app安全之安卓native层安全分析(八):unidbg补前置环境+IO重定向

这篇具有很好参考价值的文章主要介绍了app安全之安卓native层安全分析(八):unidbg补前置环境+IO重定向。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

前言

继续跟着龙哥的unidbg学习:SO逆向入门实战教程七:main_unidbg 重定向_白龙~的博客-CSDN博客

还是那句,我会借鉴龙哥的文章,以一个初学者的角度,加上自己的理解,把内容丰富一下,尽量做到不在龙哥的基础上画蛇添足。感谢观看的朋友。

分析

首先,抓个包

unidbg 白龙,安卓安全分析,安全,android,java

里面这个mtgsig就是该app很经典的加密参数了,siua参数后续有时间就分析,没有就算了。本篇文章的重点是mtgsig.

1.静态分析

jadx分析,一搜:

unidbg 白龙,安卓安全分析,安全,android,java

发现其实并不多。

就拿这几个类进行hook,看看哪些方法被调用了就行了,没花多久时间,就找到这里:

unidbg 白龙,安卓安全分析,安全,android,java

 com.xxxxx.plugin.sign.core.CandyPreprocessor.makeHeader(Uri$Builder) String

再跟一下:

unidbg 白龙,安卓安全分析,安全,android,java

unidbg 白龙,安卓安全分析,安全,android,java

unidbg 白龙,安卓安全分析,安全,android,java

这个main就是我们要的部位了。我们知道,第一个int参数,其实都写死了,就是203

unidbg 白龙,安卓安全分析,安全,android,java

第二个是一个对象数组

 hook下这两个方法,main的地方参数中间有个byte[]没有打印出来

unidbg 白龙,安卓安全分析,安全,android,java

2.frida动态调试 

unidbg 白龙,安卓安全分析,安全,android,java

unidbg 白龙,安卓安全分析,安全,android,java

所以这个byte[]就是个 请求方式  url的path  子路径

好了,入参大概都知道了 

ida调试

调试之前,得找找他加载的是哪个so文件

unidbg 白龙,安卓安全分析,安全,android,java

这静态看代码,看了半天,愣是没看出来哪里用了system.loadlibrary。

用这个grep找到的是这个so,其实并不是

unidbg 白龙,安卓安全分析,安全,android,java

这里继续用yang神的hook_RegisterNative.js,一顿输出,直接找到这个so:

unidbg 白龙,安卓安全分析,安全,android,java

很nice。

卧槽,跑完直接把我手机干关机了。有点6

接下来打开ida看看,导出表都不用看了

unidbg 白龙,安卓安全分析,安全,android,java

 方法也看不到啊,上面用hook_RegisterNative已经hook到位置了,直接定位过去就行

unidbg 白龙,安卓安全分析,安全,android,java

 结果就是解析异常了。

unidbg调试

那直接unidbg调试吧

1.搭架子

unidbg 白龙,安卓安全分析,安全,android,java

跑起来,好像没啥问题 ,main也有了。

2.调用

那么直接调用吧,首先把之前hook到的数据,传递进去

上面需要的都有hook了,

unidbg 白龙,安卓安全分析,安全,android,java

现在就差这个key,往上找找:

unidbg 白龙,安卓安全分析,安全,android,java

hook下,等会儿,还hook啥呀,前面已经有了,就是这个9b69xxxx,思路不能乱,慢慢来

unidbg 白龙,安卓安全分析,安全,android,java

开始调用,结果如下:

unidbg 白龙,安卓安全分析,安全,android,java

尴尬,报错的意思是这个指针结果是一个空指针。根据龙哥的博客,应该是上下文缺失。jnitrace也可以发现。

3.解决问题

再来看看,这个main的调用实例

unidbg 白龙,安卓安全分析,安全,android,java

有这么多

用fridahook下这些

unidbg 白龙,安卓安全分析,安全,android,java

发现,果然是了,刚开始调用,还是null,然后再次调用,就有值了。

再来,把入参打印一下:

unidbg 白龙,安卓安全分析,安全,android,java

看来第一次是111,也就是代码的这里:

unidbg 白龙,安卓安全分析,安全,android,java

 这个好像还算简单。

补一下这里的前置条件,然后执行:

unidbg 白龙,安卓安全分析,安全,android,java

补下这个环境,但是这个是啥呢,直接用firda hook可知如下:

