tweakMe 修改函数及返回值

安卓Hook加密解密:实战利用tweakMe实现数据包篡改
最新推荐文章于 2025-01-23 09:50:44 发布
原创 最新推荐文章于 2025-01-23 09:50:44 发布 · 1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #jvm #servlet

本文介绍了如何在非root权限下,通过tweakMe技术,绕过安卓应用的加密逻辑,实现实时修改请求和返回包。通过与EchoServer交互,展示了如何轻松替换加密数据,适用于处理复杂加密场景,类似Frida的send功能的实现。

声明:

    免责声明:本文为个人作品,只做技术研究,只可用于正常的技术交流与学习,不可用于灰黑产业,不可从事违法犯罪行,严禁利用本文所介绍的技术恶意攻击,否则,后果自负!!!

上一篇文章 非root情况下安卓Hook Java方法,修改返回值_pyth0zn的博客-优快云博客

  我们讲解了tweakMe的使用方法,以及如何hook安卓api的方法,在实际工作中,我们经常遇到一些app的返回包和请求包都加密了的情况,如果我们要修改请求包,那么就需要把加密方法还原,然后自己构造数据包,然后加密发送给服务器,同样的拿到加密后的返回包,也需要用解密方法解密。这个过程如果加解密逻辑不复杂还好,但是如果是特别复杂的,比如什么动态key啊,那就太麻烦了,那么有没有简单的办法呢?请看下张图

 OK 上面的图已经描述的很明显了。

下面我们看tweakMe代码怎么写

首先我们在 util目录下新建一个工具类  InterceptEncryptOrDecrypt

package com.android.guobao.liao.apptweak.util;

import android.util.Log;


import com.android.guobao.liao.apptweak.JavaTweakBridge;

import java.io.BufferedReader;
import java.io.InputStream;
import java.io.InputStreamReader;
import java.io.OutputStream;
import java.net.HttpURLConnection;
import java.net.InetSocketAddress;
import java.net.Proxy;
import java.net.URL;
import java.util.concurrent.Callable;
import java.util.concurrent.ExecutionException;
import java.util.concurrent.FutureTask;

public class InterceptEncryptOrDecrypt implements Callable<String> {

    private String postBody;
    public void setHttpUrl(String httpUrl) {
        this.httpUrl = httpUrl;    }

    private String httpUrl;
    private void setPostBody(String postBody) {
        this.postBody = postBody;
    }



    private String ECHO_SERVER="http://192.168.31.100:27080"; //echo server 电脑段 运行 echerServer.py



    public static String doHttp(String postBody,String httpUrl) throws ExecutionException, InterruptedException {
        InterceptEncryptOrDecrypt d1=new InterceptEncryptOrDecrypt();
        d1.setPostBody(postBody);
        d1.setHttpUrl(httpUrl);
        FutureTask<String> task=new FutureTask<>(d1);
        new Thread(task).start();
        if (!task.isDone()) {
            System.out.println("task has not finished, please wait!");
        }
        System.out.println( "task return: " + task.get());
        return  task.get();
    }



    @Override
    public String call() throws Exception {
        String rsp="";
        JavaTweakBridge.writeToLogcat(Log.ERROR,"[*****]调用前原始参数 %s \n",postBody);
        try {
            HttpURLConnection con = null;
            BufferedReader buffer = null;
            StringBuffer resultBuffer = null;
            URL url = new URL(ECHO_SERVER+httpUrl);
            //得到连接对象
            Proxy proxy = new Proxy(Proxy.Type.HTTP, new InetSocketAddress(
                    "192.168.31.100", 8888)); //burp端口
            con = (HttpURLConnection) url.openConnection(proxy);
            //设置请求类型
            con.setRequestMethod("POST");
            con.setRequestProperty("Content-Type", "application/json");
            //允许写出
            con.setDoOutput(true);                    //允许读入
            con.setDoInput(true);
            con.setUseCaches(false);
            OutputStream os = con.getOutputStream();
            os.write(postBody.getBytes());
            int responseCode = con.getResponseCode();
            if (responseCode == HttpURLConnection.HTTP_OK) { // 必须返回200
                InputStream inputStream = con.getInputStream();
                //将响应流转换成字符串
                resultBuffer = new StringBuffer();
                String line;
                buffer = new BufferedReader(new InputStreamReader(inputStream, "GBK"));
                while ((line = buffer.readLine()) != null) {
                    resultBuffer.append(line);
                }

