Frida tutorijal 1

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Ovo je rezime posta: https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1
APK: https://github.com/t0thkr1s/frida-demo/releases
Izvorni kod: https://github.com/t0thkr1s/frida-demo

Python

Frida vam omogućava da insert JavaScript code unutar funkcija pokrenute aplikacije. Ali možete koristiti python da pozovete hooks i čak da interagujete sa hooks.

Ovo je jednostavan python skript koji možete koristiti sa svim predloženim primerima u ovom tutorijalu:

#hooking.py
import frida, sys

with open(sys.argv[1], 'r') as f:
jscode = f.read()
process = frida.get_usb_device().attach('infosecadventures.fridademo')
script = process.create_script(jscode)
print('[ * ] Running Frida Demo application')
script.load()
sys.stdin.read()

Pozovi skriptu:

python hooking.py <hookN.js>

Korisno je znati kako koristiti python sa frida, ali za ove primere možete takođe direktno pozvati Frida koristeći frida alate iz komandne linije:

frida -U --no-pause -l hookN.js -f infosecadventures.fridademo

Hook 1 - Boolean Bypass

Ovde možete videti kako da hook boolean metodu (checkPin) iz klase: infosecadventures.fridademo.utils.PinUtil

//hook1.js
Java.perform(function () {
console.log("[ * ] Starting implementation override...")
var MainActivity = Java.use("infosecadventures.fridademo.utils.PinUtil")
MainActivity.checkPin.implementation = function (pin) {
console.log("[ + ] PIN check successfully bypassed!")
return true
}
})

python hooking.py hook1.js

Pogledaj: Funkcija prima kao parametar String, nije li potreban overload?

Hook 2 - Function Bruteforce

Ne-statička funkcija

Ako želite da pozovete ne-statičku funkciju klase, prvo vam treba instanca te klase. Zatim možete koristiti tu instancu da pozovete funkciju.
Da biste to uradili, možete pronaći neku postojeću instancu i koristiti je:

Java.perform(function () {
console.log("[ * ] Starting PIN Brute-force, please wait...")
Java.choose("infosecadventures.fridademo.utils.PinUtil", {
onMatch: function (instance) {
console.log("[ * ] Instance found in memory: " + instance)
for (var i = 1000; i < 9999; i++) {
if (instance.checkPin(i + "") == true) {
console.log("[ + ] Found correct PIN: " + i)
break
}
}
},
onComplete: function () {},
})
})

U ovom slučaju to ne radi jer ne postoji nijedna instanca i funkcija je statička

Statička funkcija

Ako je funkcija statička, možete je jednostavno pozvati:

//hook2.js
Java.perform(function () {
console.log("[ * ] Starting PIN Brute-force, please wait...")
var PinUtil = Java.use("infosecadventures.fridademo.utils.PinUtil")

for (var i = 1000; i < 9999; i++) {
if (PinUtil.checkPin(i + "") == true) {
console.log("[ + ] Found correct PIN: " + i)
}
}
})

Hook 3 - Dohvatanje argumenata i povratne vrednosti

Možete da hook-ujete funkciju i naterate je da print vrednosti prosleđenih argumenata i povratne vrednosti:

//hook3.js
Java.perform(function () {
console.log("[ * ] Starting implementation override...")

var EncryptionUtil = Java.use(
"infosecadventures.fridademo.utils.EncryptionUtil"
)
EncryptionUtil.encrypt.implementation = function (key, value) {
console.log("Key: " + key)
console.log("Value: " + value)
var encrypted_ret = this.encrypt(key, value) //Call the original function
console.log("Encrypted value: " + encrypted_ret)
return encrypted_ret
}
})

Hooking na novijim verzijama Androida (14/15/16)

  • Od Frida 17.1.x+ Java hooking na Androidu 14–16 ponovo je stabilan (ART quick entrypoint offsets su ispravljeni). Ako Java.choose ne vraća ništa na Androidu 14+, ažurirajte frida-server/gadget i CLI/Python pakete na >=17.1.5.
  • Aplikacije sa ranim anti-debug proverama često se ugase pre attach. Koristite spawn tako da se hooks učitaju pre onCreate:
frida -U -f infosecadventures.fridademo -l hook1.js --no-pause
  • Kada postoji više preopterećenja, eksplicitno odaberite cilj:
var Cls = Java.use("com.example.Class")
Cls.doThing.overload('java.lang.String', 'int').implementation = function(s, i) {
return this.doThing(s, i)
}

Diskretnija injection sa Zygisk Gadget

Neke aplikacije detektuju ptrace ili frida-server. Magisk/Zygisk moduli mogu učitati frida-gadget unutar Zygote tako da nijedan proces nije ptraced:

  1. Instalirajte Zygisk gadget modul (npr., zygisk-gadget) i restartujte uređaj.
  2. Konfigurišite ciljani paket i opciono kašnjenje da biste zaobišli provere pri pokretanju:
adb shell "su -c 'echo infosecadventures.fridademo,5000 > /data/local/tmp/re.zyg.fri/target_packages'"
  1. Pokrenite aplikaciju i prikačite se na gadget po imenu:
frida -U -n Gadget -l hook3.js

Pošto je gadget ubačen od strane Zygote-a, provere integriteta APK ostaju netaknute i osnovne ptrace/Frida provere stringova obično ne uspevaju.

Važno

U ovom tutorijalu ste hookovali metode koristeći ime metode i .implementation. Ali ako postoji više od jedne metode sa istim imenom, moraćete da specifikujete metodu koju želite da hookujete navodeći tip argumenata.

To možete videti u sledećem tutorijalu.

Reference

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks