Android逆向-Objection

2023-09-05

字数统计: 1.9k字 | 阅读时长≈ 9分

Objection

Android逆向-Objection

安装

1	pip3 install objection

启动应用

1	objection -g 包名 explore

启动时就注入指令（Spawn时Hook）

从Objection的使用操作中我们可以发现，Obejction采用Attach附加模式进行Hook，这可能会让我们错过较早的Hook时机，可以通过如下的代码启动Objection，引号中的objection命令会在启动时就注入App。

1	objection -g packageName explore --startup-command 'android hooking watch xxx'

切换端口

换成net模式了。

1	objection -N -h 127.0.0.1 -p 11451 -g com.example.a11x256.frida_test explore

env环境目录

env用于检查与APP有关的环境目录。

例子：

com.example.hookinunidbg on (google: 13) [usb] # env

Name                    Path
----------------------  -----------------------------------------------------------------------------------------------
cacheDirectory          /data/user/0/com.example.hookinunidbg/cache
codeCacheDirectory      /data/user/0/com.example.hookinunidbg/code_cache
externalCacheDirectory  /storage/emulated/0/Android/data/com.example.hookinunidbg/cache
filesDirectory          /data/user/0/com.example.hookinunidbg/files
obbDir                  /storage/emulated/0/Android/obb/com.example.hookinunidbg
packageCodePath         /data/app/~~gdw57-wVrIhpUjCSB8JIeA==/com.example.hookinunidbg-m7RhT-gNYVLxau89hcsDig==/base.apk

memory

dump 内存dump

all

1	memory dump all <local destination>

把整个进程都dump到电脑中。例子：

1	memory dump all D:// （没试过）

from_base

1	memory dump from_base <base_address> <size_to_dump> <local_destination>

手动指定地址，大小，并dump到电脑中：

1	memory dump from_base 0xdbbe4000 20480 D://libhookinunidbg.so

dump出来的是加载到内存后的so，因此大小和排布和原来的so都有区别。

list

modules 枚举所有模块⭐

1	memory list modules

打印Android内所有加载的模块。

1	memory list modules --json D://hookinunidbg.json

json模式dump，写入电脑中。

exports 模块导出函数⭐

1	memory list exports libhookinunidbg.so

执行结果：

Save the output by adding `--json exports.json` to this command
Type      Name                                             Address
--------  -----------------------------------------------  ----------
function  Java_com_example_hookinunidbg_MainActivity_call  0xdbbe4a8d
function  testBase64                                       0xdbbe4b05
function  verifyApkSign                                    0xdbbe4add
function  _init                                            0xdbbe4979
function  base64_encode                                    0xdbbe4b49
function  base64_decode                                    0xdbbe4ce1

1	memory list exports libhookinunidbg.so --json D://libliblib.json

json模式dump，写入电脑中。

search 查找

–string 搜索字符串

1	memory search "ABCDEFG" --string

–offsets-only 只打印地址

1	memory search "ABCDEFG" --offsets-only --string

按字节搜索

16进制（可以留??表明不确定）

1	memory search "41 42 43 44 45 46 ?? 47 48"

write 写入内存

谨慎使用，因为容易报错。

1	memory write "<address>" "<pattern eg: 41 41 41 41>" (--string)

比如：

1	memory write 0x70dcfc20 "ABCDE" --string

android

heap（没搞定）

1
2
3

android heap search instances com.android.settings.DisplaySettings //堆内存中搜索指定类的实例, 可以获取该类的实例id
android heap execute 0x2526 getPreferenceScreenResId //直接调用指定实例下的方法
android heap evaluate 0x2526 //自定义frida脚本, 执行实例的方法

root

//尝试关闭app的root检测
android root disable

//尝试模拟root环境
android root simulate

hooking⭐

list

activities 枚举Activity⭐

最常用的就是枚举Activity

1	android hooking list activities

例子：

com.example.hookinunidbg on (google: 13) [usb] # android hooking list activities
com.example.hookinunidbg.MainActivity

