objection多语言脚本开发:JavaScript与Python混合编程
项目地址: https://gitcode.com/gh_mirrors/ob/objection 引言:移动安全分析的跨语言挑战
移动应用安全分析常面临多语言开发的复杂场景。作为基于Frida的运行时移动探索工具,objection创新性地采用JavaScript与Python混合编程架构,既发挥了JavaScript在动态注入和内存操作的灵活性,又借助Python实现了强大的命令行交互和跨平台兼容性。本文将深入剖析objection的多语言协同机制,通过实战案例展示如何开发自定义脚本,解决SSL Pinning绕过、方法挂钩等核心安全分析任务。
架构解析:双语言协同的设计哲学
objection采用分层架构设计,清晰分离了前端交互与运行时注入逻辑。这种分离不仅提升了代码可维护性,更为跨平台支持奠定了基础。
技术栈选型考量
| 语言 | 应用场景 | 优势 | 挑战 |
|---|---|---|---|
| JavaScript | 内存操作、方法挂钩、异步任务 | 原生支持Frida API、动态类型、闭包特性 | 复杂业务逻辑组织困难 |
| Python | 命令行交互、文件处理、插件系统 | 丰富的第三方库、跨平台兼容性、清晰的语法结构 | 运行时性能限制 |
核心通信流程
objection的跨语言通信基于Frida的RPC机制实现,通过精心设计的接口定义确保类型安全和调用稳定性:
关键实现位于agent/src/rpc/android.ts中定义的RPC导出接口:
export const android = {
// android hooking
androidHookingGetClassMethods: (className: string): Promise<string[]> => hooking.getClassMethods(className),
androidHookingGetClasses: (): Promise<string[]> => hooking.getClasses(),
androidHookingWatch: (pattern: string, watchArgs: boolean, watchBacktrace: boolean, watchRet: boolean): Promise<void> =>
hooking.watch(pattern, watchArgs, watchBacktrace, watchRet),
// ...其他方法定义
};
JavaScript开发:运行时注入的艺术
JavaScript层是objection与目标应用交互的核心,负责实现内存操作、方法挂钩等关键功能。理解其设计模式和API使用规范,是开发自定义脚本的基础。
方法挂钩的实现范式
objection的Android方法挂钩采用了模板方法模式,通过封装重复逻辑提高代码复用率。以下是agent/src/android/hooking.ts中的核心实现:
export const watch = (pattern: string, dargs: boolean, dbt: boolean, dret: boolean): Promise<void> => {
const patternType = getPatternType(pattern);
if (patternType === PatternType.Klass) {
const job: jobs.Job = new jobs.Job(jobs.identifier(),`watch-class for: ${pattern}`);
watchClass(pattern, job, dargs, dbt, dret);
jobs.add(job);
return Promise.resolve();
}
// 处理正则表达式模式
const job: jobs.Job = new jobs.Job(jobs.identifier(),`watch-pattern for: ${pattern}`);
jobs.add(job);
return new Promise((resolve, reject) => {
javaEnumerate(pattern).then((matches) => {
matches.forEach((match) => {
match.classes.forEach((klass) => {
klass.methods.forEach(method => {
watchMethod(`${klass.name}.${method}`, job, dargs, dbt, dret);
});
});
});
resolve();
}).catch(reject);
});
};
内存安全最佳实践
在移动应用内存操作中,处理不当容易导致目标应用崩溃。objection采用多重防护机制确保稳定性:
- 类型检查:使用TypeScript接口定义确保参数类型安全
- 异常捕获:在关键操作点实施try-catch防护
- 资源管理:通过Job系统跟踪和释放钩子资源
// 安全的类实例获取方式
export const getClassHandle = (className: string): JavaClass | null => {
let clazz: JavaClass = null;
const loaders = Java.enumerateClassLoadersSync();
for (let i = 0; i < loaders.length; i++) {
const loader = loaders[i];
const factory = Java.ClassFactory.get(loader);
try {
clazz = factory.use(className);
return clazz; // 成功获取后立即返回
} catch {
continue; // 尝试下一个类加载器
}
}
return null; // 所有加载器均失败时返回null
};
Python开发:命令行交互与控制逻辑
Python层负责用户交互、命令解析和跨平台适配,是objection的"大脑"。其模块化设计不仅确保了代码的可维护性,更为插件开发提供了清晰的扩展点。
CLI命令处理流程
objection的命令处理采用责任链模式,每个命令对应独立的处理函数。以Android方法挂钩命令为例,objection/commands/android/hooking.py中的实现:
def watch(args: list) -> None:
"""
Hook functions and print useful information when they are called.
