Frida Tutorial 1

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks

Este é um resumo do post: https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1
APK: https://github.com/t0thkr1s/frida-demo/releases
Código Fonte: https://github.com/t0thkr1s/frida-demo

Python

Frida permite que você insira código JavaScript dentro de funções de uma aplicação em execução. Mas você pode usar python para chamar os hooks e até interagir com os hooks.

Este é um script python simples que você pode usar com todos os exemplos propostos neste tutorial:

#hooking.py
import frida, sys

with open(sys.argv[1], 'r') as f:
jscode = f.read()
process = frida.get_usb_device().attach('infosecadventures.fridademo')
script = process.create_script(jscode)
print('[ * ] Running Frida Demo application')
script.load()
sys.stdin.read()

Execute o script:

python hooking.py <hookN.js>

É útil saber como usar python com frida, mas para esses exemplos você também pode chamar diretamente Frida usando as ferramentas frida de linha de comando:

frida -U --no-pause -l hookN.js -f infosecadventures.fridademo

Hook 1 - Boolean Bypass

Aqui você pode ver como hook um método boolean (checkPin) da classe: infosecadventures.fridademo.utils.PinUtil

//hook1.js
Java.perform(function () {
console.log("[ * ] Starting implementation override...")
var MainActivity = Java.use("infosecadventures.fridademo.utils.PinUtil")
MainActivity.checkPin.implementation = function (pin) {
console.log("[ + ] PIN check successfully bypassed!")
return true
}
})

python hooking.py hook1.js

Mirar: La funcion recibe como parametro un String, no hace falta overload?

Hook 2 - Function Bruteforce

Non-Static Function

Se você quer chamar uma função não estática de uma classe, você primeiro precisa de uma instância dessa classe. Então, você pode usar essa instância para chamar a função.
Para isso, você pode encontrar uma instância existente e usá-la:

Java.perform(function () {
console.log("[ * ] Starting PIN Brute-force, please wait...")
Java.choose("infosecadventures.fridademo.utils.PinUtil", {
onMatch: function (instance) {
console.log("[ * ] Instance found in memory: " + instance)
for (var i = 1000; i < 9999; i++) {
if (instance.checkPin(i + "") == true) {
console.log("[ + ] Found correct PIN: " + i)
break
}
}
},
onComplete: function () {},
})
})

Neste caso isso não está funcionando, pois não há nenhuma instância e a função é estática

Função Estática

Se a função for estática, você pode simplesmente chamá-la:

//hook2.js
Java.perform(function () {
console.log("[ * ] Starting PIN Brute-force, please wait...")
var PinUtil = Java.use("infosecadventures.fridademo.utils.PinUtil")

for (var i = 1000; i < 9999; i++) {
if (PinUtil.checkPin(i + "") == true) {
console.log("[ + ] Found correct PIN: " + i)
}
}
})

Hook 3 - Recuperando argumentos e valor de retorno

Você pode hookar uma função e fazer com que ela print o valor dos argumentos passados e o valor de retorno:

//hook3.js
Java.perform(function () {
console.log("[ * ] Starting implementation override...")

var EncryptionUtil = Java.use(
"infosecadventures.fridademo.utils.EncryptionUtil"
)
EncryptionUtil.encrypt.implementation = function (key, value) {
console.log("Key: " + key)
console.log("Value: " + value)
var encrypted_ret = this.encrypt(key, value) //Call the original function
console.log("Encrypted value: " + encrypted_ret)
return encrypted_ret
}
})

Hooking em versões recentes do Android (14/15/16)

  • A partir de Frida 17.1.x+ Java hooking em Android 14–16 está estável novamente (os offsets do ART quick entrypoint foram corrigidos). Se Java.choose não retornar nada no Android 14+, atualize frida-server/gadget e os pacotes CLI/Python para >=17.1.5.
  • Aplicativos com verificações anti-debug precoces frequentemente encerram antes de attach. Use spawn para que os hooks sejam carregados antes de onCreate:
frida -U -f infosecadventures.fridademo -l hook1.js --no-pause

Quando existirem múltiplas sobrecargas, selecione explicitamente o alvo:

var Cls = Java.use("com.example.Class")
Cls.doThing.overload('java.lang.String', 'int').implementation = function(s, i) {
return this.doThing(s, i)
}

Injeção mais furtiva com Zygisk Gadget

Alguns apps detectam ptrace ou frida-server. Módulos Magisk/Zygisk podem carregar o frida-gadget dentro do Zygote para que nenhum processo seja ptraced:

  1. Instale um módulo Zygisk gadget (por exemplo, zygisk-gadget) e reinicie.
  2. Configure o pacote alvo e um atraso opcional para bypass nas verificações de inicialização:
adb shell "su -c 'echo infosecadventures.fridademo,5000 > /data/local/tmp/re.zyg.fri/target_packages'"
  1. Inicie o app e anexe-se ao gadget pelo nome:
frida -U -n Gadget -l hook3.js

Because the gadget is injected by Zygote, APK integrity checks stay untouched and basic ptrace/Frida string checks usually fail.

Importante

Neste tutorial você hookou métodos usando o nome do método e .implementation. Mas, se houver mais de um método com o mesmo nome, será necessário especificar o método que você deseja hookar indicando o tipo dos argumentos.

Você pode ver isso no próximo tutorial.

Referências

Tip

Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Aprenda e pratique Hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporte o HackTricks