Objection Tutorial

Bug bounty tip: sign up for Intigriti, a premium bug bounty platform created by hackers, for hackers! Join us at https://go.intigriti.com/hacktricks today, and start earning bounties up to $100,000!

Introduction

objection - Runtime Mobile Exploration

Objection είναι ένα εργαλείο εξερεύνησης κινητών σε χρόνο εκτέλεσης, που υποστηρίζεται από Frida. Δημιουργήθηκε με σκοπό να βοηθήσει στην αξιολόγηση κινητών εφαρμογών και της ασφάλειας τους χωρίς την ανάγκη για jailbroken ή rooted κινητή συσκευή.

Σημείωση: Αυτό δεν είναι κάποια μορφή jailbreak / root bypass. Χρησιμοποιώντας το objection, εξακολουθείτε να περιορίζεστε από όλους τους περιορισμούς που επιβάλλει το εφαρμοστέο sandbox που αντιμετωπίζετε.

Resume

Ο στόχος του objection είναι να επιτρέψει στον χρήστη να καλέσει τις κύριες ενέργειες που προσφέρει η Frida. Αλλιώς, ο χρήστης θα χρειαστεί να δημιουργήσει ένα μοναδικό σενάριο για κάθε εφαρμογή που θέλει να δοκιμάσει.

Tutorial

Για αυτό το tutorial θα χρησιμοποιήσω το APK που μπορείτε να κατεβάσετε εδώ:

Ή από το πρωτότυπο αποθετήριο(κατεβάστε app-release.apk)

Installation

pip3 install objection

Σύνδεση

Κάντε μια κανονική σύνδεση ADB και ξεκινήστε τον server frida στη συσκευή (και ελέγξτε ότι το frida λειτουργεί τόσο στον πελάτη όσο και στον server).

Εάν χρησιμοποιείτε μια rooted συσκευή, είναι απαραίτητο να επιλέξετε την εφαρμογή που θέλετε να δοκιμάσετε μέσα στην --gadget επιλογή. σε αυτή την περίπτωση:

frida-ps -Uai
objection --gadget asvid.github.io.fridaapp explore

Basic Actions

Δεν θα παρατίθενται όλες οι δυνατές εντολές του objections σε αυτό το tutorial, μόνο αυτές που έχω βρει πιο χρήσιμες.

Environment

Ορισμένες ενδιαφέρουσες πληροφορίες (όπως κωδικοί πρόσβασης ή διαδρομές) θα μπορούσαν να βρεθούν μέσα στο περιβάλλον.

env

Πληροφορίες για το Frida

frida

Μεταφόρτωση/Λήψη

file download <remote path> [<local path>]
file upload <local path> [<remote path>]

Εισαγωγή σε σενάριο frida

import <local path frida-script>

SSLPinning

android sslpinning disable #Attempts to disable SSL Pinning on Android devices.

Ανίχνευση ριζών

android root disable  #Attempts to disable root detection on Android devices.
android root simulate #Attempts to simulate a rooted Android environment.

Εκτέλεση Εντολής

android shell_exec whoami

Στιγμιότυπα

android ui screenshot /tmp/screenshot
android ui FLAG_SECURE false  #This may enable you to take screenshots using the hardware keys

Στατική ανάλυση που έγινε Δυναμική

Σε μια πραγματική εφαρμογή θα πρέπει να γνωρίζουμε όλες τις πληροφορίες που ανακαλύφθηκαν σε αυτό το μέρος πριν χρησιμοποιήσουμε το objection χάρη στην στατική ανάλυση. Ούτως ή άλλως, με αυτόν τον τρόπο ίσως μπορέσετε να δείτε κάτι νέο καθώς εδώ θα έχετε μόνο μια πλήρη λίστα από κλάσεις, μεθόδους και εξαγόμενα αντικείμενα.

Αυτό είναι επίσης χρήσιμο αν με κάποιον τρόπο είστε ανίκανοι να αποκτήσετε κάποιο αναγνώσιμο πηγαίο κώδικα της εφαρμογής.

Λίστα δραστηριοτήτων, παραληπτών και υπηρεσιών

android hooking list activities

android hooking list services
android hooking list receivers

Frida θα εκκινήσει ένα σφάλμα αν δεν βρεθεί κανένα

Λήψη τρέχουσας δραστηριότητας

android hooking get current_activity

Αναζήτηση Κλάσεων

Ας αρχίσουμε να ψάχνουμε για κλάσεις μέσα στην εφαρμογή μας

android hooking search classes asvid.github.io.fridaapp

Μέθοδοι Αναζήτησης μιας κλάσης

Τώρα ας εξάγουμε τις μεθόδους μέσα στην κλάση MainActivity:

android hooking search methods asvid.github.io.fridaapp MainActivity

Λίστα δηλωμένων Μεθόδων μιας κλάσης με τις παραμέτρους τους

Ας καταλάβουμε ποιες παραμέτρους χρειάζονται οι μέθοδοι της κλάσης:

android hooking list class_methods asvid.github.io.fridaapp.MainActivity

Λίστα κλάσεων

Μπορείτε επίσης να καταγράψετε όλες τις κλάσεις που φορτώθηκαν μέσα στην τρέχουσα εφαρμογή:

android hooking list classes #List all loaded classes, As the target application gets usedmore, this command will return more classes.

