共计 3378 个字符,预计需要花费 9 分钟才能阅读完成。
Frida 脚本
Frida 脚本就是 利用 Frida 动静插桩框架,应用 Frida 导出的 Api 和办法,对 内存空间里的对象办法 进行 监控、批改和替换
的一段代码
Frida 的 Api 是用 JavaScript 实现的,所以能够充分利用 JavaScript 的匿名函数的劣势 以及 大量的 Hook 钩子函数 和 回调函数的 Api-
1. 在手机上应用 Frida-Server 运行起来
-
查看以后运行的 App
frida-ps -U
-
-
2.Hook 根底
import frida import sys # 获取手机设施 rdev = frida.get_remote_device() # 通过 attach 模式注入 app session = rdev.attach("com.zdwh.wwdz") scr = """ function main(){console.log('Frida script loads success.'); // Java.perform 将脚本的内容注入到 Java 运行库中 Java.perform(function () {// Java.user() 传入须要 Hook 的办法所在的类的类名(字符串类型)// 为 Java 类动静获取一个 JavaScript Wrapper,艰深的了解为一个 JavaScript 对象 let b = Java.use("com.zdwh.wwdz.wwdznet.l.b"); // implementation 示意实现了 b 类的 a 办法,"=" 前面跟着匿名函数,// 通过 this.a() 从新执行原办法,前后能够 console.log() 输入解决前后的参数值 b.a.implementation = function(){var result = this.a(); console.log(result); return result; } }); } setTimeout(main, 0); // 等同于 setImmediate 立刻执行 """ script = session.create_script(scr) script.load() sys.stdin.read() -
3.Java 层被动调用
强制调用一个办法去执行 Java 中包含静态方法、实例办法 1. 静态方法,间接应用 Java.use() 找到类间接调用 (static 润饰的办法) 2. 实例办法,间接应用 Java.choose() 在 Java 的堆中找到类的实例去调用办法-
静态方法的被动调用
Java.perform(function () {let b = Java.use("com.zdwh.wwdz.wwdznet.l.b"); b.a();}); -
实例办法的被动调用
Java.perform(function () { Java.choose('com.zdwh.wwdz.wwdznet.l.b', {onMatch: function(instance){console.log('找到实例:', instance); instance.a();}, onComplete: function(){console.log('实现实例办法的调用'); } }); });
-
-
4. 重载传参,以及输入 Map 类型数据
能够 overload Java 的类型参数,或者自定义的 Java 类型
Java.perform(function () {var b = Java.use("b.j.a.a.c.a"); b.a.overload("java.util.Map", "java.lang.String").implementation = function(map, str){var Map = Java.use('java.util.HashMap'); var map_x = Java.cast(map, Map); send(map_x.toString()); console.log(str) return this.a(map,str); } }); -
5.RPC 调用
参考:https://bbs.pediy.com/thread-…
应用 frida hook 时必须通过手机操作能力调到办法,应用上面的形式能够被动调 js export 到处的 native 本地办法取得后果- jadx 或者 jeb 反编译工具定位到 native 办法
- 手机端启动 frida-server
-
编写脚本
// 被执行 js 脚本 var result; function encrypt(str_url) {Java.perform(function fn() {console.log("begin"); Java.choose("com.mingning179.networkapi.util.JavaNdk", {onMatch: function (x) {console.log("find instance :" + x); console.log("result of fun(string) encrypt:" + str_url); result = x.encryptSrc(Java.use("java.lang.String").$new(str_url)); }, onComplete: function () {console.log("end"); } }) }); return result; } function decrypt(str_data) {Java.perform(function fn() {console.log("begin"); Java.choose("com.mingning179.networkapi.util.JavaNdk", {onMatch: function (x) {console.log("find instance :" + x); console.log("result of fun(string) decrypt:" + str_data); result = x.decryptSrc(Java.use("java.lang.String").$new(str_data)); }, onComplete: function () {console.log("end"); } }) }); return result; } rpc.exports = { decrypt: decrypt, encrypt: encrypt, };import frida import json from flask import Flask, jsonify, request def on_message(message, data): if message['type'] == 'send': print("[*] {0}".format(message['payload'])) else: print(message) js = open('test.js', 'r', encoding='utf8').read() # session = frida.get_usb_device().attach('me.ele') session = frida.get_usb_device().attach('com.wjmt.app') script = session.create_script(js) script.on('message', on_message) script.load() app = Flask(__name__) @app.route('/decrypt', methods=['POST']) # data 解密 def decrypt_class(): data = request.get_data() json_data = json.loads(data.decode("utf-8")) postdata = json_data.get("data") res = script.exports.decrypt(postdata) #调用 Javascript 导出的办法 return res @app.route('/encrypt', methods=['POST']) # url 加密 def encrypt_class(): data = request.get_data() json_data = json.loads(data.decode("utf-8")) postdata = json_data.get("data") print(postdata) res = script.exports.encrypt(postdata) return res if __name__ == '__main__': app.run()
正文完
