xiaoeryu

本章主要内容： 主动调用类函数 使用java反射完成对类函数的调用 使用Xposed的API完成对类函数的调用 通过java反射的方式主动调用主动调用静态函数目标app的两个静态函数 在Xposed01项目中新建一个Class来进行主动调用：使用java反射的方式来主动调用 调用成功，需要注意的是在调用private函数的时候注意要取消权限检查 主动调用非静态函数目标app的两个非静态函数 同样使用java反射的方式来调用 对于类的非静态函数，需要先创建类的实例然后通过实例来调用非静态方法 Method publicFunc_method = StuClass.getDeclaredMethod("publicFunc", String.class, int.class); 获取静态方法 // public Student(String name, String id){ // this.name = name; // this.id = id; // ...

...

本章主要使用Xposed来修改类和类对象的属性 Xposed不止是可以实现对app自己实现的类构造函数进行hook，对于系统框架层的java函数也可以进行hook 加壳厂商一般使用的加载dex有，DexClassLoader、InMemoryDexClassLoader(8.0以后)、以及动态下发dex 我们先来看一下DexClassLoader 可以使用google提供的源码查看工具查看源码 图一 我们完全可以像hook其它app一样去hook源码中的函数 从而可以监控到它都加载了哪些插件dex，或者通过它脱壳都是可以的 之后也可以把FART和Xposed结合一下，通过Xposed去hook相关的构造函数，配合FART进行插件dex的脱壳和修复 Hook DexClassLoader之前在JNI开发的时候写过一个测试demo使用DexClassLoader来动态加载dex这次我们来Hook它的DexClassLoader方法 图二 主要代码片段 // 在图一的源码里面可以看到DexClassLoader里面一共有四个参数（三个String +...

本章主要是配置一下Xposed开发环境，以及对构造函数进行一个简单的hook。梳理一下Xposed插件开发流程 Xposed开发环境配置本次开发环境 设备：pixel XL 系统：Android 10 开发平台：Ubuntu 22.04 IDE：Android Studio 2022.3 开发语言：Java 手机环境配置：Magisk（26）和LSPosed（1.9.2）使用的最新版，安装教程在之前的章节里面写过了不再赘述 新建项目手机环境配置好了之后，用Android Studio创建一个新的项目：先配置好Android Studio的代理 项目名可以随便起个喜欢的 编写xposed插件初始化流程 拷贝API 修改配置：首先我们引入Xposed的库，这里我们需要在settings.gradle里修改一下 maven { url 'https://api.xposed.info/' } 之后，进入app目录下面的build.gradle引入xposed的依赖 compileOnly...

本章主要内容为： spawn/attach时机的选择 主动调用 hook时机选择 制作自己的dex并动态加载 使用Z3求解/符号执行 本章用KGB...

本章来看一下RPC相关的问题 RPC远程过程调用，是一种计算机通信协议，用于在计算机网络中的程序之间进行通信。它允许程序调用另一个地址空间（通常是远程机器上的程序）的过程，就像调用本地过程一样，而无需显式地处理网络细节。 在RPC中，客户端程序调用远程服务器上的过程，就像调用本地过程一样。RPC框架负责将参数传递给远程过程并返回结果。这使得分布式计算变得更加容易，因为开发人员可以将远程调用抽象为本地调用，而不必去关心底层网络通信的实现细节。 在进行RPC之前，要先把问题在hook和主动调用阶段解决，然后再去进行RPC的互联 远程调用这里拿lesson4编写的apk来进行RPC调用测试 调用secret() 先执行这个脚本看是否起作用了 起作用了我们开始进行下一步的RPC调用 RPC注入的脚本： PS：Amazon CodeWhisperer的代码智能提示挺好用的，支持中文还免费 lesson7_lesson4.jsfunction invoke(){ Java.perform(function(){ ...

本章来通过一个案例更深层次的去了解frida，在各种情境下怎么去修改函数的返回值 先使用objection大致了解一下apk objection附加到app objection -g com.example.androiddemo explore 先看一下它的activity 这个Activity都能直接跳过登陆界面跳过去，这种直接能跳过登陆界面的在现在的app上基本都不存在了。 接下来开始按正常流程开始分析 登陆 点击SIGN IN按钮会有一个Login failed的Toast 接下来用jadx打开apk搜索这个字符串 进入 这里调用a方法传入了两个相同的obj然后将返回的结果与obj2作比较 接下来查看这个两个str参数的重载a方法 hook这个a方法拿到返回的结果输入比较一下 写hook脚本拿到a()的返回结果function main(){ Java.perform(function(){ ...

