在Frida里面做http请求: 聊聊jar to dex

公众号: 奋飞安全
• 阅读 400

一、目标

李老板: 奋飞呀,你hook这个App之后拿到token,然后上报给我的服务器好不好?

奋飞: 木问题。

二、步骤

gumjs-http

在frida里面做http请求,最根正苗红的必须是 gumjs-http ,大胡子出品,有保障

https://github.com/frida/gumjs-http

可惜的是我没有搞明白,李老板催的紧,木有时间去慢慢研究了。

先搞个Server测试

子曾经曰过: 人生苦短,快用Python。

不过最近发现go更适合我们这些C/C++老江湖。先撸个测试的Http Server出来

package main

import "github.com/gin-gonic/gin"

func main() {
    // https://geektutu.com/post/quick-go-gin.html
    r := gin.Default()
    r.GET("/", func(c *gin.Context) {
        c.String(200, "Hello World")
    })
    r.Run() // listen and serve on 0.0.0.0:8080
}

老朋友AndroidAsync

http://91fans.com.cn/post/fridarpctwo/

之前我们在Frida RPC的时候介绍过用 AndroidAsync 来做httpServer。既然能做Server,那么大概率也能做HttpClient吧?

https://github.com/koush/AndroidAsync

// url is the URL to download.
AsyncHttpClient.getDefaultInstance().getString(url, new AsyncHttpClient.StringCallback() {
    // Callback is invoked with any exceptions/errors, and the result, if available.
    @Override
    public void onCompleted(Exception e, AsyncHttpResponse response, String result) {
        if (e != null) {
            e.printStackTrace();
            return;
        }
        System.out.println("I got a string: " + result);
    }
});

查了一下它的文档,果然有戏。

那就这么玩

var url = "http://192.168.2.103:8080/?tk=123456";

Java.openClassFile("/data/local/tmp/androidAsync.dex").load();

var AsyncHttpClient = Java.use("com.koushikdutta.async.http.AsyncHttpClient");

var androidClent = AsyncHttpClient.getDefaultInstance().execute(url,null);

是的,我嫌 AsyncHttpClient.StringCallback 初始化太麻烦,反正李老板只要我上报,没说要检查结果。

[GIN] 2022/05/25 - 10:33:12 | 200 |      35.119µs |   192.168.2.105 | GET      /?tk=123456

没问题,上报成功,可以收工干鲜啤去了。

jar to dex 打开新世界的大门

事情还没结束,老板这种生物果然不能用常理推测。李老板居然要我判断下返回值和提交失败的情况。

有了 AndroidAsync 的经验,对于咱们这种二把刀java程序员来说,有个更帅的解决方案,我拿java写好一个http函数,然后直接编译成dex来给frida调用不就行了。

说干就干,打开idea,写个http请求的函数。

package com.fenfei.http;

public class Main {
    public static String doGet(String httpurl) {...}
    public static String doPost(String httpUrl, String param) {...}

    public static void main(String[] args) {
        System.out.println(doGet("http://192.168.2.103:8080/?tk=8976"));
    }
}

然后编译成jar包

在Frida里面做http请求: 聊聊jar to dex

我们得到了 fridaHttp.jar

然后需要一个dx命令来把 jar转成 dex

dx命令一般生活在你装的Android SDK的 build-tools 目录下面

比如我的在

/Users/fenfei/Library/Android/sdk/build-tools/23.0.2

然后执行,(我把fridaHttp.jar文件直接拷到dx同一目录了)

./dx --dex --output=fridaHttp.dex fridaHttp.jar 

果不其然,报错了,

java.lang.RuntimeException: Exception parsing classes

这个不要慌,谷哥会告诉我们原因,我本机编译jar包用的jdk版本是1.8。 而Android貌似最高只支持jdk 1.7。

所以需要把编译的jdk版本改成1.7

在Frida里面做http请求: 聊聊jar to dex

重新编译一下,再跑一下dx命令,完美生成 fridaHttp.dex

adb push扔到手机里面,开始重写js

var url = "http://192.168.2.103:8080/?tk=123456";

Java.openClassFile("/data/local/tmp/fridaHttp.dex").load();

var MainHttpCls = Java.use("com.fenfei.http.Main");

var rc = MainHttpCls.doGet(url);
console.log(rc);

跑一下,没天理呀,还报错

Error: android.os.NetworkOnMainThreadException

唉,作为一个二把刀java程序员太难了。

继续问谷哥吧,哥说了,java不让在主线程里面做http请求,你为啥不早说。

class sendHttpCls implements Runnable{
    public void run(){
        doGet(url);    
    }
}

public class RunnableDemo{
    public static void main(String[] args){
        sendHttpCls my = new sendHttpCls();
        new Thread(my).start();
    }
}

