mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['', 'src/mobile-pentesting/android-app-pentesting/android-an
This commit is contained in:
parent
b6dcff8811
commit
65ed6d47db
@ -2,30 +2,30 @@
|
||||
|
||||
{{#include ../../banners/hacktricks-training.md}}
|
||||
|
||||
Αυτή η σελίδα παρέχει μια πρακτική ροή εργασίας για να ανακτήσετε τη dynamic analysis ενάντια σε Android apps που ανιχνεύουν/root‑μπλοκάρουν instrumentation ή επιβάλλουν TLS pinning. Εστιάζει στην ταχεία αξιολόγηση, στις κοινές ανιχνεύσεις και σε copy‑pasteable hooks/tactics για να τα παρακάμψετε χωρίς repacking όταν είναι δυνατόν.
|
||||
Αυτή η σελίδα παρέχει μια πρακτική ροή εργασίας για να ανακτήσετε τη δυναμική ανάλυση σε Android εφαρμογές που ανιχνεύουν/αποκλείουν instrumentation ή επιβάλλουν TLS pinning. Εστιάζει σε ταχεία αξιολόγηση, κοινούς ανιχνευτικούς ελέγχους, και copy‑pasteable hooks/tactics για να τα παρακάμψετε χωρίς repacking όταν είναι εφικτό.
|
||||
|
||||
## Detection Surface (what apps check)
|
||||
|
||||
- Έλεγχοι root: su binary, Magisk paths, getprop values, common root packages
|
||||
- Root checks: su binary, Magisk paths, getprop values, common root packages
|
||||
- Frida/debugger checks (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), scanning /proc, classpath, loaded libs
|
||||
- Native anti‑debug: ptrace(), syscalls, anti‑attach, breakpoints, inline hooks
|
||||
- Έλεγχοι πρώιμης εκκίνησης: Application.onCreate() ή hooks κατά την εκκίνηση της διεργασίας που κάνουν crash αν υπάρχει instrumentation
|
||||
- Early init checks: Application.onCreate() or process start hooks that crash if instrumentation is present
|
||||
- TLS pinning: custom TrustManager/HostnameVerifier, OkHttp CertificatePinner, Conscrypt pinning, native pins
|
||||
|
||||
## Step 1 — Quick win: hide root with Magisk DenyList
|
||||
|
||||
- Ενεργοποιήστε Zygisk στο Magisk
|
||||
- Ενεργοποιήστε το DenyList, προσθέστε το target package
|
||||
- Επανεκκινήστε και επανελέγξτε
|
||||
- Enable Zygisk in Magisk
|
||||
- Enable DenyList, add the target package
|
||||
- Reboot and retest
|
||||
|
||||
Πολλές εφαρμογές κοιτάνε μόνο για προφανείς ενδείξεις (su/Magisk paths/getprop). Το DenyList συχνά εξουδετερώνει τους απλοϊκούς ελέγχους.
|
||||
Πολλές εφαρμογές ψάχνουν μόνο για προφανείς ενδείξεις (su/Magisk paths/getprop). Το DenyList συχνά εξουδετερώνει τους απλοϊκούς ελέγχους.
|
||||
|
||||
References:
|
||||
- Magisk (Zygisk & DenyList): https://github.com/topjohnwu/Magisk
|
||||
|
||||
## Step 2 — 30‑second Frida Codeshare tests
|
||||
|
||||
Δοκιμάστε κοινά drop‑in scripts πριν προχωρήσετε σε βαθύτερη ανάλυση:
|
||||
Δοκιμάστε έτοιμα drop‑in scripts πριν προχωρήσετε σε βαθύτερη ανάλυση:
|
||||
|
||||
- anti-root-bypass.js
|
||||
- anti-frida-detection.js
|
||||
@ -35,13 +35,13 @@ Example:
|
||||
```bash
|
||||
frida -U -f com.example.app -l anti-frida-detection.js
|
||||
```
|
||||
Αυτά συνήθως αντικαθιστούν (stub) Java root/debug checks, process/service scans και native ptrace(). Χρήσιμα σε lightly protected apps· hardened targets μπορεί να χρειάζονται tailored hooks.
