一、目标
李老板: 奋飞呀,你hook这个App之后拿到token,然后上报给我的服务器好不好?
奋飞: 木问题。
二、步骤
gumjs-http
在frida里面做http请求,最根正苗红的必须是 gumjs-http ,大胡子出品,有保障
可惜的是我没有搞明白,李老板催的紧,木有时间去慢慢研究了。
先搞个Server测试
子曾经曰过: 人生苦短,快用Python。
不过最近发现go更适合我们这些C/C++老江湖。先撸个测试的Http Server出来
package main import "github.com/gin-gonic/gin" func main() { // https://geektutu.com/post/quick-go-gin.html r := gin.Default() r.GET("/", func(c *gin.Context) { c.String(200, "Hello World") }) r.Run() // listen and serve on 0.0.0.0:8080 }
老朋友AndroidAsync
之前我们在Frida RPC的时候介绍过用 AndroidAsync 来做httpServer。既然能做Server,那么大概率也能做HttpClient吧?
// url is the URL to download. AsyncHttpClient.getDefaultInstance().getString(url, new AsyncHttpClient.StringCallback() { // Callback is invoked with any exceptions/errors, and the result, if available. @Override public void onCompleted(Exception e, AsyncHttpResponse response, String result) { if (e != null) { e.printStackTrace(); return; } System.out.println("I got a string: " + result); } });
查了一下它的文档,果然有戏。
那就这么玩
var url = "http://192.168.2.103:8080/?tk=123456"; Java.openClassFile("/data/local/tmp/androidAsync.dex").load(); var AsyncHttpClient = Java.use("com.koushikdutta.async.http.AsyncHttpClient"); var androidClent = AsyncHttpClient.getDefaultInstance().execute(url,null);
是的,我嫌 AsyncHttpClient.StringCallback 初始化太麻烦,反正李老板只要我上报,没说要检查结果。
[GIN] 2022/05/25 - 10:33:12 | 200 | 35.119µs | 192.168.2.105 | GET /?tk=123456
没问题,上报成功,可以收工干鲜啤去了。
jar to dex 打开新世界的大门
事情还没结束,老板这种生物果然不能用常理推测。李老板居然要我判断下返回值和提交失败的情况。
有了 AndroidAsync 的经验,对于咱们这种二把刀java程序员来说,有个更帅的解决方案,我拿java写好一个http函数,然后直接编译成dex来给frida调用不就行了。
说干就干,打开idea,写个http请求的函数。
package com.fenfei.http; public class Main { public static String doGet(String httpurl) {...} public static String doPost(String httpUrl, String param) {...} public static void main(String[] args) { System.out.println(doGet("http://192.168.2.103:8080/?tk=8976")); } }
然后编译成jar包
我们得到了 fridaHttp.jar
然后需要一个dx命令来把 jar转成 dex
dx命令一般生活在你装的Android SDK的 build-tools 目录下面
比如我的在
/Users/fenfei/Library/Android/sdk/build-tools/23.0.2
然后执行,(我把fridaHttp.jar文件直接拷到dx同一目录了)
./dx --dex --output=fridaHttp.dex fridaHttp.jar
果不其然,报错了,
java.lang.RuntimeException: Exception parsing classes
这个不要慌,谷哥会告诉我们原因,我本机编译jar包用的jdk版本是1.8。 而Android貌似最高只支持jdk 1.7。
所以需要把编译的jdk版本改成1.7
重新编译一下,再跑一下dx命令,完美生成 fridaHttp.dex
adb push扔到手机里面,开始重写js
var url = "http://192.168.2.103:8080/?tk=123456"; Java.openClassFile("/data/local/tmp/fridaHttp.dex").load(); var MainHttpCls = Java.use("com.fenfei.http.Main"); var rc = MainHttpCls.doGet(url); console.log(rc);
跑一下,没天理呀,还报错
Error: android.os.NetworkOnMainThreadException
唉,作为一个二把刀java程序员太难了。
继续问谷哥吧,哥说了,java不让在主线程里面做http请求,你为啥不早说。
class sendHttpCls implements Runnable{ public void run(){ doGet(url); } } public class RunnableDemo{ public static void main(String[] args){ sendHttpCls my = new sendHttpCls(); new Thread(my).start(); } }
解决办法炒鸡Easy,起个线程包起来就行了。不过我dex好不容易编译好了,舍不得改了。
试试在Frida里面起多线程吧。
var Thread = Java.use("java.lang.Thread"); var Runnable = Java.use("java.lang.Runnable"); var sendHttpCls = Java.registerClass({ //注册一个类 name: "com.example.fenfei", //包名 implements: [Runnable], //实现Runnable methods: { run: function () { var rc = MainHttpCls.doGet(url); console.log(rc); } } }); var uHttp = sendHttpCls.$new(); Thread.$new(uHttp).start();
再跑一下,完美搞定,排队买鲜啤去了~
三、总结
实现很重要,实现的原理更重要,了解原理了,就可以举一反三。
搞Android逆向,可以不懂java,但是要有借助谷哥搞明白的能力。有问题先问谷哥,再问飞哥。
从理论上说,理论与实践没有不同,但是到了实践中,二者却有天壤之别
TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。
关注微信公众号: 奋飞安全,最新技术干货实时推送
