Android-1

REVERSE

不该点开那一篇推文。

腾讯玄武实验室一篇关于ARM 的文章:ARM64 Reversing And Exploitation Part 7 – Bypassing ASLR and NX - 8kSec

看了这篇文章,突然想学一学安卓安全相关的内容

Android 环境搭建

SDK

在windows 和 Linux 下搭建。比较简单的方式:使用Android Studio

  1. 下载 Java,配置环境变量。

Linux 使用包管理器进行安装

1
2
# linux
sudo apt install openjdk-17-jdk

windows 下在oracle下载 Java Downloads | Oracle,然后配置

  1. 下载android studio,使用JetBrains Toolbox
  2. 下载 Android SDK,Android studio 打开后如果没有sdk会自行下载,但是有墙,不一定会下载成功,但是总有解决问题的方法(
  3. path: 下载sdk后,将 xxx\platform-tools 加入环境变量,就可以使用adb。翻翻下载的目录,可能有其余有趣的工具,比如qemu

运行apk

  1. 模拟器

安装 WSL2 后导致大部分模拟器不能使用,可以安装WSA(WSA在2024年3月宣布停止支持),但是万一存在 恶意软件 就会很难搞

BlueStacks安卓模拟器,配置后,以管理员运行,不会失败

但是现在存在对应的选项,只需要在设置里面勾选一下就行。

  1. root 真机,这个才是最好的方法。但是买不起
  • 推荐,因为有的不给出x86的lib库
  • 可以在平台买个二手的手机(x鱼,pixel

逆向工具

反编译

hook

抓包

APK结构

  • APK, 本质上是一个zip文件,我们可以修改文件后缀然后解压。

assert

用于存放需要打包到APK中的静态文件

assets目录支持任意深度的子目录,用户可以根据自己的需求任意部署文件夹架构。

META-INF

存放的是签名信息,用来保证apk包的完整性和系统的安全。

在编译生成一个apk包时,会对所有要打包的文件做一个校验计算,并把计算结果放在META-INF目录下。在安装时,如果校验结果与META-INF下的内容不一致,系统就不会安装这个apk。从而保证了apk包里的文件不能被随意替换。

META-INF目录下包含的文件有CERT.RSA,CERT.DSA,CERT.SF和MANIFEST.MF

  • CERT.RSA:是开发者利用私钥对APK进行签名的签名文件
  • CERT.SF,MANIFEST.MF:记录了文件中文件的哈希值

lib

这里存放应用程序依赖的native库文件,一般是用C/C++编写,这里的lib库可能包含多种不同类型,大体可以分为ARM,X86等架构。

res

res是resource的缩写,这个目录存放资源文件,存在这个文件夹下的所有文件都会映射到Android工程的.R文件中,生成对应的ID,访问的时候直接使用资源ID即R.id.filename,res文件夹下可以包含多个文件夹。

res文件夹,存放的也是资源文件,与assets文件夹不同的是,这里是编译后的资源文件。

AndroidManifest.xml

是Android应用程序的配置文件,是一个用来描述Android应用“整体资讯”的设定文件, Android系统可以根据这个自我介绍完整地了解APK应用程序的资讯,每个Android应用程序都必须包含一个AndroidManifest.xml文件,且它的名字是固定的,不能修改。我们在开发Android应用程序的时候,一般都把代码中的每一个Activity,Service,Provider和Receiver在AndroidManifest.xml中注册,只有这样系统才能启动对应的组件,另外这个文件还包含一些权限声明以及使用的SDK版本信息等等。程序打包时,会把AndroidManifest.xml进行简单的编译,便于Android系统识别,编译之后的格式是AXML格式

classes.dex

传统的Java程序,首先先把Java文件编译成class文件,字节码都保存在了class文件中,Java虚拟机可以通过解释执行这些class文件。

而Dalvik虚拟机是在Java虚拟机进行了优化,执行的是Dalvik字节码,而这些Dalvik字节码是由Java字节码转换而来,一般情况下,Android应用在打包时通过AndroidSDK中的dx工具将Java字节码转换为Dalvik字节码。dx工具可以对多个class文件进行合并,重组,优化,可以达到减小体积,缩短运行时间的目的。

dx工具把每个.class文件的每个区域的内容进行去重,重组,优化重排后生成dex文件,生成的dex文件可以在Dalvik虚拟机执行,且速度比较快

resources.arsc

用来记录资源文件和资源ID之间的映射关系,用来根据资源ID寻找资源。Android的开发是分模块的,res目录专门用来存放资源文件,当在代码中需要调用资源文件时,只需要调用findviewbyId()就可以得到资源文件,每当在res文件夹下放一个文件,aapt就会自动生成对应的ID保存在.R文件,我们调用这个ID就可以,但是只有这个ID还不够,.R文件只是保证编译程序不报错,实际上在程序运行时,系统要根据ID去寻找对应的资源路径,而resources.arsc文件就是用来记录这些ID和资源文件位置对应关系的文件。

