进击的Android注入术《二》
来源:互联网 发布:大数据底层计算引擎 编辑:程序博客网 时间:2024/05/17 04:36
继续
在《一》里,我把基本思路描述了一遍,接下为我们先从注入开始入手。
注入
分类
我们平时所说的代码注入,主要静态和动态两种方式
- 静态注入,针对是可执行文件,比如平时我们修改ELF,DEX文件等等,相关的辅助工具也很多,比如IDA、JEB、ApkTool等等;
- 动态注入,针对是进程,比如修改进程的寄存器、内存值等等;
动态跟静态最大的区别是,动态不需要改动源文件,但需要高权限(通常是root权限),而且所需的技术含量更高。
本质
动态注入技术,本质上就是一种调度技术。想想平时我们调试一个进程时,可以做哪些功能? 一般有下列几项:
- 查看变量值
- 修改变量值
- 跟踪进程跳转
- 查看进程调用堆栈
- 等等
动态注入相比于普通的调试,最大的区别就是动态注入是一个”自动化调试并达到加载自定义动态链接库“的过程。所谓自动化,其实就是通过代码实现,在Linux上通过Ptrace就可以完成上面所有功能,当然Ptrace功能是比较原始的,平时调试中的功能还需要很多高层逻辑封装才可以实现。
在阅读下面章节之前,强烈建议阅读一下man文档,见这里。
目的
一般而言,我们要对一个进程进行注入,主要有以下几方面目的:
- 增强目标进程的功能;
- 修复目标进程缺陷;
- 劫持目标进程函数;
- 窃取目标进程数据;
- 篡改目标进程数据;
过程
如上图所示,进程A注入到进程B后,通过修改寄存器和内存,让进程B加载自定义的动态库a,当a被加载后,a会尝试加载其他模块,比如加载dex文件等等,具体的注入过程如下:
- ATTATCH,指定目标进程,开始调试;
- GETREGS,获取目标进程的寄存器,保存现场;
- SETREGS,修改PC等相关寄存器,使其指向mmap;
- POPETEXT,把so path写入mmap申请的地址空间;
- SETRESG,修改PC等相关寄存器,使其指向dlopen;
- SETREGS,恢复现场;
- DETACH,解除调试,使其恢复;
上述是一个简化的过程,整个注入的代码,我已经上传到github,地址https://github.com/boyliang/Poison
当so被dlopen加载到目标进程后,我们需要让so中的逻辑被执行,比较复杂的做法是同样使用ptrace修改寄存器的办法,让目标进程调用dlsym找到我们函数的地址。而比较简单的做法有两种,如下
- 使用gcc的预编译指令__attribute__ ((__constructor__)),作用是让so被加载后,函数被自动执行;
__attribute__ ((__constructor__))void Main() { LOGI(">>>>>>>>>>>>>I am in, I am a bad boy 1!!!!<<<<<<<<<<<<<<"); void* handle = dlopen("libinso.so", RTLD_NOW); void (*setA_func)(int) = (void (*)(int))dlsym(handle, "setA"); if (setA_func) { setA_func(999); }}
- 使用c++全局对象初始化,其构造函数会被自动执行;
void Main();static void* _main(void*){Main();return NULL;}class EntryClass {public:EntryClass() {pthread_t tid;pthread_create(&tid, NULL, _main, NULL);pthread_detach(tid);}} boy;
示例一
下面示例一个通过ptrace注入的示例,涉及到两部分代码,一部分是目标进程代码记作host,另一部分是被我们注入的so代码记作libmyso.so
Host代码
包含三个源文件,分别是demo1.c,inso.h, inso.c
/* * inso.h * * Created on: 2014年6月24日 * Author: boyliang */__attribute__ ((visibility ("default"))) void setA(int i);__attribute__ ((visibility ("default"))) int getA();
/* * inso.c * * Created on: 2014年6月24日 * Author: boyliang */#include <stdio.h>#include "inso.h"static int gA = 1;void setA(int i){gA = i;}int getA(){return gA;}
/* * demo1.c * * Created on: 2014年6月24日 * Author: boyliang */#include <stdio.h>#include <unistd.h>#include "inso.h"#include "log.h"int main(){LOGI("DEMO1 start.");while(1){LOGI("%d", getA());setA(getA() + 1);sleep(2);}return 0;}
libmyso.so代码
/* * myso.c * * Created on: 2014年6月24日 * Author: boyliang */#include <stdio.h>#include <stddef.h>#include <dlfcn.h>#include <pthread.h>#include <stddef.h>#include "log.h"__attribute__ ((__constructor__))void Main() {LOGI(">>>>>>>>>>>>>I am in, I am a bad boy 1!!!!<<<<<<<<<<<<<<");void* handle = dlopen("libinso.so", RTLD_NOW);void (*setA_func)(int) = (void (*)(int))dlsym(handle, "setA");if (setA_func) {setA_func(999);}}
调用
注入程序,我将其命名为poison,使用方法是poison <so_path> <target_pit>。下面是示例的输出显示:
I/TTT ( 594): DEMO1 start.I/TTT ( 594): 1I/TTT ( 594): 2I/TTT ( 594): 3I/TTT ( 594): 4I/TTT ( 594): 5I/TTT ( 594): 6I/TTT ( 594): 7I/TTT ( 594): >>>>>>>>>>>>>I am in, I am a bad boy 1!!!!<<<<<<<<<<<<<<I/TTT ( 594): 999I/TTT ( 594): 1000I/TTT ( 594): 1001当执行./poison /data/local/tmp/libmyso.so 594后,输出中马上出现了特定字符串,并且打印的数据一下子变成了999,证明我们注入成功了。
示例代码
上述示例所涉及到代码,我都放发布到github上了,大家如果想研究代码,可以到https://github.com/boyliang/injection_by_ptrace
在《三》,我会再介绍一种Android上特有的注入技术,敬请期待。
2 0
- 进击的Android注入术《二》
- 进击的Android Hook 注入术《二》
- 进击的Android注入术《二》
- 进击的Android注入术
- 进击的Android注入术《一》
- 进击的Android注入术《三》
- 进击的Android注入术《四》
- 进击的Android注入术《五》
- 进击的Android Hook 注入术《一》
- 进击的Android Hook 注入术《三》
- 进击的Android Hook 注入术《四》
- 进击的Android Hook 注入术《五》
- 进击的Android注入术《一》
- 进击的Android注入术《三》
- 进击的Android注入术《四》
- 进击的Android注入术《五》
- 进击的Android之manifests
- 进击的Android之ListView
- 快速排序函数
- Araxis Merge基本配置及操作
- Spring整合Ibatis之SqlMapClientDaoSupport
- 开发工具
- js 删除对象的属性 delete的用法
- 进击的Android注入术《二》
- js 数组删除
- POJ 3101 Astronomy
- Codeforces Round #260 (Div. 2) B. Fedya and Maths【超数范围的取模】
- jquery Cookie操作
- 通过 spring 的 EL 表达式解决不同环境的部署参数配置问题
- Zookeeper C API 指南
- 开始学习hadoop
- javascript小白学习指南2