 因为他是static

unidbg 白龙,安卓安全分析,安全,android,java

那么直接调用

unidbg 白龙,安卓安全分析,安全,android,java

补完执行:

unidbg 白龙,安卓安全分析,安全,android,java

又来一个新的,同样操作

unidbg 白龙,安卓安全分析,安全,android,java

unidbg 白龙,安卓安全分析,安全,android,java

还有报错,

unidbg 白龙,安卓安全分析,安全,android,java

继续

unidbg 白龙,安卓安全分析,安全,android,java

卧槽,还有报错,而且这个报错,龙哥的博客好像没有这个,我手机是米10,安卓12,估计有啥不一样

unidbg 白龙,安卓安全分析,安全,android,java

问题不大,他既然要返回一个i,也就是整形,那直接这么补,然后执行:

unidbg 白龙,安卓安全分析,安全,android,java

说白了这个就是要获取当前的进程apk的路径,继续补

unidbg 白龙,安卓安全分析,安全,android,java

没啥可说的,继续补:

unidbg 白龙,安卓安全分析,安全,android,java

unidbg 白龙,安卓安全分析,安全,android,java

继续

unidbg 白龙,安卓安全分析,安全,android,java

unidbg 白龙,安卓安全分析,安全,android,java

继续

unidbg 白龙,安卓安全分析,安全,android,java

好了,终于不报错了,但是结果并没有被打印出来

仔细看这里,根据龙哥的博客,意思是这里做了文件读取操作,但是-100,好像读取异常了

unidbg 白龙,安卓安全分析,安全,android,java

这时候有两种方案解决这个

  • 到unidbg目录,把apk放进去,用这个文件src/main/java/com/github/unidbg/file/BaseFileSystem.java获取当前程序路径
  • 还可以用代码的方式进行操作,设置io重定向,把访问的路径放到我们指定的路径即可

这里我用重定向的方式:

unidbg 白龙,安卓安全分析,安全,android,java

unidbg 白龙,安卓安全分析,安全,android,java

然后执行:

unidbg 白龙,安卓安全分析,安全,android,java

继续补

unidbg 白龙,安卓安全分析,安全,android,java

但这里出现了问题,这里是一个空,尴尬,查看用例:

unidbg 白龙,安卓安全分析,安全,android,java

就这里做了赋值

unidbg 白龙,安卓安全分析,安全,android,java

想hook一下,结果hook不到,尴尬,但是那边确实看到是空,龙哥的博客是有数据的,不重要,遵从内心,补一个空,执行看看:

unidbg 白龙,安卓安全分析,安全,android,java

唉,结果有了,好像结果数据有点不对,最后是一个dvmobject,那就跟前面的文章一样了,转一下,打印下

这两个方式都可以:

unidbg 白龙,安卓安全分析,安全,android,java

这个结果能不能用呢?

重新抓个包,然后替换下试试:

unidbg 白龙,安卓安全分析,安全,android,java

ok,果然可以。很nice

代码

package com.sankuai;

import com.github.unidbg.AndroidEmulator;
import com.github.unidbg.Emulator;
import com.github.unidbg.Module;
import com.github.unidbg.file.FileResult;
import com.github.unidbg.file.IOResolver;
import com.github.unidbg.linux.android.AndroidEmulatorBuilder;
import com.github.unidbg.linux.android.AndroidResolver;
import com.github.unidbg.linux.android.dvm.*;
import com.github.unidbg.linux.android.dvm.api.Binder;
import com.github.unidbg.linux.android.dvm.api.ServiceManager;
import com.github.unidbg.linux.android.dvm.array.ArrayObject;
import com.github.unidbg.linux.android.dvm.array.ByteArray;
import com.github.unidbg.linux.android.dvm.wrapper.DvmInteger;
import com.github.unidbg.linux.file.SimpleFileIO;
import com.github.unidbg.memory.Memory;


import java.io.ByteArrayInputStream;
import java.io.File;
import java.io.UnsupportedEncodingException;
import java.nio.charset.StandardCharsets;
import java.security.MessageDigest;
import java.security.NoSuchAlgorithmException;
import java.security.cert.CertificateException;
import java.security.cert.CertificateFactory;
import java.util.ArrayList;
import java.util.List;
import java.util.Locale;

