Frida Samouczek 1

Tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks

To jest streszczenie posta: https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1
APK: https://github.com/t0thkr1s/frida-demo/releases
Kod źródłowy: https://github.com/t0thkr1s/frida-demo

Python

Frida pozwala na insert JavaScript code inside functions of a running application. But you can use python to call the hooks and even to interact with the hooks.

This is a easy python script that you can use with all the proposed examples in this tutorial:

#hooking.py
import frida, sys

with open(sys.argv[1], 'r') as f:
jscode = f.read()
process = frida.get_usb_device().attach('infosecadventures.fridademo')
script = process.create_script(jscode)
print('[ * ] Running Frida Demo application')
script.load()
sys.stdin.read()

Wywołaj skrypt:

python hooking.py <hookN.js>

Warto wiedzieć, jak używać python z frida, ale w tych przykładach możesz też wywołać bezpośrednio Frida za pomocą narzędzi frida w linii poleceń:

frida -U --no-pause -l hookN.js -f infosecadventures.fridademo

Hook 1 - Boolean Bypass

Tutaj możesz zobaczyć, jak hook metodę typu boolean (checkPin) z klasy: infosecadventures.fridademo.utils.PinUtil

//hook1.js
Java.perform(function () {
console.log("[ * ] Starting implementation override...")
var MainActivity = Java.use("infosecadventures.fridademo.utils.PinUtil")
MainActivity.checkPin.implementation = function (pin) {
console.log("[ + ] PIN check successfully bypassed!")
return true
}
})

python hooking.py hook1.js

Mirar: La funcion recibe como parametro un String, no hace falta overload?

Hook 2 - Function Brutefforce

Non-Static Function

Jeśli chcesz wywołać niestatyczną funkcję klasy, musisz najpierw mieć instancję tej klasy. Następnie możesz użyć tej instancji, aby wywołać funkcję.
Aby to zrobić, możesz znaleźć istniejącą instancję i jej użyć:

Java.perform(function () {
console.log("[ * ] Starting PIN Brute-force, please wait...")
Java.choose("infosecadventures.fridademo.utils.PinUtil", {
onMatch: function (instance) {
console.log("[ * ] Instance found in memory: " + instance)
for (var i = 1000; i < 9999; i++) {
if (instance.checkPin(i + "") == true) {
console.log("[ + ] Found correct PIN: " + i)
break
}
}
},
onComplete: function () {},
})
})

W tym przypadku to nie działa, ponieważ nie ma żadnej instancji, a funkcja jest Static

Static Function

Jeśli funkcja jest Static, możesz ją po prostu wywołać:

//hook2.js
Java.perform(function () {
console.log("[ * ] Starting PIN Brute-force, please wait...")
var PinUtil = Java.use("infosecadventures.fridademo.utils.PinUtil")

for (var i = 1000; i < 9999; i++) {
if (PinUtil.checkPin(i + "") == true) {
console.log("[ + ] Found correct PIN: " + i)
}
}
})

Hook 3 - Retrieving arguments and return value

Możesz zahaczyć funkcję i sprawić, aby wypisała wartości przekazanych argumentów oraz wartość zwracaną:

//hook3.js
Java.perform(function () {
console.log("[ * ] Starting implementation override...")

var EncryptionUtil = Java.use(
"infosecadventures.fridademo.utils.EncryptionUtil"
)
EncryptionUtil.encrypt.implementation = function (key, value) {
console.log("Key: " + key)
console.log("Value: " + value)
var encrypted_ret = this.encrypt(key, value) //Call the original function
console.log("Encrypted value: " + encrypted_ret)
return encrypted_ret
}
})

Hooking na najnowszych wersjach Androida (14/15/16)

  • Od Frida 17.1.x+ Java hooking na Androidzie 14–16 jest znowu stabilny (naprawiono offsety szybkiego punktu wejścia ART). Jeśli Java.choose nic nie zwraca na Androidzie 14+, zaktualizuj frida-server/gadget oraz pakiety CLI/Python do >=17.1.5.
  • Aplikacje z wczesnymi kontrolami anti-debug często kończą działanie przed attach. Użyj spawn, żeby hooki załadowały się przed onCreate:
frida -U -f infosecadventures.fridademo -l hook1.js --no-pause
  • Gdy istnieje wiele przeciążeń, wyraźnie wybierz docelową metodę:
var Cls = Java.use("com.example.Class")
Cls.doThing.overload('java.lang.String', 'int').implementation = function(s, i) {
return this.doThing(s, i)
}

Mniej wykrywalne wstrzyknięcie z Zygisk Gadget

Niektóre aplikacje wykrywają ptrace lub frida-server. Moduły Magisk/Zygisk mogą załadować frida-gadget wewnątrz Zygote, dzięki czemu żaden proces nie jest śledzony przy użyciu ptrace:

  1. Zainstaluj moduł Zygisk gadget (np. zygisk-gadget) i uruchom ponownie.
  2. Skonfiguruj docelowy pakiet i opcjonalne opóźnienie, aby obejść kontrole uruchamiania:
adb shell "su -c 'echo infosecadventures.fridademo,5000 > /data/local/tmp/re.zyg.fri/target_packages'"
  1. Uruchom aplikację i dołącz do gadgeta o nazwie:
frida -U -n Gadget -l hook3.js

Because the gadget is injected by Zygote, APK integrity checks stay untouched and basic ptrace/Frida string checks usually fail.

Ważne

W tym tutorialu zaczepiłeś metody używając nazwy metody i .implementation. Ale jeśli było więcej niż jedna metoda o tej samej nazwie, będziesz musiał określić metodę którą chcesz zaczepić wskazując typ argumentów.

Zobaczysz to w następnym tutorialu.

Referencje

Tip

Ucz się i ćwicz Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się i ćwicz Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Ucz się i ćwicz Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Wsparcie dla HackTricks