本章主要内容为hook后参数如何打印和构造 环境： 设备：pixel XL 系统版本：Android 7.1 数组改变app的返回结果源码片段 char arr[][] = new char[4][]; // 创建一个4行的二维数组 arr[0] = new char[] { '春', '眠', '不', '觉', '晓' }; // 为每一行赋值 arr[1] = new char[] { '处', '处', '闻', '啼', '鸟' }; arr[2] = new char[] { '夜', '来', '风', '雨', '声' }; arr[3] = new char[] { '花', '落', '知', '多', '少' }; Log.d("SimpleArray", "-----横版-----"); for (int i = 0; i < 4; i++) { // 循环4行 // ...

本章主要内容： Frida基本操作：参数、调用栈、返回值 Frida精髓：方法重载、参数构造、动静态处理、主动调用、忽略内部细节，直接返回结果 逆向三段：（hook ・invoke）・rpc 编写代码测试hook新建一个java类型的项目 图0 目标Demo源码package com.xiaoeryu.lesson4_4; import androidx.appcompat.app.AppCompatActivity; import android.os.Bundle; import android.util.Log; public class MainActivity extends AppCompatActivity { @Override protected void onCreate(Bundle savedInstanceState) { super.onCreate(savedInstanceState); setContentView(R.layout.activity_main); ...

本章用一个简单的仿微信数据库的案例来过一遍Objection的一些操作，怎么快速分析和主动调用。 设备：nexus5 系统版本：Android 6.0 分析文件是一个.ab文件，.ab后缀的文件是Android系统备份文件的一个格式 解包GitHub上有解包工具可以先对其进行解包 ┌──(kali㉿kali)-[~/Documents/lesson3] └─$ java -jar abe.jar unpack 1.ab 1.tar Picked up _JAVA_OPTIONS: -Dawt.useSystemAAFontSettings=on -Dswing.aatext=true 0% 1% 2% 3% 4% 5% 6% 7% 8% 9% 10% 11% 12% 13% 14% 15% 16% 17% 18% 19% 20% 21% 22% 23% 24% 25% 26% 27% 28% 29% 30% 31% 32% 33% 34% 35% 36% 37% 38% 39% 40% 41% 42% 43% 44% 45% 46% 47% 48% 49% 50%...

在上一章搭建好了frida和objection环境，本章主要学习一下这些工具怎么使用 frida和objection工具的使用关于这两个工具的使用，可以参考roysue大佬这篇文章中的内存漫游和hook部分。 这里只补充记录一点细节： frida和objection都提供的有help frida -h # frida打开help的命令 objection --help # objection打开help的命令 检索 也可以使用cat命令检索objectin.log的文件 ──(kali㉿kali)-[~] └─$ cat .objection/objection.log | grep -i frida frida Frida Version 12.8.0 Frida Heap Size 16.9 MiB frida Frida Version 12.8.0 Frida Heap Size 16.9 MiB frida Frida Version 12.8.0 Frida Heap...

本章记录在kali上配置Frida开发和调试环境，这个环境配置真的相当麻烦，不同版本很容易碰到不兼容的问题需要多注意一下。 下面的安装流程仅限于kali 2023.3版本 安装kali虚拟机直接下载Get Kali | Kali Linux 的VMware压缩包省去安装流程 默认账号密码都是kali 打开之后先设置一下root密码、修改一下默认字体大小（kali默认的字体都太小了修改一下）, 安装的时候使用kali账户安装不要使用root账户 检查一下时间如果不对的话也修改一下sudo dpkg-reconfigure tzdata 安装配置clash这里选择安装桌面版 前两天clash删库了，回头可能还得换v2ray 下载解压到/opt/clash/目录下运行 ./cfw 有时候网络环境不好订阅地址下载失败的话，可以直接把主机的配置文件拷贝一份导入进去也行 浏览器科学上网配置：修改浏览器代理为手动 终端科学上网配置：这是临时的关闭终端就没有了 export http_proxy=http://127.0.0.1:7890 export...