Found 1 classes

class_methods 枚举方法⭐

枚举到想要的Activities后，再去看类对象里面有什么方法。

1	android hooking list class_methods <class name>

比如：

com.example.hookinunidbg on (google: 13) [usb] # android hooking list class_methods com.example.hookinunidbg.MainActivity
protected void com.example.hookinunidbg.MainActivity.onCreate(android.os.Bundle)
public native void com.example.hookinunidbg.MainActivity.call()

Found 2 method(s)

class_loaders

枚举类加载器。这是系统底层的玩意，不是很有用。

classes

枚举所有加载的类。

注意，class的数量会非常多，因此这个功能基本没啥用处。

receivers（报错）

列举广播接收者。但是报错。

services（报错）

列举系统服务。但是报错。

generate

用于快速生成Frida Hook脚本模板。

生成的脚本可以单独在Frida里面运行。

class 生成Frida模板⭐

1	android hooking generate class

快速获得一个Hook模板Js脚本。

simple 生成Frida模板⭐

为指定的类中的所有方法生成Hook模板。

1	android hooking generate simple com.example.hookinunidbg.MainActivity

get

似乎只有一个current_activity能用

用于得到现在APP中启动着的Activity。

1	android hooking get current_activity

比如：

1
2
3

com.example.hookinunidbg on (google: 13) [usb] # android hooking get current_activity
Activity: com.example.hookinunidbg.MainActivity
Fragment: androidx.lifecycle.ReportFragment

search

classes 搜索类⭐

根据字符串搜索类。

1	android hooking search classes <name>

比如：

com.example.hookinunidbg on (google: 13) [usb] # android hooking search classes MainActivity
Note that Java classes are only loaded when they are used, so if the expected class has not been found, it might not have been loaded yet.
com.example.hookinunidbg.MainActivity
com.example.hookinunidbg.MainActivity$1

Found 2 classes

methods

根据字符串搜索方法。

因为搜索的东西很多，因此很容易让进程崩溃，不建议使用。

set⭐

暂时只有return_value。能够修改一个返回值为布尔值的方法的值。

1	android hooking set return_value "<fully qualified class method>" "<optional overload>" (eg: "com.example.test.doLogin") <true/false>

watch 监视类或方法

用于监视类或者方法的活动。

class⭐

监视一个class内的一切活动。

1	android hooking watch class <class> (eg: com.example.test)

比如：

com.example.hookinunidbg on (google: 13) [usb] # android hooking watch class com.example.hookinunidbg.MainActivity --dump-args
(agent) Hooking com.example.hookinunidbg.MainActivity.call()
(agent) Hooking com.example.hookinunidbg.MainActivity.onCreate(android.os.Bundle)
(agent) Registering job 163120. Type: watch-class for: com.example.hookinunidbg.MainActivity
com.example.hookinunidbg on (google: 13) [usb] # (agent) [163120] Called com.example.hookinunidbg.MainActivity.call()
(agent) [163120] Called com.example.hookinunidbg.MainActivity.call()
(agent) [163120] Called com.example.hookinunidbg.MainActivity.call()
(agent) [163120] Called com.example.hookinunidbg.MainActivity.call()

支持的额外参数：

--dump-args
--dump-backtrace
--dump-return

class_method⭐

具体监视一个类方法。

1	android hooking watch class_method com.example.hookinunidbg.MainActivity.call

比如：

com.example.hookinunidbg on (google: 13) [usb] # android hooking watch class_method com.example.hookinunidbg.MainActivity.call
(agent) Attempting to watch class com.example.hookinunidbg.MainActivity and method call.
(agent) Hooking com.example.hookinunidbg.MainActivity.call()
(agent) Registering job 004766. Type: watch-method for: com.example.hookinunidbg.MainActivity.call
com.example.hookinunidbg on (google: 13) [usb] # (agent) [004766] Called com.example.hookinunidbg.MainActivity.call()
(agent) [004766] Called com.example.hookinunidbg.MainActivity.call()
(agent) [004766] Called com.example.hookinunidbg.MainActivity.call()
(agent) [004766] Called com.example.hookinunidbg.MainActivity.call()

intent⭐

用于启动指定的Activity或者Service。比如：

1 2	android intent launch_activity com.example.hookinunidbg.MainActivity android intent launch_service <service_class>

