本文介绍了如何使用Xposed框架结合RPC技术,实现对安卓So库加密算法的黑盒利用,包括自定义App调用、Xposed插件的使用、框架介绍及实例测试,重点在于使用方法和一个加法Demo演示调用过程。
又是N久没有更新, 真的懒是能变成习惯的, 今天记录一下安卓里的so黑盒利用;
一般在逆向安卓的程序时, 重要的算法都在so里, 如果没有OLLVM还好, 如果一旦被VM了, 那么就只能退而其次想其他的解决办法, 那么开始吧
0x1 常用的黑盒利用方式1
2
3
4
5
6
7
81. 自己写app, load并调用含有加密算法so
不足: 如果算法里有上下文依赖关系, 就得想办法构造, 非常麻烦
2. 使用xposed来构造与调用so的加解密函数, 创建http服务, 暴露API接口供外部使用
不足: 必须在Android机器上执行, Xposed必须要Root, 执行效率差
3. 把so算法逆向出来, 自己写代码调用
不足: 成本太高
以上三种解决方案, 各有优劣
在之前逆向抖音sign算法的需求中使用过第二种方案, 在模拟器中压力测试极限在并发80个左右, 还是适合小规模的调用, 如果大批量使用此方式的话, 还是得部署多台服务器
今天也主要说第二种方式, 前两天看到一个基于Xposed+RPC实现的黑盒利用框架, 尝试了一下还不错, 还没有进行压力测试, 这里记录一下当作备忘录
0x2 框架介绍与使用
详细介绍1hermesagent是hermes系统的客户端模块,也是系统最核心的模块了,他是种植在手机里面的一个agent,同时他也是一个xposed的模块插件,agent本身启动了一个service,agent插件模块将会自动注册钩子函数,并且和service通信。Android设备外部请求可以通过暴露在agent上面的一个http端口,和agent通信,然后agent和目标apkRPC。 如此实现外部请求到任何一个app的任何功能的外部调用
使用方法要安装xposed
xposed启用本模块之后,第一次需要重启,后续不需要重启了
钩子函数写到com.virjar.hermes.hermesagent.hookagent路径下,能够被框架自动识别,其他地方不会识别
agent必须提供空参构造(我们是类扫描机制实现的)
开启网络访问权限,有些手机在后台运行之后,将会禁止后台访问网络。请放开这个配置
1
2
3
4
5
6
7设置——无线和网络——WLAN设置——高级设置——WLAN休眠策略——永不休眠
小米手机:
1、设置--其他高级设置--电源和性能--神隐模式
2、标准(限制后台应用的网络和定位功能)
3、关闭(不限制后台应用的功能)
4、默认是标准,在屏保后4分钟左右会限制后台应用的网络功能
允许程序开机自启为了让app全自动提供服务,需要让手机开机便启动agent,有些系统会禁止该行为。如果你的手机有存在该行为的话,请放开自启动限制
stackoverflow
hookagent接口函数
0x3 实例测试这次的就使用一个简单的加法小Demo, 代码如下:
由于工程有一个已经写好的”微视”的例子, 这里就直接改一下包名和对应的invoke函数就可以了
编译好安装到手机或模拟器里, 在Xposed里启用插件, 再重启之后, 打开插件会自动拉起需要Hook的程序
这里因为是模拟器, 和主机不在一起内网, 需要端口映射一下
在cmd里输入: adb forward tcp:5597 tcp:5597
在主机里访问 127.0.0.1:5597, 就可以访问已经搭建好的服务器啦
调用的方式就是: host:5597/invoke?invoke_package=[packname]&[arg=x]
大概就是介个样子, 就可以通过http调用来获取自己需要的数据了
扫一扫
2099
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