public class meituan extends AbstractJni implements IOResolver {
    private final AndroidEmulator emulator;
    private final VM vm;
    private final Module module;

    meituan() {
        // 创建模拟器实例,进程名建议依照实际进程名填写,可以规避针对进程名的校验
        emulator = AndroidEmulatorBuilder.for32Bit().setProcessName("com.sankuai.meituan").build();
        // 获取模拟器的内存操作接口
        final Memory memory = emulator.getMemory();
//        emulator.getSyscallHandler().setEnableThreadDispatcher(true);
        // 设置系统类库解析
        memory.setLibraryResolver(new AndroidResolver(23));
        // 创建Android虚拟机,传入APK,Unidbg可以替我们做部分签名校验的工作
        vm = emulator.createDalvikVM(new File("unidbg-android\\src\\test\\java\\com\\xxx\\xxx.apk"));
        // 加载目标SO
//        DalvikModule dm = vm.loadLibrary(new File("unidbg-android\\src\\test\\java\\com\\xxxx\\libmtguard.so"), true); // 加载so到虚拟内存

        emulator.getSyscallHandler().addIOResolver(this);
        vm.setVerbose(true); // 设置是否打印Jni调用细节
        DalvikModule dm = vm.loadLibrary(new File("E:\\work\\myproject\\unidbg\\unidbg-android\\src\\test\\java\\com\\xxxx\\libmtguard.so"), true);


        //获取本SO模块的句柄,后续需要用它
        module = dm.getModule();
        vm.setJni(this); // 设置JNI
        vm.setVerbose(true); // 打印日志
        dm.callJNI_OnLoad(emulator); // 调用JNI OnLoad
    }


    @Override
    public DvmObject<?> callStaticObjectMethodV(BaseVM vm, DvmClass dvmClass, String signature, VaList vaList) {
        switch (signature) {
            case "com/meituan/android/common/mtguard/NBridge->getPicName()Ljava/lang/String;":
                return new StringObject(vm, "ms_com.xxx.xxx");
            case "com/meituan/android/common/mtguard/NBridge->getSecName()Ljava/lang/String;":
                return new StringObject(vm, "ppd_com.xxx.xxx.xbt");
            case "com/xxxx/android/common/mtguard/NBridge->getAppContext()Landroid/content/Context;":
                return vm.resolveClass("android/content/Context").newObject(null);
            case "com/xxxx/android/common/mtguard/NBridge->getMtgVN()Ljava/lang/String;":
                return new StringObject(vm, "4.4.7.3");
            case "com/xxx/android/common/mtguard/NBridge->getDfpId()Ljava/lang/String;":
                return new StringObject(vm, "");


        }

        return super.callStaticObjectMethodV(vm, dvmClass, signature, vaList);
    }

    @Override
    public DvmObject<?> newObjectV(BaseVM vm, DvmClass dvmClass, String signature, VaList vaList) {
        switch (signature) {
            case "java/lang/Integer-><init>(I)V": {
                int input = vaList.getIntArg(0);
                return vm.resolveClass("java/lang/Integer").newObject(input);
            }
        }

        return super.newObjectV(vm, dvmClass, signature, vaList);
    }

    @Override
    public int getStaticIntField(BaseVM vm, DvmClass dvmClass, String signature) {
        switch (signature) {
            case "android/content/pm/PackageManager->GET_SIGNATURES:I":
                return 1;

        }
        return super.getStaticIntField(vm, dvmClass, signature);
    }

    @Override
    public int getIntField(BaseVM vm, DvmObject<?> dvmObject, String signature) {
        switch (signature) {
            case "android/content/pm/PackageInfo->versionCode:I":
                return 2;

