Frida脚本
Frida脚本就是 利用Frida动静插桩框架,应用Frida导出的 Api和办法,对 内存空间里的对象办法 进行 监控、批改和替换的一段代码Frida的Api是用 JavaScript实现的,所以能够充分利用 JavaScript的匿名函数的劣势 以及 大量的Hook钩子函数 和 回调函数的 Api1.在手机上应用Frida-Server运行起来
查看以后运行的App
frida-ps -U
2.Hook根底
import fridaimport sys# 获取手机设施rdev = frida.get_remote_device()# 通过attach模式注入appsession = rdev.attach("com.zdwh.wwdz")scr = """function main(){ console.log('Frida script loads success.'); // Java.perform 将脚本的内容注入到Java运行库中 Java.perform(function () { // Java.user() 传入须要Hook的办法所在的类的类名(字符串类型) // 为Java类动静获取一个JavaScript Wrapper,艰深的了解为一个JavaScript对象 let b = Java.use("com.zdwh.wwdz.wwdznet.l.b"); // implementation 示意实现了b类的a办法,"=" 前面跟着匿名函数, // 通过this.a()从新执行原办法,前后能够console.log()输入解决前后的参数值 b.a.implementation = function(){ var result = this.a(); console.log(result); return result; } });}setTimeout(main, 0); // 等同于setImmediate 立刻执行"""script = session.create_script(scr)script.load()sys.stdin.read()3.Java层被动调用
强制调用一个办法去执行Java中包含静态方法、实例办法1. 静态方法,间接应用Java.use() 找到类间接调用(static 润饰的办法)2. 实例办法, 间接应用Java.choose() 在Java的堆中找到类的实例去调用办法静态方法的被动调用
Java.perform(function () { let b = Java.use("com.zdwh.wwdz.wwdznet.l.b"); b.a();});实例办法的被动调用
Java.perform(function () { Java.choose('com.zdwh.wwdz.wwdznet.l.b', { onMatch: function(instance){ console.log('找到实例:', instance); instance.a(); }, onComplete: function(){ console.log('实现实例办法的调用'); } });});
4.重载传参,以及输入Map类型数据
能够overload Java的类型参数,或者自定义的Java类型
Java.perform(function () { var b = Java.use("b.j.a.a.c.a"); b.a.overload("java.util.Map", "java.lang.String").implementation = function(map, str){ var Map = Java.use('java.util.HashMap'); var map_x = Java.cast(map, Map); send(map_x.toString()); console.log(str) return this.a(map,str); }});5.RPC调用
参考:https://bbs.pediy.com/thread-...
应用frida hook时必须通过手机操作能力调到办法,应用上面的形式能够被动调js export到处的native本地办法取得后果- jadx或者jeb反编译工具定位到native办法
- 手机端启动frida-server
编写脚本
// 被执行js脚本var result;function encrypt(str_url) { Java.perform(function fn() { console.log("begin"); Java.choose("com.mingning179.networkapi.util.JavaNdk", { onMatch: function (x) { console.log("find instance :" + x); console.log("result of fun(string) encrypt:" + str_url); result = x.encryptSrc(Java.use("java.lang.String").$new(str_url)); }, onComplete: function () { console.log("end"); } }) }); return result;}function decrypt(str_data) { Java.perform(function fn() { console.log("begin"); Java.choose("com.mingning179.networkapi.util.JavaNdk", { onMatch: function (x) { console.log("find instance :" + x); console.log("result of fun(string) decrypt:" + str_data); result = x.decryptSrc(Java.use("java.lang.String").$new(str_data)); }, onComplete: function () { console.log("end"); } }) }); return result;}rpc.exports = { decrypt: decrypt, encrypt: encrypt,};import fridaimport jsonfrom flask import Flask, jsonify, requestdef on_message(message, data): if message['type'] == 'send': print("[*] {0}".format(message['payload'])) else: print(message)js = open('test.js', 'r', encoding='utf8').read()# session = frida.get_usb_device().attach('me.ele')session = frida.get_usb_device().attach('com.wjmt.app')script = session.create_script(js)script.on('message', on_message)script.load()app = Flask(__name__)@app.route('/decrypt', methods=['POST']) # data解密def decrypt_class(): data = request.get_data() json_data = json.loads(data.decode("utf-8")) postdata = json_data.get("data") res = script.exports.decrypt(postdata) #调用Javascript导出的办法 return res@app.route('/encrypt', methods=['POST']) # url加密def encrypt_class(): data = request.get_data() json_data = json.loads(data.decode("utf-8")) postdata = json_data.get("data") print(postdata) res = script.exports.encrypt(postdata) return resif __name__ == '__main__': app.run()