解决办法炒鸡Easy,起个线程包起来就行了。不过我dex好不容易编译好了,舍不得改了。

试试在Frida里面起多线程吧。

var Thread = Java.use("java.lang.Thread");
var Runnable = Java.use("java.lang.Runnable"); 
var sendHttpCls = Java.registerClass({ //注册一个类
    name: "com.example.fenfei",   //包名
    implements: [Runnable], //实现Runnable
    methods: {
        run: function () {
            var rc = MainHttpCls.doGet(url);
            console.log(rc);
        }
    }
});

var uHttp = sendHttpCls.$new();
Thread.$new(uHttp).start();

再跑一下,完美搞定,排队买鲜啤去了~

三、总结

实现很重要,实现的原理更重要,了解原理了,就可以举一反三。

搞Android逆向,可以不懂java,但是要有借助谷哥搞明白的能力。有问题先问谷哥,再问飞哥。

在Frida里面做http请求: 聊聊jar to dex 从理论上说,理论与实践没有不同,但是到了实践中,二者却有天壤之别

TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全,最新技术干货实时推送

点赞
收藏
评论区
推荐文章
blmius blmius
2年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
不能Hook的人生不值得 jsHook和模拟执行
一、目标李老板:奋飞呀,上次分析的那个App光能Debug还不够呀,网页中的js也用不了Frida,我还想Hook它的函数,咋搞呀?再有App可以RPC去执行签名,这个js我如何去利用呀?总不能代码都改成js去做请求吧?奋飞:老板呀,你一下提这么多要求,不是明摆着要我们加班吗?这次加班费可得加倍。二、步骤最简单易行的jsHookcon
某神奇App data加密算法解析(一)
一、目标李老板:奋飞呀,我遇到一个超级牛掰的App,它请求的时候有个data参数加密,用尽了你介绍的所有的方法,都找不到它是如何加密的。奋飞:子曾经曰过,老板的嘴,骗人的鬼。有这么牛掰的App,那么我们这帮兄弟早就失业了。某神奇Appv10.1.0点社区随便打开一篇有评论的文章今天的目标就是这个data二、步骤搜索特征字符串目标是data,所以我
Jacquelyn38 Jacquelyn38
2年前
2020年前端实用代码段,为你的工作保驾护航
有空的时候,自己总结了几个代码段,在开发中也经常使用,谢谢。1、使用解构获取json数据let jsonData  id: 1,status: "OK",data: 'a', 'b';let  id, status, data: number   jsonData;console.log(id, status, number )
皕杰报表之UUID
​在我们用皕杰报表工具设计填报报表时,如何在新增行里自动增加id呢?能新增整数排序id吗?目前可以在新增行里自动增加id,但只能用uuid函数增加UUID编码,不能新增整数排序id。uuid函数说明:获取一个UUID,可以在填报表中用来创建数据ID语法:uuid()或uuid(sep)参数说明:sep布尔值,生成的uuid中是否包含分隔符'',缺省为
Peter20 Peter20
2年前
mysql中like用法
like的通配符有两种%(百分号):代表零个、一个或者多个字符。\(下划线):代表一个数字或者字符。1\.name以"李"开头wherenamelike'李%'2\.name中包含"云",“云”可以在任何位置wherenamelike'%云%'3\.第二个和第三个字符是0的值wheresalarylike'\00%'4\
手把手教你从Apk中取出算法
一、目标李老板:奋飞呀,我最近从Apk里面跟踪到一个算法,代码清晰,但是我不会java,把他翻译成python貌似挺费劲的,有没有轻松省力的方法呀?奋飞:有的呀,给我加工资,我来翻译。某电商Appv10.4.5,升级之后老有小伙伴说他的sign算法变了,其实他就是做了点小动作。sign参数没有动,uuid是明文去做签名,但是抓包请求里面找不到明文uu
Wesley13 Wesley13
2年前
mysql设置时区
mysql设置时区mysql\_query("SETtime\_zone'8:00'")ordie('时区设置失败,请联系管理员!');中国在东8区所以加8方法二:selectcount(user\_id)asdevice,CONVERT\_TZ(FROM\_UNIXTIME(reg\_time),'08:00','0
Wesley13 Wesley13
2年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
Python进阶者 Python进阶者
2个月前
Excel中这日期老是出来00:00:00,怎么用Pandas把这个去除
大家好,我是皮皮。一、前言前几天在Python白银交流群【上海新年人】问了一个Pandas数据筛选的问题。问题如下:这日期老是出来00:00:00,怎么把这个去除。二、实现过程后来【论草莓如何成为冻干莓】给了一个思路和代码如下:pd.toexcel之前把这
公众号:  奋飞安全
公众号: 奋飞安全
Lv1
奋飞,国家高级信息系统项目管理师,独立安全研究员。 http://91fans.com.cn/
文章
59
粉丝
4
获赞
44