/studio/releases/platform-tools ,下載完成後將該目錄添加到環境變數,USB 連接手機,手機上設置允許 USB 調試,使用命令 adb version 可查看版本信息,adb devices 可以查看當前連接的設備,如下圖所示:
安裝 Frida
Frida 是一款基於 Python + JavaScript 的 Hook 與調試框架,首先電腦端使用命令 pip install frida-tools 安裝 frida 模塊(此命令預設會安裝最新版的 frida 和 frida-tools,如),然後下載 frida-server,下載地址:https://github.com/frida/frida/releases
frida-server 要根據你電腦端安裝的 frida 版本和手機的 CPU 架構來選擇對應的,使用命令 frida --version 可以查看 frida 版本,使用命令 adb shell 進入手機,輸入 getprop ro.product.cpu.abi 查看 CPU 架構,如下圖所示,我這裡 frida 是 15.2.2 版本,手機 CPU 為 arm64,所以我下載的是 frida-server-15.2.2-android-arm64.xz。
某些 Android 低版本使用高版本 frida 可能有問題,遇到問題可嘗試降低 frida 版本來解決。
將下載好的 frida-server 使用 adb push 命令傳到手機的 /data/local/tmp/ 目錄下,並給予 777 讀、寫、執行的許可權,然後直接運行 frida-server,正常不會有任何輸出,當然也可以使用 & 等方式讓其在後臺運行。
然後另開一個 cmd 使用命令 frida-ps -U 可查看手機進程,有輸出則正常。
逆向分析
使用 adb install 命令安裝 UnCrackable-Level1.apk,打開該 APP,會檢測到 root,出現 Root detected! 的提示,如下圖所示:
使用 JEB、JADX、GDA 等工具反編譯 apk,直接搜索關鍵字 Root detected! 即可定位到檢測的地方:
可以看到圖中有三個檢測方法 c.a()、c.b()、c.c(),其中一個返回為真,則彈出 Root detected!,然後前面還有一個 onClick 方法,如果點擊 OK 按鈕,則觸發 System.exit(0);,即退出 APP,先點進三個檢測方法看看:
a() 方法通過檢測 Android 系統環境變數中是否有 su 文件來判斷是否被 root;
b() 方法通過檢測 Build.TAGS 中是否包含字元串 test-keys 來判斷是否被 root;
c() 方法通過檢測指定路徑下是否包含指定的文件來判斷是否被 root。
所以我們這裡就有多種過掉檢測的方法:
方法一:Hook 三個檢測方法,讓它們都返回 false,不再執行後續的 a 方法,就不會退出 APP 了:
Java.perform(
function(){
console.log("[*] Hook begin")
var vantagePoint = Java.use("sg.vantagepoint.a.c")
vantagePoint.a.implementation = function(){
console.log("[*] Hook vantagepoint.a.c.a")
this.a();
return false;
}
vantagePoint.b.implementation = function(){
console.log("[*] Hook vantagepoint.a.c.b")
this.b();
return false;
}
vantagePoint.c.implementation = function(){
console.log("[*] Hook vantagepoint.a.c.c")
this.c();
return false;
}
}
)
方法二:Hook a() 方法,置空,什麼都不做,不彈出對話框,也不退出 APP:
Java.perform(
function(){
console.log("[*] Hook begin")
var mainActivity = Java.use("sg.vantagepoint.uncrackable1.MainActivity");
mainActivity.a.implementation = function(){
console.log("[*] Hook mainActivity.a")
}
}
)
方法三:Hook onClick() 方法,點擊 OK 後不讓其退出 APP,註意這裡是內部類的 Hook 寫法:
Java.perform(
function(){
console.log("[*] Hook begin")
var mainActivity$1 = Java.use("sg.vantagepoint.uncrackable1.MainActivity$1");
mainActivity$1.onClick.implementation = function(){
console.log("[*] Hook mainActivity$1.onClick")
}
}
)
方法四:Hook System.exit() 方法,點擊 OK 後不讓其退出 APP:
Java.perform(
function(){
console.log("[*] Hook begin")
var javaSystem = Java.use("java.lang.System");
javaSystem.exit.implementation = function(){
console.log("[*] Hook system.exit")
}
}
)
root 檢測過掉之後,APP 還要輸入一個字元串,輸入錯誤會提示 That's not it. Try again.,如下圖所示:
分析 Java 代碼,有一個 if-else 判斷,obj 為輸入的字元串,a.a(obj) 判斷為真,就表示輸入正確。
跟到 a.a() 方法,可以看到 bArr 是內置的字元串,通過 equals() 方法比較輸入的 str 是否和 bArr 相等:
bArr 的值,主要經過 sg.vantagepoint.a.a.a() 方法處理後得到,繼續跟進去可以發現是 AES 加密演算法:
這裡就可以直接 Hook sg.vantagepoint.a.a.a(),直接拿到加密後的值,也就是我們要的正確字元串,由於這裡返回的是 ASCII 碼,所以我們還需要在 JavaScript 代碼中使用 String.fromCharCode() 將其轉換成正常字元,Hook 代碼如下:
Java.perform(
function(){
var cryptoAES = Java.use("sg.vantagepoint.a.a");
cryptoAES.a.implementation = function(bArr, bArr2){
console.log("[*] Hook cryptoAES")
var secret = "";
var decryptValue = this.a(bArr, bArr2);
console.log("[*] DecryptValue:", decryptValue)
for (var i=0; i < decryptValue.length; i++){
secret += String.fromCharCode(decryptValue[i]);
}
console.log("[*] Secret:", secret)
return decryptValue;
}
}
)
運行 Hook 腳本有兩種方式,一是結合 Python 使用,二是直接通過 frida 命令使用腳本,註入 Hook 代碼也有個時機問題,有時候需要在 APP 啟動就開始 Hook,有時候可以等 APP 啟動載入完畢了再 Hook,本例中,過 root 檢測的時候,如果採用第一、二種方法,即 Hook 三個檢測方法或者 a 方法,那就需要在 APP 啟動的時候就 Hook,如果採用第三、四種方法,即 Hook onClick() 或者 System.exit() 方法,那麼等 APP 啟動了再 Hook 也可以。