"""
if len(clean_argument_flags(args)) < 1:
click.secho('Usage: android hooking watch <package pattern> '
'(eg: com.example.test, *com.example*!*, com.example.test!toString)'
'(optional: --dump-args) '
'(optional: --dump-backtrace) '
'(optional: --dump-return)',
bold=True)
return
query = args[0]
if not _is_pattern_or_constant(query):
click.secho('Incorrect query syntax, please use <CLASS>!<METHOD>', fg='red')
return
api = state_connection.get_api()
api.android_hooking_watch(query,
_should_dump_args(args),
_should_dump_backtrace(args),
_should_dump_return_value(args))
跨平台适配策略
objection通过抽象设备类型相关操作,实现了一套代码库支持Android和iOS双平台:
def get_platform_specific_command(command: str) -> Callable:
"""
根据当前连接设备类型返回对应的命令实现
"""
device_type = state_connection.get_device_type()
if device_type == 'android':
module = importlib.import_module(f'objection.commands.android.{command}')
elif device_type == 'ios':
module = importlib.import_module(f'objection.commands.ios.{command}')
else:
raise NotImplementedError(f"Platform {device_type} not supported")
return getattr(module, command)
实战开发:自定义多语言脚本
掌握objection的多语言开发范式,能够极大扩展移动安全分析能力。以下通过两个典型场景展示完整的开发流程。
场景一:通用SSL Pinning绕过脚本
需求:开发一个可配置的SSL Pinning绕过脚本,支持Android和iOS双平台。
实现方案:
- 使用JavaScript实现核心绕过逻辑
- 通过Python CLI提供配置接口
- 利用Frida的远程加载能力注入代码
JavaScript核心实现(agent/src/android/pinning.ts):
export function disable(quiet: boolean = false): void {
// 系统证书绕过
const X509TrustManager = Java.use('javax.net.ssl.X509TrustManager');
const SSLContext = Java.use('javax.net.ssl.SSLContext');
// 实现一个空的TrustManager
const TrustManager: any = Java.registerClass({
name: 'com.sensepost.objection.TrustManager',
implements: [X509TrustManager],
methods: {
checkClientTrusted(chain, authType) {},
checkServerTrusted(chain, authType) {},
getAcceptedIssuers() {
return [];
}
}
});
// 替换默认的TrustManager
const trustAllCerts = [TrustManager.$new()];
const sslContext = SSLContext.getInstance('SSL');
sslContext.init(null, trustAllCerts, null);
// 挂钩SSLContext的getDefault方法
SSLContext.getDefault.implementation = function() {
return sslContext;
};
if (!quiet) send('SSL Pinning disabled for X509TrustManager');
}
Python命令接口(objection/commands/android/pinning.py):
def disable_ssl_pinning(args: list = None) -> None:
"""
禁用应用的SSL Pinning保护
"""
api = state_connection.get_api()
quiet = _should_be_quiet(args)
try:
api.android_ssl_pinning_disable(quiet)
if not quiet:
click.secho('SSL pinning disabled, traffic should be decrypted now.', fg='green')
except Exception as e:
click.secho(f'Failed to disable SSL pinning: {str(e)}', fg='red')
场景二:动态方法跟踪与参数修改
需求:开发一个能够跟踪指定方法调用并动态修改参数的工具。
实现方案:
- 使用Python实现命令行参数解析
- 通过JavaScript实现方法挂钩和参数修改
- 利用RPC机制传递配置和结果
Python命令实现:
@click.command()
@click.argument('class_name')
@click.argument('method_name')
@click.option('--replace-arg', type=int, help='要替换的参数索引')
@click.option('--new-value', help='新的参数值')
def watch_and_modify(class_name, method_name, replace_arg, new_value):
""" 跟踪并修改指定方法的参数 """
api = state_connection.get_api()
# 构建跟踪模式
pattern = f"{class_name}!{method_name}"
# 注册跟踪回调
job_id = api.android_hooking_watch_with_callback(
pattern,
dump_args=True,
dump_return=True,