kotlin

kotlin 是一门编程语言,也可以直接运行在Java虚拟机中,这个目录存放kotlin资源

adb 简单使用

  • 将文件放入android机器里
1
adb push xxx /data/local/tmp
  • 安装应用
1
adb install apk.apk
  • 卸载
1
adb uninstall com.xxx.xxx
  • 获得shell
1
2
3
4
adb connect <ip>:<port>
adb shell
# exit
adb disconnect <ip>:<port>
  • 启动指定的activity
1
am start -n <package>/<activity>

frida 简单使用

  • python 的 frida-tools 和 手机端的 server 必须保持一致的版本, 可以使用python venv

  • CPU 信息

1
adb shell getprop ro.product.cpu.abi
  • 指向hook 脚本
1
frida -U -l hook.js -f com.package.name --no-pause
  • 使用python 执行
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
import frida

device = frida.get_usb_device()
# frida-ps -Ua 获得一个pid号
process = device.attach(8189)

path = "hook.js"

# send js
with open(path, encoding="UTF-8") as f:
    jscode = f.readall()
    hook = process.create_script(jscode)
hook.load()

input()  # 可以操作Android软件并且进行hook

hook java

框架

1
2
3
Java.perform(() => {

});

获得类

1
var stringClass = Java.use("java.util.String");

实例化

1
2
3
4
5
6
7
8
9
10
11
12
// 创建一个实例
stringClass.$new()

// 我们也可以查找一个实例
Java.choose('java.lang.String', {  
        onMatch: function(instance){  
	        console.log('String instance is:', instance);  
        },
        onComplete: function(){
	        console.log('search complete!');
	    }  
});

方法

1
2
3
4
5
6
// 静态方法
className.<method>

// 实例方法
// 1. 查找实例调用
// 2. new一个然后调用

变量

1
2
// static
<class>.<var>.value = xxx;

hook java method

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<class>.<method>.implementation = function(arg...) {

}

// 重载: 当一个 class 两个名称相同的方法
<class>.<method>.overload([TYPE], [TYPE]).implementation = function(args...){ 
	// do sth 
}

// 构造函数的 hook $init
StringBuilder.$init.overload('java.lang.String').implementation = function (arg) {
    var partial = "";
    var result = this.$init(arg);
    if (arg !== null) {
         partial = arg.toString().replace('\n', '').slice(0,10);
    }
    // console.log('new StringBuilder(java.lang.String); => ' + result)
    console.log('new StringBuilder("' + partial + '");')
    return result;
}

入门例子

newstartCTF 2023 lazyactivity

两个activity

  • MainActivity
  • FlagActivity

模拟器打开时是MainActivity,但是我们需要运行FlagActivity

1
am start -n com.droidlearn.activity_travel/com.droidlearn.activity_travel.FlagActivit

FlagActivity 逻辑:点击10000次,但是我们可以hook access$004 使其返回结果大于10000就行(原来的逻辑为点击一次,cnt+=1, hook后就是点击一次,返回10001)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
public class FlagActivity extends AppCompatActivity {
    private int cnt = 0;

    static /* synthetic */ int access$004(FlagActivity flagActivity) {
        int i = flagActivity.cnt + 1;
        flagActivity.cnt = i;
        return i;
    }

    /* JADX INFO: Access modifiers changed from: protected */
    @Override // androidx.fragment.app.FragmentActivity, androidx.activity.ComponentActivity, androidx.core.app.ComponentActivity, android.app.Activity
    public void onCreate(Bundle bundle) {
        super.onCreate(bundle);
        setContentView(C0535R.layout.layout_2);
        final TextView textView = (TextView) findViewById(C0535R.C0538id.textView2);
        final EditText editText = (EditText) findViewById(C0535R.C0538id.editTextTextPersonName2);
        ((Button) findViewById(C0535R.C0538id.button)).setOnClickListener(new View.OnClickListener() { // from class: com.droidlearn.activity_travel.FlagActivity.1
            @Override // android.view.View.OnClickListener
            public void onClick(View view) {
                textView.setText(Integer.toString(FlagActivity.access$004(FlagActivity.this)));
                if (FlagActivity.this.cnt >= 10000) {
                    Toast.makeText(FlagActivity.this, editText.getText().toString(), 0).show();
                }
            }
        });
    }
}

是男人就点击10000次(bushi

hook.py

1
2
3
4
5
6
7
8
9
10
11
import frida
# 连接安卓机上的frida-server
device = frida.get_usb_device()
session = device.attach(3157)

# 加载hooook.js脚本
with open("lazy_activity.js", encoding='UTF-8') as f:
    script = session.create_script(f.read())
script.load()

input()

hook.js

1
2
3
4
5
6
7
8
9
10
11
12
13
console.log("Script loaded successfully ");
Java.perform(() => {
    console.log("Inside java perform function");
    //定位类
    var my_class = Java.use("com.droidlearn.activity_travel.FlagActivity");
    console.log("Java.Use.Successfully!");
    //在这里更改类的方法的实现(implementation)
    my_class.access$000.implementation = function(x){
        //打印替换前的参数
        console.log("Successfully!");
        return 10001;
    }
});

运行python脚本,然后在模拟器或者真机上点击一下就行。