Αυτό είναι πολύ χρήσιμο αν θέλετε να συνδέσετε τη μέθοδο μιας κλάσης και γνωρίζετε μόνο το όνομα της κλάσης. Μπορείτε να χρησιμοποιήσετε αυτή τη λειτουργία για να αναζητήσετε ποιο module ανήκει η κλάση και στη συνέχεια να συνδέσετε τη μέθοδο της.

Η σύνδεση είναι εύκολη

Σύνδεση (παρακολούθηση) μιας μεθόδου

Από τον κώδικα πηγής της εφαρμογής γνωρίζουμε ότι η λειτουργία sum() από MainActivity εκτελείται κάθε δευτερόλεπτο. Ας προσπαθήσουμε να εκφορτώσουμε όλες τις δυνατές πληροφορίες κάθε φορά που καλείται η λειτουργία (παράμετροι, τιμή επιστροφής και backtrace):

android hooking watch class_method asvid.github.io.fridaapp.MainActivity.sum --dump-args --dump-backtrace --dump-return

Hooking (watching) an entire class

Στην πραγματικότητα, βρίσκω όλες τις μεθόδους της κλάσης MainActivity πολύ ενδιαφέρουσες, ας hook them all. Να είστε προσεκτικοί, αυτό θα μπορούσε να crash μια εφαρμογή.

android hooking watch class asvid.github.io.fridaapp.MainActivity --dump-args --dump-return

Αν παίξετε με την εφαρμογή ενώ η κλάση είναι συνδεδεμένη, θα δείτε πότε καλείται κάθε συνάρτηση, τα ορίσματα της και την τιμή επιστροφής.

Αλλαγή της boolean τιμής επιστροφής μιας συνάρτησης

Από τον πηγαίο κώδικα μπορείτε να δείτε ότι η συνάρτηση checkPin παίρνει ένα String ως όρισμα και επιστρέφει ένα boolean. Ας κάνουμε τη συνάρτηση να επιστρέφει πάντα true:

Τώρα, αν γράψετε οτιδήποτε στο πλαίσιο κειμένου για τον κωδικό PIN, θα δείτε ότι οτιδήποτε είναι έγκυρο:

Εμφανίσεις κλάσης

Αναζητήστε και εκτυπώστε ζωντανές εμφανίσεις μιας συγκεκριμένης Java κλάσης, που καθορίζεται από ένα πλήρως προσδιορισμένο όνομα κλάσης. Το αποτέλεσμα είναι η προσπάθεια να αποκτήσετε μια τιμή string για μια ανακαλυφθείσα objection, η οποία θα περιέχει συνήθως τιμές ιδιοτήτων για το αντικείμενο.

android heap print_instances <class>

Keystore/Intents

Μπορείτε να πειραματιστείτε με το keystore και τα intents χρησιμοποιώντας:

android keystore list
android intents launch_activity
android intent launch_service

Μνήμη

Dump

memory dump all <local destination> #Dump all memory
memory dump from_base <base_address> <size_to_dump> <local_destination> #Dump a part

Λίστα

memory list modules

Στο κάτω μέρος της λίστας μπορείτε να δείτε το frida:

Ας ελέγξουμε τι εξάγει το frida:

Αναζήτηση/Γράψιμο

Μπορείτε επίσης να αναζητήσετε και να γράψετε μέσα στη μνήμη με το objection:

memory search "<pattern eg: 41 41 41 ?? 41>" (--string) (--offsets-only)
memory write "<address>" "<pattern eg: 41 41 41 41>" (--string)

SQLite

Μπορείτε να χρησιμοποιήσετε την εντολή sqlite για να αλληλεπιδράσετε με βάσεις δεδομένων sqlite.

Exit

exit

Τι μου λείπει από το Objection

• Οι μέθοδοι hooking μερικές φορές καταρρέουν την εφαρμογή (αυτό οφείλεται επίσης στο Frida).

• Δεν μπορείτε να χρησιμοποιήσετε τις παρουσίες των κλάσεων για να καλέσετε συναρτήσεις της παρουσίας. Και δεν μπορείτε να δημιουργήσετε νέες παρουσίες κλάσεων και να τις χρησιμοποιήσετε για να καλέσετε συναρτήσεις.

• Δεν υπάρχει συντόμευση (όπως αυτή για το sslpinnin) για να κάνετε hook όλες τις κοινές μεθόδους κρυπτογράφησης που χρησιμοποιούνται από την εφαρμογή για να δείτε κρυπτογραφημένο κείμενο, απλό κείμενο, κλειδιά, IVs και αλγόριθμους που χρησιμοποιούνται.

Tip για bug bounty: εγγραφείτε στο Intigriti, μια premium πλατφόρμα bug bounty που δημιουργήθηκε από hackers, για hackers! Ελάτε μαζί μας στο https://go.intigriti.com/hacktricks σήμερα, και αρχίστε να κερδίζετε βραβεία έως $100,000!