Frida Tutorial 1

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기

이 글의 요약: https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1
APK: https://github.com/t0thkr1s/frida-demo/releases
소스 코드: https://github.com/t0thkr1s/frida-demo

Python

Frida는 실행 중인 애플리케이션의 함수 내부에 JavaScript code를 삽입할 수 있습니다. 그러나 python을 사용하면 해당 hooks를 호출(call)하거나 심지어 hooks와 상호작용(interact)할 수도 있습니다.

다음은 이 튜토리얼의 모든 예제와 함께 사용할 수 있는 간단한 python 스크립트입니다:

#hooking.py
import frida, sys

with open(sys.argv[1], 'r') as f:
jscode = f.read()
process = frida.get_usb_device().attach('infosecadventures.fridademo')
script = process.create_script(jscode)
print('[ * ] Running Frida Demo application')
script.load()
sys.stdin.read()

스크립트를 호출:

python hooking.py <hookN.js>

python과 frida를 함께 사용하는 방법을 아는 것은 유용하지만, 이 예제들에서는 명령줄 frida 도구를 사용해 Frida를 직접 호출할 수도 있습니다:

frida -U --no-pause -l hookN.js -f infosecadventures.fridademo

Hook 1 - Boolean Bypass

여기에서 클래스 _infosecadventures.fridademo.utils.PinUtil_의 boolean 메서드 (checkPin)를 hook하는 방법을 볼 수 있습니다

//hook1.js
Java.perform(function () {
console.log("[ * ] Starting implementation override...")
var MainActivity = Java.use("infosecadventures.fridademo.utils.PinUtil")
MainActivity.checkPin.implementation = function (pin) {
console.log("[ + ] PIN check successfully bypassed!")
return true
}
})

python hooking.py hook1.js

Mirar: La funcion recibe como parametro un String, no hace falta overload?

Hook 2 - Function Bruteforce

비정적 함수

클래스의 비정적 함수를 호출하려면 해당 클래스의 인스턴스가 먼저 필요합니다. 그런 다음 그 인스턴스를 사용해 함수를 호출할 수 있습니다.
이를 위해 기존 인스턴스를 찾아 사용하면 됩니다:

Java.perform(function () {
console.log("[ * ] Starting PIN Brute-force, please wait...")
Java.choose("infosecadventures.fridademo.utils.PinUtil", {
onMatch: function (instance) {
console.log("[ * ] Instance found in memory: " + instance)
for (var i = 1000; i < 9999; i++) {
if (instance.checkPin(i + "") == true) {
console.log("[ + ] Found correct PIN: " + i)
break
}
}
},
onComplete: function () {},
})
})

이 경우 인스턴스가 없고 함수가 정적이기 때문에 작동하지 않습니다

정적 함수

함수가 정적이면, 그냥 호출하면 됩니다:

//hook2.js
Java.perform(function () {
console.log("[ * ] Starting PIN Brute-force, please wait...")
var PinUtil = Java.use("infosecadventures.fridademo.utils.PinUtil")

for (var i = 1000; i < 9999; i++) {
if (PinUtil.checkPin(i + "") == true) {
console.log("[ + ] Found correct PIN: " + i)
}
}
})

Hook 3 - 인수와 반환값 가져오기

함수를 hook하여 printpassed arguments의 값과 return value의 값을 출력하게 할 수 있습니다:

//hook3.js
Java.perform(function () {
console.log("[ * ] Starting implementation override...")

var EncryptionUtil = Java.use(
"infosecadventures.fridademo.utils.EncryptionUtil"
)
EncryptionUtil.encrypt.implementation = function (key, value) {
console.log("Key: " + key)
console.log("Value: " + value)
var encrypted_ret = this.encrypt(key, value) //Call the original function
console.log("Encrypted value: " + encrypted_ret)
return encrypted_ret
}
})

Hooking on recent Android versions (14/15/16)

  • **Frida 17.1.x+**부터 Android 14–16에서의 Java hooking은 다시 안정화되었습니다 (ART quick entrypoint offsets가 수정되었습니다). Android 14+에서 Java.choose가 아무것도 반환하지 않으면 frida-server/gadgetCLI/Python 패키지를 >=17.1.5로 업그레이드하세요.
  • 초기 anti-debug 검사로 인해 앱이 attach 이전에 종료되는 경우가 많습니다. 후크가 onCreate 이전에 로드되도록 spawn을 사용하세요:
frida -U -f infosecadventures.fridademo -l hook1.js --no-pause
  • 오버로드가 여러 개인 경우, 대상을 명시적으로 선택하세요:
var Cls = Java.use("com.example.Class")
Cls.doThing.overload('java.lang.String', 'int').implementation = function(s, i) {
return this.doThing(s, i)
}

Zygisk Gadget로 더 은밀한 주입

어떤 앱들은 ptracefrida-server를 감지합니다. Magisk/Zygisk 모듈은 Zygote 내부에 frida-gadget을 로드할 수 있어 어떤 프로세스도 ptrace되지 않습니다:

  1. Zygisk gadget 모듈(예: zygisk-gadget)을 설치하고 재부팅합니다.
  2. 시작 시 검사를 우회하기 위해 대상 패키지와 선택적 지연 시간을 구성합니다:
adb shell "su -c 'echo infosecadventures.fridademo,5000 > /data/local/tmp/re.zyg.fri/target_packages'"
  1. 앱을 실행하고 gadget name에 attach합니다:
frida -U -n Gadget -l hook3.js

gadget이 Zygote에 의해 주입되기 때문에, APK integrity checks는 그대로 유지되며 기본적인 ptrace/Frida string checks는 보통 실패합니다.

중요

이 튜토리얼에서는 메서드 이름과 _.implementation_을 사용하여 메서드를 후킹했습니다. 그러나 동일한 이름을 가진 메서드가 둘 이상 있는 경우, 후킹하려는 메서드를 지정해야 하며, 그때 인수의 타입을 명시해야 합니다.

You can see that in the next tutorial.

참고자료

Tip

AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE)
GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE) Azure 해킹 배우기 및 연습하기: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks 지원하기