        }
        return super.getIntField(vm, dvmObject, signature);
    }


    @Override
    public DvmObject<?> callObjectMethodV(BaseVM vm, DvmObject<?> dvmObject, String signature, VaList vaList) {
        switch (signature) {
            case "android/content/Context->getPackageCodePath()Ljava/lang/String;":
                return new StringObject(vm, "/data/app/com.xxx.xxx-TEfTAIBttUmUzuVbwRK1DQ==/base.apk");
        }
        return super.callObjectMethodV(vm, dvmObject, signature, vaList);
    }

    public static void main(String[] args) {
        meituan test = new meituan();
        test.callMain111();
        System.out.println(test.getSign());
    }

    public void callMain111() {
        List<Object> list = new ArrayList<>(10);
        list.add(vm.getJNIEnv()); // arg1
        list.add(0); //arg2
        list.add(111); //arg3
        DvmObject<?> obj = vm.resolveClass("java/lang/object").newObject(null);
        vm.addLocalObject(obj);
        // 完整的参数2
        list.add(vm.addLocalObject(new ArrayObject(obj)));
        Number number = module.callFunction(emulator, 0x5a38d, list.toArray());
    }

    public String getSign() {
        List<Object> list = new ArrayList<>(10);
        list.add(vm.getJNIEnv()); // arg1
        list.add(0); //arg2
        list.add(203); //arg3
        StringObject input2_1 = new StringObject(vm, "9b69f861-e054-4bc4-9daf-d36ae205ed3e");
        ByteArray input2_2 = new ByteArray(vm, "GET /api/entry/indexLayer __reqTraceID=aa14663c-9979-445b-a311-8017c596f343&ci=1&group=xxxx&msid=xxxxx&userid=-1&utm_campaign=AgroupBgroupC0E0&utm_content=xxxx&utm_medium=android&utm_source=wandoujia&utm_term=1100090405&uuid=xxxxx&version_name=11.9.405".getBytes(StandardCharsets.UTF_8));
        DvmInteger input2_3 = DvmInteger.valueOf(vm, 2);
        vm.addLocalObject(input2_1);
        vm.addLocalObject(input2_2);
        vm.addLocalObject(input2_3);
        // 完整的参数2
        list.add(vm.addLocalObject(new ArrayObject(input2_1, input2_2, input2_3)));
        Number number = module.callFunction(emulator, 0x5a38d, list.toArray());
//        String result = vm.getObject(number.intValue()).getValue().toString();
//        return result;

        DvmObject[] result1 = (DvmObject[]) vm.getObject(number.intValue()).getValue();
        String sign = result1[0].toString();
        System.out.println(sign);

        StringObject result2 = (StringObject) ((DvmObject[])((ArrayObject)vm.getObject(number.intValue())).getValue())[0];
        System.out.println(result2.getValue());
        return result2.getValue();
    }

    @Override
    public FileResult resolve(Emulator emulator, String pathname, int oflags) {
        if (("/data/app/com.sankuai.meituan-TEfTAIBttUmUzuVbwRK1DQ==/base.apk").equals(pathname)) {
            // 填入想要重定位的文件
            return FileResult.success(new SimpleFileIO(oflags, new File("unidbg-android\\src\\test\\java\\com\\xxx\\xxx.apk"), pathname));
        }
        return null;
    }
}

知识点总结

1.找不到该native方法引入的哪个so文件时,用hook_RegisterNative脚本分析

2.执行结果发现不对返回空指针时,很大可能是逻辑问题,需要结合jnitrace分析

3.报dirfd=-100,就是读取文件错误,需要指导程序到正确的路径

4.补文件读取有两个方法

  • 到unidbg目录,把apk放进去,用这个文件src/main/java/com/github/unidbg/file/BaseFileSystem.java获取当前程序路径
  • 还可以用代码的方式进行操作,设置io重定向,把访问的路径放到我们指定的路径即可

5.补环境的时候getIntArg是获取方法的参数

我的代码是:

  

int input = vaList.getIntArg(0);

return vm.resolveClass("java/lang/Integer").newObject(input);

龙哥的代码:

int input = vaList.getInt(0);

return new DvmInteger(vm, input);

  

6.如果最后的数据是一个数组而不是字符串,有两种方式获取文章来源地址https://www.toymoban.com/news/detail-716622.html

StringObject result = (StringObject) ((DvmObject[])((ArrayObject)vm.getObject(number.intValue())).getValue())[0];
System.out.println(result.getValue());
DvmObject[] result1 = (DvmObject[]) vm.getObject(number.intValue()).getValue();
String sign = result1[0].toString();
System.out.println(sign);

到了这里,关于app安全之安卓native层安全分析(八):unidbg补前置环境+IO重定向的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包