                rsp= resultBuffer.toString();
            }
        } catch (Exception e) {
            JavaTweakBridge.writeToLogcat(Log.ERROR,"echo Server 报错");
            e.printStackTrace();
        }
        JavaTweakBridge.writeToLogcat(Log.ERROR,"[*****]调用前修改后的参数 %s \n",rsp);
        return rsp;
    }
}

我们的类继承了Callable这个回调方法,主要就是多线程接受一个postBody,然后把他发送给EchoServer,echoServer 就是利用python自带的脚本起了一个27080的webserver,功能是原样输出请求包,同时这个请求用的是burp的代理

然后我们到拦截java加密函数的地方。调用这个InterceptEncryptOrDecrypt方法就好

解密是同样的道理、区别就是先执行一次原始函数,然后再把解密的结果发送给burp,然后return原来的函数就可以了

看下效果,可以看到从app提交的手机号,经过burp修改后,最后发送给服务器的是另外一个手机号,让app继续走加密的逻辑

 

 burp中的修改记录

这样我们就实现了类似frida的 send 功能,ok 本文就到这

 

第2关:函数返回值 - 可有可无的 return
m0_63525059的博客
11-11 1364
本关的编程任务是补全src/step2/return.py文件的代码,实现相应的功能。具体要求如下: 定义一个函数gcd,功能是求两个正整数的最大公约数; 调用函数gcd,得到输入的两个正整数的最大公约数,并输出这个最大公约数。
【Python编程】函数基础教程:掌握函数定义、参数传递及返回值应用
05-21
使用场景及目标:①理解函数的作用和优势,学会如何定义和调用函数;②掌握不同类型的参数传递方式,灵活运用函数参数;③学习如何设置和处理函数返回值,确保函数能正确反馈执行结果;④通过实践练习,加深对函数的...
TweakMe 开源项目教程
gitblog_01170的博客
08-16 1037
TweakMe 开源项目教程 项目介绍 TweakMe 是一个轻量级的逆向开发框架,旨在提供无需ROOT环境的Android应用逆向分析和修改能力。与传统的Xposed、Frida、Magisk等框架相比,TweakMe的最大优势在于其对手机系统的要求很低,只需要一个正常手机即可对APK进行逆向分析。通过一条命令,TweakMe可以完成对指定APK的重打包、过签名、插件注入等功能,对主流的第三方加...
TweakMe 项目常见问题解决方案
gitblog_00196的博客
01-23 592
TweakMe 项目常见问题解决方案 1. 项目基础介绍 TweakMe 是一个轻量级的逆向开发框架,它无需ROOT环境即可对Android应用程序进行逆向分析。与传统的Xposed、Frida、Magisk等框架相比,TweakMe 的优势在于对手机系统的要求很低,只需要一个正常手机即可对APK进行逆向分析。该框架支持重打包、过签名、插件注入等功能,并且对主流的第三方加固也有一定的过签名能力。T...
非root情况下安卓Hook Java方法,修改返回值
pyth0zn的博客
09-01 4011
需要注意的是,对于爱加密、360加固等壳的so并不在通常的lib/abi目录下,而在assets目录中,所以--target 参数必须要指定绝对路径,只有在通常的lib/abi目录下时才可以只写so名称。免责声明:本文为个人作品,只做技术研究,只可用于正常的技术交流与学习,不可用于灰黑产业,不可从事违法犯罪行,严禁利用本文所介绍的技术恶意攻击,否则,后果自负!接下来我们就开始测试,找一个xxx银行的app 来测试,通过分析so库,发现该银行没有采用各大厂商的加固方案,如果是加固过得,参照文档如下。
ios逆向,tweak简洁使用教程
大炮哥的博客
11-03 2876
OK~,hook插件已编写及安装完毕,再次运行你的demo工程,你就会发现弹出一个窗口啦!选择"iphone/tweak",那个选项,也就是输入”17"检查cydia中是否已安装open_ssh。期间可能要输入两次ssh的密码。运行起来,直接输出"12"执行编译安装时提示以下报错。如无意外,则有以下日志。