結合 Python 使用
首先來看一下結合 Python 怎麼使用,JavaScript 代碼如下(frida-hook.js):
/* ==================================
# @Time : 2022-08-29
# @Author : 微信公眾號:K哥爬蟲
# @FileName: frida-hook.js
# @Software: PyCharm
# ================================== */
Java.perform(
function(){
console.log("[*] Hook begin")
// 方法一:Hook 三個檢測方法,讓它們都返回 false,不再執行後續的 a 方法,就不會退出 APP 了
// var vantagePoint = Java.use("sg.vantagepoint.a.c")
// vantagePoint.a.implementation = function(){
// console.log("[*] Hook vantagepoint.a.c.a")
// this.a();
// return false;
// }
// vantagePoint.b.implementation = function(){
// console.log("[*] Hook vantagepoint.a.c.b")
// this.b();
// return false;
// }
// vantagePoint.c.implementation = function(){
// console.log("[*] Hook vantagepoint.a.c.c")
// this.c();
// return false;
// }
// 方法二:Hook a() 方法,置空,什麼都不做,不彈出對話框,也不退出 APP
// var mainActivity = Java.use("sg.vantagepoint.uncrackable1.MainActivity");
// mainActivity.a.implementation = function(){
// console.log("[*] Hook mainActivity.a")
// }
// 方法三:Hook onClick() 方法,點擊 OK 後不讓其退出 APP
// var mainActivity$1 = Java.use("sg.vantagepoint.uncrackable1.MainActivity$1");
// mainActivity$1.onClick.implementation = function(){
// console.log("[*] Hook mainActivity$1.onClick")
// }
// 方法四:Hook System.exit 方法,點擊 OK 後不讓其退出 APP
var javaSystem = Java.use("java.lang.System");
javaSystem.exit.implementation = function(){
console.log("[*] Hook system.exit")
}
var cryptoAES = Java.use("sg.vantagepoint.a.a");
cryptoAES.a.implementation = function(bArr, bArr2){
console.log("[*] Hook cryptoAES")
var secret = "";
var decryptValue = this.a(bArr, bArr2);
console.log("[*] DecryptValue:", decryptValue)
for (var i=0; i < decryptValue.length; i++){
secret += String.fromCharCode(decryptValue[i]);
}
console.log("[*] Secret:", secret)
return decryptValue;
}
}
)
Python 代碼如下(frida-hook.py):
# ==================================
# --*-- coding: utf-8 --*--
# @Time : 2022-08-29
# @Author : 微信公眾號:K哥爬蟲
# @FileName: frida-hook.py
# @Software: PyCharm
# ==================================
import sys
import frida
def on_message(message, data):
if message['type'] == 'send':
print("[*] {0}".format(message['payload']))
else:
print(message)
with open("./frida-hook.js", "r", encoding="utf-8") as fp:
hook_string = fp.read()
# 方式一:attach 模式,已經啟動的 APP
process = frida.get_usb_device(-1).attach("Uncrackable1")
script = process.create_script(hook_string)
script.on("message", on_message)
script.load()
sys.stdin.read()
# 方式二,spawn 模式,重啟 APP
# device = frida.get_usb_device(-1)
# pid = device.spawn(["owasp.mstg.uncrackable1"])
# process = device.attach(pid)
# script = process.create_script(hook_string)
# script.on("message", on_message)
# script.load()
# device.resume(pid)
# sys.stdin.read()
Python 代碼中,attach 模式 Hook 已經存在的進程,spawn 模式會重啟 APP,啟動一個新的進程並掛起,在啟動的同時註入 frida 代碼,適用於在進程啟動前的一些 Hook,attach 模式傳入的是 APP 名稱,spawn 模式傳入的是 APP 包名,查看 APP 名稱和包名的方法有很多,這裡介紹兩個 frida 命令,frida-ps -Uai:列出安裝的程式,frida-ps -Ua:列出正在運行中的程式,如下圖所示,本例中 Uncrackable1 就是 APP 名稱,owasp.mstg.uncrackable1 就是包名:
運行 Python 代碼,註意手機端也要啟動 frida-server,過掉 root 檢測後,先隨便輸入字元串,點擊 VERIFY 就會 Hook 到正確的字元串為 I want to believe,再次輸入正確的字元串,即可驗證成功。
frida 命令
不使用 Python,也可以直接使用 frida 命令來實現,和前面 Python 一樣也有兩種模式,同樣的一個是 APP 名一個是包名:
frida -U Uncrackable1 -l .\frida-hook.js:attach 模式,APP 啟動後註入 frida 代碼;
frida -U -f owasp.mstg.uncrackable1 -l .\frida-hook.js --no-pause:spawn 模式,重啟 APP,啟動的同時註入 frida 代碼。
至此,我們完美繞過了 root 檢測,併成功找到了正確的字元串。
