Підручник Frida 1

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks

Це короткий виклад статті: https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1
APK: https://github.com/t0thkr1s/frida-demo/releases
Вихідний код: https://github.com/t0thkr1s/frida-demo

Python

Frida дозволяє вам insert JavaScript code всередині функцій запущеного застосунку. Але ви можете використовувати python щоб call hooks і навіть interact з hooks.

Нижче наведено простий скрипт на python, який ви можете використовувати з усіма прикладами, запропонованими в цьому підручнику:

#hooking.py
import frida, sys

with open(sys.argv[1], 'r') as f:
jscode = f.read()
process = frida.get_usb_device().attach('infosecadventures.fridademo')
script = process.create_script(jscode)
print('[ * ] Running Frida Demo application')
script.load()
sys.stdin.read()

Викличте скрипт:

python hooking.py <hookN.js>

Корисно знати, як використовувати python з frida, але для цих прикладів ви також можете викликати безпосередньо Frida, використовуючи command line frida tools:

frida -U --no-pause -l hookN.js -f infosecadventures.fridademo

Hook 1 - Boolean Bypass

Тут ви можете побачити, як hook boolean метод (checkPin) з класу: infosecadventures.fridademo.utils.PinUtil

//hook1.js
Java.perform(function () {
console.log("[ * ] Starting implementation override...")
var MainActivity = Java.use("infosecadventures.fridademo.utils.PinUtil")
MainActivity.checkPin.implementation = function (pin) {
console.log("[ + ] PIN check successfully bypassed!")
return true
}
})

python hooking.py hook1.js

Mirar: La funcion recibe como parametro un String, no hace falta overload?

Hook 2 - Function Bruteforce

Non-Static Function

Якщо ви хочете викликати non-static function класу, вам спочатку потрібен instance цього класу. Потім ви можете використовувати цей instance для виклику функції.
Щоб це зробити, ви можете знайти існуючий instance і використовувати його:

Java.perform(function () {
console.log("[ * ] Starting PIN Brute-force, please wait...")
Java.choose("infosecadventures.fridademo.utils.PinUtil", {
onMatch: function (instance) {
console.log("[ * ] Instance found in memory: " + instance)
for (var i = 1000; i < 9999; i++) {
if (instance.checkPin(i + "") == true) {
console.log("[ + ] Found correct PIN: " + i)
break
}
}
},
onComplete: function () {},
})
})

У цьому випадку це не працює, оскільки немає екземпляра, а функція є статичною

Статична функція

Якщо функція статична, ви можете просто викликати її:

//hook2.js
Java.perform(function () {
console.log("[ * ] Starting PIN Brute-force, please wait...")
var PinUtil = Java.use("infosecadventures.fridademo.utils.PinUtil")

for (var i = 1000; i < 9999; i++) {
if (PinUtil.checkPin(i + "") == true) {
console.log("[ + ] Found correct PIN: " + i)
}
}
})

Hook 3 - Отримання аргументів та значення, що повертається

Ви можете захукувати функцію і змусити її print значення переданих аргументів та значення, що повертається:

//hook3.js
Java.perform(function () {
console.log("[ * ] Starting implementation override...")

var EncryptionUtil = Java.use(
"infosecadventures.fridademo.utils.EncryptionUtil"
)
EncryptionUtil.encrypt.implementation = function (key, value) {
console.log("Key: " + key)
console.log("Value: " + value)
var encrypted_ret = this.encrypt(key, value) //Call the original function
console.log("Encrypted value: " + encrypted_ret)
return encrypted_ret
}
})

Hooking on recent Android versions (14/15/16)

  • З Frida 17.1.x+ Java hooking на Android 14–16 знову працює стабільно (ART quick entrypoint offsets було виправлено). Якщо Java.choose не повертає нічого на Android 14+, оновіть frida-server/gadget та пакети CLI/Python до >=17.1.5.
  • Додатки з ранніми перевірками anti-debug часто завершуються до attach. Використовуйте spawn, щоб hooks завантажилися до onCreate:
frida -U -f infosecadventures.fridademo -l hook1.js --no-pause
  • Коли існує кілька перевантажень, вкажіть ціль явно:
var Cls = Java.use("com.example.Class")
Cls.doThing.overload('java.lang.String', 'int').implementation = function(s, i) {
return this.doThing(s, i)
}

Більш прихована ін’єкція за допомогою Zygisk Gadget

Деякі додатки виявляють ptrace або frida-server. Модулі Magisk/Zygisk можуть завантажувати frida-gadget всередині Zygote, тому жоден процес не ptraced:

  1. Встановіть модуль Zygisk gadget (наприклад, zygisk-gadget) та перезавантажте.
  2. Налаштуйте цільовий пакет і необов’язкову затримку, щоб обійти перевірки при запуску:
adb shell "su -c 'echo infosecadventures.fridademo,5000 > /data/local/tmp/re.zyg.fri/target_packages'"
  1. Запустіть додаток і підключіться до gadget з іменем:
frida -U -n Gadget -l hook3.js

Оскільки the gadget інжектується Zygote, перевірки цілісності APK залишаються недоторканими, і базові ptrace/Frida string checks зазвичай не проходять.

Важливо

У цьому туторіалі ви hooked методи, використовуючи ім’я методу та .implementation. Але якщо існувало більше ніж один метод з тим самим ім’ям, вам потрібно буде вказати метод, який ви хочете перехопити, вказавши тип аргументів.

You can see that in the next tutorial.

Джерела

Tip

Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Вивчайте та практикуйте Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Підтримайте HackTricks