探秘TweakMe:一款强大的iOS设备个性化工具
gitblog_00061的博客
04-17 494
探秘TweakMe:一款强大的iOS设备个性化工具 项目简介 是一个开源项目,由开发者liaoguobao创建,旨在为iOS用户提供更深入的设备定制和优化体验。通过Cydia或其它越狱软件商店,你可以轻松安装TweakMe,从而解锁iPhone、iPad等设备上的隐藏功能,让你的iOS设备变得与众不同。 技术分析 TweakMe的核心是利用了iOS系统的越狱特性,它可以访问系统深层的文件和设置。项...
android 函数返回string,Android应用开发之android 对话框对于返回值的处理方法
weixin_42319865的博客
05-27 518
本文将带你了解Android应用开发之android 对话框对于返回值的处理方法,希望本文对大家学Android有所帮助。android对话框是异步的,因此无法获得其返回值。例如: 我们给出一个提示,让用户确认,按确定删除,按取消则不删除。这时候要获得用户是否按了确定键,进行删除处理,采用alertdialog是获取不到返回值的,因为alertdialog是异步的,非响应的。当然如果不限麻烦可以采...
【C语言编程】函数参数传递机制详解:形参实参特性及函数返回值处理方法
08-13
内容概要:本文档详细介绍了C语言中函数的形参与实参以及函数返回值的相关概念和规则。主要内容包括:形参仅在函数调用时分配内存...同时,要注意函数返回值的作用及定义方式,尤其是函数类型与返回值类型的匹配问题。
引用作为函数返回值
12-22
一、引用作为函数参数 ...即使函数内部有对参数的修改,也只是针对形参,也是那个副本,实参不会有任何更改。函数一旦结束,形参生命也宣告终结,做出的修改一样没对任何变量产生影响。  例如: v
函数返回值为类的类型.cpp
10-20
面向对象程序设计,即C++语言,类。函数返回值为类的类型,文件里面有详细的注释。
TweakMe 开源项目安装与使用指南
gitblog_00002的博客
08-16 398
TweakMe 开源项目安装与使用指南 一、项目的目录结构及介绍 文件夹与功能概述 该项目主要分为以下几个关键部分: apktweak: 包含构建工具和库文件。 libbuild-tools: 存放构建工具版本相关资源。 platforms/android-21: 关于Android平台的具体实现细节。 sodemo: 示例代码或预置示例应用以展示框架如何工作。 src: 主要源代码存放地,包括...
免越狱tweak应用逆向开发
weixin_30699465的博客
02-07 170
对于已越狱的设备,系统默认安装了mobilesubstrate动态库,提供一个系统级的入侵管道,所有的tweak都可以依赖它来进行开发。而对于没有越狱的手机,我们需要向目标app注入libsubstrate.dylib动态库,才能使程序在运行时加载我们编写的动态库。 访问:http://www.jianshu.com/p/cd1f8ae46a3c获得更好的阅读体验~ 环境准备: ios-a...
iOS安全—阻止tweak注入hook api
zcrong的专栏
06-09 5792
在网上看到一种方法可以通过在Other Linker Flags中添加: 1-Wl,-sectcreate,__RESTRICT,__restrict,/dev/null 的方法来阻止dylib注入。   便动手试了一下,编写一个测试Demo不添加任何linker flags,然后使用theos对其进行hook。     启动后使用image li
安卓逆向之hook框架---Frida Hook Java修改函数返回值
爬虫进击之路
01-12 3116
本期用到 :python+frida+模拟器 如果没布置Frida环境可以跳转此文: Hook神器: frida超详细安装教程 一、分析 APK:AliCrackme.apk 阿里安全比赛上的题目,目标无壳,一个简单的密码校验软件,只有输入正确的密码才能进入,错误密码会提示检验失败。 2、JADX分析代码逻辑 直接搜索“验证码校验失败”锁定代码位置。 代码如下: package com.yaotong.crackme; import android.app.Activity; import andro
教大家用Xposed,findAndHookMethod方法修改第三方应用方法返回值
热门推荐
tian154731的博客
06-28 1万+