callback=partial(_modify_argument_callback, replace_arg, new_value)
)
click.secho(f"Started watching {pattern} with job ID: {job_id}", fg='green')
JavaScript回调处理:
export function watchWithCallback(pattern: string, dargs: boolean, dret: boolean, callbackId: string): string {
const job: jobs.Job = new jobs.Job(jobs.identifier(), `watch-with-callback: ${pattern}`);
javaEnumerate(pattern).then((matches) => {
matches.forEach((match) => {
match.classes.forEach((klass) => {
klass.methods.forEach(method => {
const fullMethod = `${klass.name}.${method}`;
// 挂钩方法
const targetClass = Java.use(klass.name);
targetClass[method].implementation = function() {
// 处理参数替换
const args = Array.from(arguments);
// 通过RPC调用Python回调获取修改后的参数
const modifiedArgs = rpc.exports.invokeCallback(callbackId, args);
// 调用原始方法
const result = this[method].apply(this, modifiedArgs);
return result;
};
job.addImplementation(targetClass[method]);
});
});
});
});
jobs.add(job);
return job.identifier;
}
高级技巧:性能优化与调试
开发复杂脚本时,性能和调试是两大挑战。掌握以下技巧可以显著提升开发效率和脚本质量。
内存管理优化
长时间运行的挂钩脚本可能导致内存泄漏,特别是在循环或频繁调用的方法中。采用以下策略可有效缓解:
- 使用弱引用跟踪临时对象:
// 避免强引用导致的内存泄漏
const weakRef = new WeakRef(targetObject);
setInterval(() => {
const obj = weakRef.deref();
if (obj) {
// 处理对象
} else {
// 对象已被垃圾回收,清理资源
}
}, 1000);
- 批量操作减少RPC调用:
# 批量处理结果而非逐个处理
def process_results_in_batches(results, batch_size=100):
for i in range(0, len(results), batch_size):
batch = results[i:i+batch_size]
# 批量处理逻辑
多语言调试策略
objection提供多层次的调试支持,帮助定位跨语言调用问题:
- RPC调用日志:在
objection/api/rpc.py中启用详细日志
def invoke(method, *args, **kwargs):
""" 调用Frida RPC方法并记录详细日志 """
logger.debug(f"RPC invoke: {method} with args {args}")
try:
result = getattr(rpc, method)(*args, **kwargs)
logger.debug(f"RPC result: {result}")
return result
except Exception as e:
logger.error(f"RPC error: {str(e)}", exc_info=True)
raise
- JavaScript调试器:通过Frida的调试接口连接Chrome DevTools
# 启动带有调试支持的objection
objection -d explore
扩展开发:插件系统与生态集成
objection的插件系统设计允许开发者扩展核心功能,而无需修改主代码库。这为特定场景分析提供了极大灵活性。
插件结构规范
一个标准的objection插件包含以下组件:
my-plugin/
├── __init__.py # 插件元数据和入口
├── commands/ # Python命令实现
│ ├── __init__.py
│ └── mycommand.py
├── agent/ # JavaScript注入代码
│ └── myagent.ts
└── README.md # 使用文档
插件注册示例:
from objection.utils.plugin import Plugin
class MyPlugin(Plugin):
""" 自定义插件示例 """
def __init__(self, ns):
""" 初始化插件 """
super().__init__(__file__, ns)
self.register_commands()
def register_commands(self):
""" 注册自定义命令 """
self.commands.add_command('mycommand', self.mycommand)
def mycommand(self, args: list) -> None:
""" 自定义命令实现 """
click.secho('Executing custom plugin command', fg='green')
# 调用自定义JavaScript
api = state_connection.get_api()
result = api.my_custom_function(args)
click.secho(f'Result: {result}')
社区生态与资源
objection拥有活跃的社区生态,提供了丰富的第三方插件和脚本资源:
-
官方插件库:
- objection-flex - UI调试增强工具
- objection-mettle - Meterpreter集成
-
学习资源:
- objection Wiki - 官方文档
- Frida JavaScript API - 核心API参考
结语:多语言开发的未来展望
objection的多语言架构为移动安全工具开发提供了创新思路,随着WebAssembly等技术的发展,未来可能出现更多语言选择。然而,无论技术如何演进,"用合适的工具解决特定问题"的核心理念始终适用。
通过掌握本文介绍的多语言开发范式,开发者不仅能够高效扩展objection功能,更能将这种架构思想应用于其他安全工具开发中。面对日益复杂的移动应用安全挑战,灵活运用多语言特性将成为安全分析师的关键竞争力。
创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考
