本帖最后由 wxkly8888 于 2021-12-7 14:24 编辑
最近博主发现一个android 反编译神器 androidFaker,这个工具能hook java 和so库中的函数,甚至可以直接将apk 打开为AndroidStudio标准工程直接run起来。
传送门:FakerAndroid
博主想着能否借助这款神器,来破解下之前《教我兄弟学Android逆向系列课程》中的apk签名验证。最终成功实现了原文的目标:
爆破李华Demo中的用户名和密码 要求输入任意用户名和密码 会提示登陆成功
没有看过这系列文章的同学可以去看看,写的很不错,附传送门:
《教我兄弟学Android逆向系列课程+附件导航帖》
《教我兄弟学Android逆向08 IDA爆破签名验证》
本文的demo 不需要手机root, 不需要修改arm指令,所需要的仅仅是
`1. 待破解的apk
- Android Studio(带AndroidFaker的插件,不会装插件的同学可以参考下fakerAndroid 的github的说明)
- IDA, 用于so库的函数地址的查找`
FakerAndroid打开Apk文件
通过Android studio 直接打开源apk文件
打开之后的项目目录如下:
hook so库函数
-
通过《教我兄弟学Android逆向08 IDA爆破签名验证》我们知道,源apk在so方法中做了签名以及用户名密码校验。
主要是check 这个jni方法。
package demo2.jni.com.myapplication;
public class myJNI {
static {
System.loadLibrary("JniTest");
}
public native String check(Object arg1, String arg2, String arg3) {
}
}
2.通过IDA 打开源apk文件中的libJniTest.so库,查找check函数偏移地址。
这里需要注意的是选取正确的so文件,,如果你的手机是armeabi-v7a的,需打开armeabi-v7a 文件夹下的so文件,如果是V8的 需打开armeabi-v8a的so文件。我这个demo跑在模拟器上,所以我这边需要打开的是x86文件夹下的so文件。
-
在native-lib.cpp文件进行so库函数的hook
在Java_com_fakerandroid_boot_FakerApp_fakeApp这个回调函数中里进行hook, 其中functionAdress填入刚才check函数的偏移地址。
fakeCpp 将源地址的函数替换成我们的hook 函数。这里我们在fakerMethod 直接返回 登录成功,代码如下:
jstring fakeMethod(JNIEnv *env){:
LOGI("fake method called");
jstring toast = env->NewStringUTF("登录成功");
return toast;
}
extern "C"
JNIEXPORT void JNICALL
Java_com_fakerandroid_boot_FakerApp_fakeApp(JNIEnv *env, jobject thiz, jobject application) {
//so库在内存的基准地址
long base = baseImageAddr("libJniTest.so");
LOGE("baseImageAddr : %ld",base);
//通过IDA获取此方法的地址0x000006E0;
long functionAdress=base+0x000006E0;
LOGE("functionAdress : %ld",functionAdress);
//将源方法替换成我们自己的fakeMethod
fakeCpp((void *) (functionAdress), (void *) fakeMethod, reinterpret_cast<void **>(&functionAdress));
}
4.打包测试
fakerAndroid 厉害的地方在于反编译之后可以直接在android studio中run起来,当然你也可以重新签名源apk。最后看下效果图:
至此,成功hook了源apk中的check函数。
演示代码地址:https://pan.baidu.com/s/1SjPrfIfdVQ06pBfXlhXndg 密码:npba | 
发表于 2021-12-7 14:20
|
发表于 2021-12-8 10:13