Xposed框架,功能强大,可以修改静态变量,修改方法返回值 现在我就教大家怎么利用Xposed框架,修改第三方应用方法返回值 一般我们都会用反编译软件,查找到想要模拟的方法。 例如:我要模拟的vivo应用商店,修改com.a.b.c类里面的a方法的返回值,该方法返回是的是String类型值。 public class XposedManager implements IXposedHookLoa...
frida so Hook 函数参数返回值修改
weixin_34247032的博客
05-21 9254
![](https://s1.51cto.com/images/blog/201905/21/e59d78e7f1f9e60f376fd81c75cbd12f.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3...
中转inline hook,不需要恢复首字节的hook
friendan的专栏
02-23 5686
注:我实验的环境:win7 x64 经验证XP会有稍微区别,主要是我本次实验HOOK的API, 从XP到WIN7微软有了些许改变。 ------------------------------------------------------------------------------------------------------------------------------------
react dispatch_React系列二十一 Hook(二)高级使用
weixin_39622123的博客
11-22 3820
一. Hook高级使用 1.1. useReducer很多人看到useReducer的第一反应应该是redux的某个替代品,其实并不是。useReducer仅仅是useState的一种替代方案:在某些场景下,如果state的处理逻辑比较复杂,我们可以通过useReducer来对其进行拆分;或者这次修改的state需要依赖之前的state时,也可以使用;单独创建一个reducer/coun...
c语言函数不同返回值
最新发布
11-13
C语言函数不同返回值情况多样,下面进行详细介绍: - **常规返回值**:C语言函数可以返回各种基本数据类型,如`int`、`float`、`char`等。例如一个返回`int`类型的函数可以用于计算两个整数的和: ```c int add(int a, int b) { return a + b; } ``` - **无显式返回值**:当一个函数(非`main`函数)没有显式的`return`语句时,其返回值的情况比较复杂。在`gcc`编译器下,返回值可能是不确定的,如以下代码: ```c void fun() { printf("helloworld\n"); } int func() { printf("helloworldrgerrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrrr\n"); fun(); } int main() { printf("%d\n", func()); // 结果为6 } ``` 这里`func`函数没有显式的`return`语句,但输出结果为6,而`clang`编译器一直返回0 [^3]。 - **字符串数组返回问题**:在一个函数中声明一个字符串数组,最后直接`return`这个数组是不可行的。因为在函数内部声明的数组是局部变量,函数执行结束后,其内存空间会被释放,返回的指针将指向无效的内存区域。 - **`scanf`函数返回值**:`scanf`函数返回值且为`int`型,其返回的值为正确按指定格式输入变量的个数,也就是能正确接收到值的变量个数。示例代码如下: ```c void main() { int a; int b; int c; printf("请输入三个整数:"); int x = scanf("%d%d%d", &a, &b, &c); printf("%d\n%d\n", a, x); } ``` 这里用变量`x`接收`scanf`函数返回值,并输出显示出来 [^2][^5]。 - **函数返回值的传递机制**:在学习C语言时,常提到“函数返回值先拷贝到临时寄存器中,再将临时寄存器拷贝到调用函数变量中”,可以从汇编角度进一步探究其原理和好处 [^4]。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

pyth0nn

送人玫瑰,手留余香

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值