Frida 之 Java层Hook

2020-10-14  本文已影响0人  Sharkchilli

前言

Frida是个轻量级别的hook框架,是Python API,但JavaScript调试逻辑,它既可以hook java层也可以hook native层

Frida的核心是用C编写的,并将Google的V8引擎注入到目标进程中,在这些进程中,JS可以完全访问内存,挂钩函数甚至调用进程内的本机函数来执行。

使用Python和JS可以使用无风险的API进行快速开发。Frida可以帮助您轻松捕获JS中的错误并为您提供异常而不是崩溃。

环境

Android4.4.4
Nexus5手机(ARM)
frida12.11.18
python3.6

安装

首先使用pip安装frida和frida-tools模块

pip install frida
pip install frida-tools

我这里使用PyCharm安装

image.png
下载frida-server,官方下载地址https://github.com/frida/frida/releases,这里注意下载的版本应该和上面安装的frida版本一致。
在adb shell中查看cpu的架构
getprop ro.product.cpu.abi
image.png

所以我们下载这个版本


image.png

下载后解压重命名为frida-server 并push到手机上。
进入root权限,给其权限并运行,手机会重启


image.png
image.png

然后把端口转发到PC端:

adb forward tcp:27042 tcp:27042

adb forward tcp:27043 tcp:27043

到这里我们就把通信的手机端工作做完了

java层Hook

我们要做事情
1.hook类的普通方法
2.hook类的构造方法
3.构造和修改自定义类型对象和属性

先写一个目标app

image.png
添加SharkUtils和Student两个类
SharkUtils.java
package com.shark.fridatarget;

public class SharkUtils {
    public static String getPwd(String info) {
        return info + "shark";
    }

    public static String getPwd() {
        return "shark";
    }

    public static Student getStu() {
        return new Student("fujie", 100);
    }

    public static int getStuScore(Student student) {
        return student.getScore();
    }
}

Student.java

package com.shark.fridatarget;

public class Student {

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getScore() {
        return score;
    }

    public void setScore(int score) {
        this.score = score;
    }

    public String name;
    public int score;

    public Student(String name, int score) {
        this.name = name;
        this.score = score;
    }


}

MainActivity.java

package com.shark.fridatarget;

import androidx.appcompat.app.AppCompatActivity;

import android.os.Bundle;
import android.widget.TextView;

public class MainActivity extends AppCompatActivity {

    TextView textView;
    TextView textView2;
    TextView textView3;
    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);

        textView = findViewById(R.id.test);
        Student student = SharkUtils.getStu();
        textView.setText("姓名:" + student.getName() + "------分数:" + student.getScore());

        textView2 = findViewById(R.id.test2);
        textView2.setText("password:"+SharkUtils.getPwd("123456"));

        textView3 = findViewById(R.id.test3);
        textView3.setText("getStuScore:"+SharkUtils.getStuScore(student));

    }
}

app就是调用SharkUtils的方法,然后将返回的信息输出到控件上
运行如下


image.png

现在就来编写Hook代码

import frida  # 导入frida模块
import sys  # 导入sys模块

jscode = """  //从此处开始定义用来Hook的javascript代码
    Java.perform(function(){  
        var student = Java.use('com.shark.fridatarget.Student'); //获得Student类
        var sharkUtils = Java.use('com.shark.fridatarget.SharkUtils'); //获得SharkUtils类
        var clazz = Java.use('java.lang.Class'); //获得Class类
         //Hook普通方法
        sharkUtils.getPwd.overload("java.lang.String").implementation = function(info){ 
            //方式一获取参数
            send("getPwd1:"+info);
            //方式二获取参数
            send("getPwd2:"+arguments[0]);
            return this.getPwd("shark"); //劫持返回值,修改为我们想要返回的字符串
        }
        
        //Hook Student的构造函数$init,用js自己实现
        student.$init.overload("java.lang.String","int").implementation = function(name,score){ 
            send('Statr! Hook!'); //发送信息,用于回调python中的函数
            return this.$init("shark",99); //调用原来的初始化方法
        }
       
       //构造和修改自定义类型对象和属性
       sharkUtils.getStuScore.overload("com.shark.fridatarget.Student").implementation = function(student){ 
            send('student:'+student); 
            
            //使用方法得到属性
            var score = student.getScore();
            send('student score:'+score); 
            //直接得到属性
            var score2 = student.score;
            send('student score2:'+score); 

             //构造一个新的student对象
            var new_stu = student.$new("shark chilli",55);

            //将com.shark.fridatarget.Student转化java.lang.Class
            var scorc_field = Java.cast(student.getClass(),clazz).getDeclaredField("score");
            //这里就是普通的反射了
            scorc_field.setAccessible(true);
            send('reflect scorc_field:'+scorc_field.get(student)); 
            scorc_field.setInt(student,999);
            return student.getScore(); 
        }
    });
"""

def on_message(message, data):  # js中执行send函数后要回调的函数
    print(message)

# 得到设备并劫持进程com.shark.fridatarget(
 # 该开始用get_usb_device函数用来获取设备,但是一直报错找不到设备,改用get_remote_device函数即可解决这个问题)
process = frida.get_remote_device().attach('com.shark.fridatarget')

script = process.create_script(jscode)  # 创建js脚本
script.on('message', on_message)  # 加载回调函数,也就是js中执行send函数规定要执行的python函数
script.load()  # 加载脚本
sys.stdin.read()
image.png

这段代码就是hook的整体逻辑使用get_remote_device来获取到设备,然后调用attach附加到app上,所以这里必须要在手机上打开这个应用。否则会找不到。然后创建js脚本,加载回调函数就是我们自己定义的on_message函数,这样js中调用send就调用了我们的on_message函数了。下面就是加载脚本了。

 Java.perform(function(){ 
  ...
 });

我们的hook逻辑都写在上面的js代码中

image.png
使用Java.use获得类的类型
image.png
Hook普通方法,直接使用要hook的方法名,overload是确认方法重载的。
上面看到想要获得参数有两种方式,一是在方法上定义参数名即可。二是通过隐含的arguments变量获取。
this指针就是被hook的对象,想要修改返回值可以直接使用return
image.png
Hook构造方法东西其实都一样,就是调用构造方法的时候使用$init image.png

构造和修改自定义类型对象和属性,想new一个类的实例使用的是$new。其他的代码和java中的反射大同小异。注意一下的是要使用反射操作这个student实例前需要使用cast转化成java.lang.Class

运行

image.png

引用

Frida hook入门
Android逆向之旅—Hook神器家族的Frida工具使用详解
frida入门总结

上一篇下一篇

猜你喜欢

热点阅读