这样就可以模拟打开一个新的Activity。

keystore

Android KeyStore。不知道干啥的。

1	android keystore list

proxy

用于为APP设置proxy的。

1	android proxy set <ip address> <port>

ui

截图：

1	android ui screenshot D://img.png

有的恶俗APP会有意设置FLAG_SECURE为true，禁止用户截图。这里提供了一个修改的功能：

1	android ui FLAG_SECURE false

shell_exec

执行shell指令。感觉没啥用处。

sslpinning

Android SSL pinning。可以关闭SSL校验。

1	android sslpinning disable

file（不知道干啥的）

1 2	file download <remote path> [<local path>] file upload <local path> [<remote path>]

import 导入frida脚本

1	import <local path frida-script>

jobs 检查现有任务⭐

刚刚的Hook以及监视都会被认为是一个任务，因此会在这里列举出来。

//查看任务列表
jobs list

//关闭任务
jobs kill [task_id]

比如：

com.example.hookinunidbg on (google: 13) [usb] # jobs list
Job ID  Hooks  Type
------  -----  ------------------------------------------------------------
948325      3  root-detection-disable
532634      2  watch-class for: com.example.hookinunidbg.MainActivity
163120      2  watch-class for: com.example.hookinunidbg.MainActivity
760780      2  watch-class for: com.example.hookinunidbg.MainActivity
004766      1  watch-method for: com.example.hookinunidbg.MainActivity.call
548538      2  android-keystore-watch

frida（报错，已修复）

打印frida等环境信息。（Script Filename那个没信息，不知道为什么）

asvid.github.io.fridaapp on (google: 13) [usb] # frida
--------------------  -------
Frida Version         16.1.4
Process Architecture  arm64
Process Platform      linux
Debugger Attached     False
Script Runtime        QJS
Script Filename
Frida Heap Size       7.5 MiB
--------------------  -------

报错指令

1
2
3

android hooking list receivers
android hooking list services
frida

修复

frida指令报错

编辑：

1	C:\Python310\lib\site-packages\objection\commands\frida_commands.py

38行：

frida_env = state_connection.get_api().env_frida()

click.secho(tabulate([
    ('Frida Version', frida_env['version']),
    ('Process Architecture', frida_env['arch']),
    ('Process Platform', frida_env['platform']),
    ('Debugger Attached', frida_env['debugger']),
    ('Script Runtime', frida_env['runtime']),
    ('Script Filename', frida_env['filename']),
    ('Frida Heap Size', sizeof_fmt(frida_env['heap']))
]))

把这种直接取字典的恶俗行为，改成.get方法。

修改后：

frida_env = state_connection.get_api().env_frida()

click.secho(tabulate([
    ('Frida Version', frida_env.get('version')),
    ('Process Architecture', frida_env.get('arch')),
    ('Process Platform', frida_env.get('platform')),
    ('Debugger Attached', frida_env.get('debugger')),
    ('Script Runtime', frida_env.get('runtime')),
    ('Script Filename', frida_env.get('filename')),
    ('Frida Heap Size', sizeof_fmt(frida_env.get('heap')))
]))

参考

sensepost/objection: 📱 objection - runtime mobile exploration (github.com)

Objection的安装和简单使用 - 走看看 (zoukankan.com)

ill-intentions - hktk1643 - 博客园 (cnblogs.com)

Objection Tutorial - HackTricks

本文作者： Taardis
本文链接： https://taardisaa.github.io/2023/09/05/Android逆向-Objection/
版权声明： 本博客所有文章除特别声明外，均采用 Apache License 2.0 许可协议。转载请注明出处！