从零开始学习 AWS 黑客技术,成为专家 htARTE(HackTricks AWS 红队专家)!
支持 HackTricks 的其他方式:
如果您想在 HackTricks 中看到您的 公司广告 或 下载 PDF 版本的 HackTricks,请查看 订阅计划!
漏洞赏金提示:注册 Intigriti,这是一家由黑客创建的高级 漏洞赏金平台!立即加入我们,访问 https://go.intigriti.com/hacktricks,开始赚取高达 $100,000 的赏金!
介绍
objection - 运行时移动应用探索
Objection 是一个由 Frida 驱动的运行时移动应用探索工具包。它的目的是帮助评估移动应用及其安全状况,而无需越狱或 root 移动设备。
注意: 这不是某种越狱 / root 绕过。通过使用 objection,您仍然受到适用沙盒强制执行的所有限制。
简历
objection 的 目标 是让用户调用 Frida 提供的主要操作。否则,用户将需要为想要测试的每个应用程序创建一个 单独的脚本。
教程
在本教程中,我将使用您可以在此处下载的 APK:
或从其 原始存储库(下载 app-release.apk)
安装
连接
建立一个常规的ADB连接并在设备上启动frida服务器(并检查frida在客户端和服务器上的工作情况)。
如果您使用的是已root的设备,需要在_--gadget_选项中选择要测试的应用程序。在这种情况下:
frida-ps -Uai
objection --gadget asvid.github.io.fridaapp explore
基本操作
在本教程中,不会列出所有可能的objection命令,只列出我发现最有用的命令。
环境
一些有趣的信息(如密码或路径)可能会在环境中找到。
Frida 信息
上传/下载
file download <remote path> [<local path>]
file upload <local path> [<remote path>]
导入 frida 脚本
import <local path frida-script>
SSLPinning
SSL证书锁定
android sslpinning disable #Attempts to disable SSL Pinning on Android devices.
Root检测
android root disable #Attempts to disable root detection on Android devices.
android root simulate #Attempts to simulate a rooted Android environment.
执行命令
android shell_exec whoami
截图
android ui screenshot /tmp/screenshot
android ui FLAG_SECURE false #This may enable you to take screenshots using the hardware keys
将静态分析变为动态
在真实应用中,在使用objection之前,我们应该知道在这部分发现的所有信息,这要归功于静态分析。无论如何,通过这种方式,也许你可以看到一些新东西,因为在这里你只会得到一个完整的类、方法和导出对象列表。
如果以某种方式无法获取一些可读的源代码,这也是有用的。
列出活动、接收器和服务
android hooking list activities
android hooking list services
android hooking list receivers
Frida 如果找不到会启动一个错误
获取当前活动
android hooking get current_activity
搜索类
让我们开始查找应用程序中的类
android hooking search classes asvid.github.io.fridaapp
搜索类的方法
现在让我们提取_MainActivity_类中的方法:
android hooking search methods asvid.github.io.fridaapp MainActivity
列出类的声明方法及其参数
让我们找出类的方法需要哪些参数:
android hooking list class_methods asvid.github.io.fridaapp.MainActivity
列出类
您还可以列出当前应用程序中加载的所有类:
android hooking list classes #List all loaded classes, As the target application gets usedmore, this command will return more classes.
这在你想要挂钩一个类的方法,但只知道类名时非常有用。您可以使用此函数搜索拥有该类的模块,然后挂钩其方法。
挂钩变得容易
挂钩(监视)一个方法
从应用程序的源代码中,我们知道MainActivity中的函数 sum() 每秒都在运行。让我们尝试在每次调用该函数时转储所有可能的信息(参数、返回值和回溯):
android hooking watch class_method asvid.github.io.fridaapp.MainActivity.sum --dump-args --dump-backtrace --dump-return
钩住(监视)整个类
实际上,我发现 MainActivity 类的所有方法都非常有趣,让我们钩住它们全部。请注意,这可能会导致应用程序崩溃。
android hooking watch class asvid.github.io.fridaapp.MainActivity --dump-args --dump-return
如果您在挂钩类时操作应用程序,您将看到每个函数被调用时,其参数和返回值。
更改函数的布尔返回值
从源代码中可以看到,函数_checkPin_接收一个_String_作为参数,并返回一个_boolean_。让函数始终返回true:
现在,如果您在PIN码文本框中输入任何内容,您将看到任何内容都是有效的:
类实例
搜索并打印特定Java类的活动实例,由完全限定的类名指定。输出是尝试获取发现的异议的字符串值的结果,该值通常包含对象的属性值。
android heap print_instances <class>
密钥库/意图
您可以使用以下方式操作密钥库和意图:
android keystore list
android intents launch_activity
android intent launch_service
内存
转储
memory dump all <local destination> #Dump all memory
memory dump from_base <base_address> <size_to_dump> <local_destination> #Dump a part
列表
在列表底部,您可以看到 frida:
让我们来检查一下 frida 导出了什么:
搜索/写入
您还可以使用 objection 在内存中进行搜索和写入操作:
memory search "<pattern eg: 41 41 41 ?? 41>" (--string) (--offsets-only)
memory write "<address>" "<pattern eg: 41 41 41 41>" (--string)
SQLite
您可以使用命令 sqlite 与 SQLite 数据库进行交互。
退出
我在Objection中缺少的功能
钩子方法有时会导致应用程序崩溃(这也是因为Frida)。
无法使用类的实例来调用实例的函数。您也无法创建新的类实例并使用它们来调用函数。
没有快捷方式(类似于sslpinnin的方式)来钩住应用程序正在使用的所有常见加密方法,以查看加密文本、明文、密钥、IV和使用的算法。
漏洞赏金提示:注册Intigriti,这是一家由黑客创建的高级漏洞赏金平台!立即加入我们,让您的赏金高达**$100,000**!https://go.intigriti.com/hacktricks
从零开始学习AWS黑客技术,成为专家 htARTE(HackTricks AWS Red Team Expert)!
支持HackTricks的其他方式:
如果您想在HackTricks中看到您的公司广告或下载PDF格式的HackTricks,请查看订阅计划!
