Conseil de prime de bug : inscrivez-vous sur Intigriti, une plateforme de prime de bug premium créée par des pirates informatiques, pour les pirates informatiques ! Rejoignez-nous sur https://go.intigriti.com/hacktricks aujourd'hui, et commencez à gagner des primes allant jusqu'à 100 000 $ !

Introduction

objection - Exploration mobile en temps d'exécution

Objection est une boîte à outils d'exploration mobile en temps d'exécution, alimentée par Frida. Il a été construit dans le but d'aider à évaluer les applications mobiles et leur posture de sécurité sans avoir besoin d'un appareil mobile jailbreaké ou rooté.

Remarque : Il ne s'agit pas d'une forme de contournement de jailbreak / root. En utilisant objection, vous êtes toujours limité par toutes les restrictions imposées par le bac à sable applicable auquel vous êtes confronté.

Résumé

Le but d'objection est de permettre à l'utilisateur d'appeler les principales actions offertes par Frida. Sinon, l'utilisateur devra créer un script unique pour chaque application qu'il souhaite tester.

Tutoriel

Pour ce tutoriel, je vais utiliser l'APK que vous pouvez télécharger ici :

Ou depuis son dépôt d'origine (téléchargez app-release.apk)

Installation

pip3 install objection

Connexion

Établissez une connexion ADB normale et démarrez le serveur frida sur l'appareil (et vérifiez que frida fonctionne à la fois sur le client et sur le serveur).

Si vous utilisez un appareil rooté, il est nécessaire de sélectionner l'application que vous souhaitez tester à l'intérieur de l'option --gadget. dans ce cas :

frida-ps -Uai
objection --gadget asvid.github.io.fridaapp explore

Actions de base

Toutes les commandes possibles d'objections ne seront pas répertoriées dans ce tutoriel, seulement celles que j'ai trouvées les plus utiles.

Environnement

Certaines informations intéressantes (comme des mots de passe ou des chemins d'accès) pourraient être trouvées dans l'environnement.

env

Informations sur Frida

frida

Téléchargement/Téléchargement

file download <remote path> [<local path>]
file upload <local path> [<remote path>]

Importer le script frida

import <local path frida-script>

SSLPinning

Épinglage SSL

android sslpinning disable #Attempts to disable SSL Pinning on Android devices.

Détection de root

android root disable  #Attempts to disable root detection on Android devices.
android root simulate #Attempts to simulate a rooted Android environment.

Commande Exec

android shell_exec whoami

Captures d'écran

android ui screenshot /tmp/screenshot
android ui FLAG_SECURE false  #This may enable you to take screenshots using the hardware keys

Analyse statique rendue dynamique

Dans une application réelle, nous devrions connaître toutes les informations découvertes dans cette partie avant d'utiliser objection grâce à l'analyse statique. Quoi qu'il en soit, de cette manière, vous pouvez peut-être voir quelque chose de nouveau car ici vous n'aurez qu'une liste complète des classes, des méthodes et des objets exportés.

Cela est également utile si, d'une manière ou d'une autre, vous êtes incapable d'obtenir un code source lisible de l'application.

Liste des activités, des récepteurs et des services

android hooking list activities

android hooking list services
android hooking list receivers

Frida lancera une erreur si aucun n'est trouvé

Obtenir l'activité actuelle

android hooking get current_activity

Rechercher des classes

Commençons à rechercher des classes à l'intérieur de notre application

android hooking search classes asvid.github.io.fridaapp

Rechercher les méthodes d'une classe

Maintenant, extrayons les méthodes à l'intérieur de la classe MainActivity:

android hooking search methods asvid.github.io.fridaapp MainActivity

Liste des méthodes déclarées d'une classe avec leurs paramètres

Découvrons quels paramètres les méthodes de la classe nécessitent :

android hooking list class_methods asvid.github.io.fridaapp.MainActivity

Liste des classes

Vous pouvez également lister toutes les classes qui ont été chargées dans l'application actuelle :

android hooking list classes #List all loaded classes, As the target application gets usedmore, this command will return more classes.

Ceci est très utile si vous voulez accrocher la méthode d'une classe et que vous ne connaissez que le nom de la classe. Vous pouvez utiliser cette fonction pour rechercher quel module possède la classe et ensuite accrocher sa méthode.

Accrocher étant facile

Accrocher (surveiller) une méthode

À partir du code source de l'application, nous savons que la fonction sum() de MainActivity est exécutée toutes les secondes. Essayons de dumper toutes les informations possibles à chaque fois que la fonction est appelée (arguments, valeur de retour et backtrace):

android hooking watch class_method asvid.github.io.fridaapp.MainActivity.sum --dump-args --dump-backtrace --dump-return

Accrocher (observer) une classe entière

En fait, je trouve tous les méthodes de la classe MainActivity vraiment intéressantes, accrochons-les toutes. Soyez prudent, cela pourrait faire planter une application.

android hooking watch class asvid.github.io.fridaapp.MainActivity --dump-args --dump-return

Si vous jouez avec l'application pendant que la classe est accrochée, vous verrez quand chaque fonction est appelée, ses arguments et la valeur de retour.

Changer la valeur de retour booléenne d'une fonction

À partir du code source, vous pouvez voir que la fonction checkPin reçoit une String en argument et renvoie un boolean. Faisons en sorte que la fonction renvoie toujours true :

Maintenant, si vous écrivez quelque chose dans la zone de texte pour le code PIN, vous verrez que tout est valide :

Instances de classe

Recherchez et affichez les instances en direct d'une classe Java spécifique, spécifiée par un nom de classe entièrement qualifié. Out est le résultat d'une tentative d'obtention d'une valeur de chaîne pour une objection découverte qui contiendrait généralement des valeurs de propriété pour l'objet.

android heap print_instances <class>

Keystore/Intents

Vous pouvez jouer avec le keystore et les intents en utilisant :

android keystore list
android intents launch_activity
android intent launch_service

Mémoire

Extraction

memory dump all <local destination> #Dump all memory
memory dump from_base <base_address> <size_to_dump> <local_destination> #Dump a part

Liste

memory list modules

En bas de la liste, vous pouvez voir frida :

Vérifions ce que frida exporte :

Recherche/Écriture

Vous pouvez également rechercher et écrire dans la mémoire avec objection :

memory search "<pattern eg: 41 41 41 ?? 41>" (--string) (--offsets-only)
memory write "<address>" "<pattern eg: 41 41 41 41>" (--string)

SQLite

Vous pouvez utiliser la commande sqlite pour interagir avec les bases de données SQLite.

Exit

exit

Ce qui me manque dans Objection

• Les méthodes de hooking font parfois planter l'application (c'est aussi à cause de Frida).

• Vous ne pouvez pas utiliser les instances des classes pour appeler les fonctions de l'instance. Et vous ne pouvez pas créer de nouvelles instances de classes et les utiliser pour appeler des fonctions.

• Il n'y a pas de raccourci (comme celui pour sslpinnin) pour hooker toutes les méthodes de cryptographie courantes utilisées par l'application afin de voir le texte chiffré, le texte en clair, les clés, les IV et les algorithmes utilisés.

Conseil de prime de bug : inscrivez-vous sur Intigriti, une plateforme de prime de bug premium créée par des hackers, pour des hackers ! Rejoignez-nous sur https://go.intigriti.com/hacktricks aujourd'hui, et commencez à gagner des primes allant jusqu'à 100 000 $!