|
||||
Συνήθως κάνουν stub Java root/debug ελέγχους, process/service σαρώσεις και native ptrace(). Χρήσιμα σε ελαφρώς προστατευμένες εφαρμογές· hardened targets μπορεί να χρειαστούν tailored hooks.
|
||||
|
||||
- Codeshare: https://codeshare.frida.re/
|
||||
|
||||
## Αυτοματοποιήστε με Medusa (Frida framework)
|
||||
|
||||
Το Medusa παρέχει 90+ έτοιμα modules για SSL unpinning, root/emulator detection bypass, HTTP comms logging, crypto key interception και άλλα.
|
||||
Medusa παρέχει 90+ έτοιμα modules για SSL unpinning, root/emulator detection bypass, HTTP comms logging, crypto key interception, και άλλα.
|
||||
```bash
|
||||
git clone https://github.com/Ch0pin/medusa
|
||||
cd medusa
|
||||
@ -56,38 +56,38 @@ run com.target.app
|
||||
```
|
||||
Συμβουλή: Το Medusa είναι εξαιρετικό για γρήγορες νίκες πριν γράψετε custom hooks. Μπορείτε επίσης να cherry-pick modules και να τα συνδυάσετε με τα δικά σας scripts.
|
||||
|
||||
## Βήμα 3 — Παράκαμψη των init-time detectors με σύνδεση αργότερα
|
||||
## Βήμα 3 — Παράκαμψη init-time detectors με attaching αργότερα
|
||||
|
||||
Πολλές ανιχνεύσεις τρέχουν μόνο κατά το process spawn/onCreate(). Η spawn‑time injection (-f) ή τα gadgets εντοπίζονται· η σύνδεση μετά τη φόρτωση του UI μπορεί να περάσει απαρατήρητη.
|
||||
Πολλές ανιχνεύσεις τρέχουν μόνο κατά τη διάρκεια του process spawn/onCreate(). Η Spawn‑time injection (-f) ή gadgets εντοπίζονται· το attaching μετά το φόρτωμα του UI μπορεί να περάσει απαρατήρητο.
|
||||
```bash
|
||||
# Launch the app normally (launcher/adb), wait for UI, then attach
|
||||
frida -U -n com.example.app
|
||||
# Or with Objection to attach to running process
|
||||
aobjection --gadget com.example.app explore # if using gadget
|
||||
```
|
||||
Αν αυτό λειτουργήσει, κράτησε τη συνεδρία σταθερή και προχώρα στη χαρτογράφηση και στους ελέγχους των stubs.
|
||||
Αν αυτό λειτουργήσει, διατήρησε τη συνεδρία σταθερή και προχώρα σε map και stub checks.
|
||||
|
||||
## Βήμα 4 — Χαρτογράφησε τη λογική ανίχνευσης μέσω Jadx και αναζήτησης συμβολοσειρών
|
||||
## Step 4 — Χαρτογράφησε τη λογική ανίχνευσης μέσω Jadx και string hunting
|
||||
|
||||
Στατικές λέξεις-κλειδιά στο Jadx:
|
||||
Στατικές λέξεις-κλειδιά για triage στο Jadx:
|
||||
- "frida", "gum", "root", "magisk", "ptrace", "su", "getprop", "debugger"
|
||||
|
||||
Τυπικά μοτίβα Java:
|
||||
Τυπικά Java patterns:
|
||||
```java
|
||||
public boolean isFridaDetected() {
|
||||
return getRunningServices().contains("frida");
|
||||
}
|
||||
```
|
||||
Συνηθισμένα APIs προς review/hook:
|
||||
Συνηθισμένα APIs προς αναθεώρηση/hook:
|
||||
- android.os.Debug.isDebuggerConnected
|
||||
- android.app.ActivityManager.getRunningAppProcesses / getRunningServices
|
||||
- java.lang.System.loadLibrary / System.load (γέφυρα εγγενούς κώδικα)
|
||||
- java.lang.Runtime.exec / ProcessBuilder (εντολές ανίχνευσης)
|
||||
- android.os.SystemProperties.get (ευριστικές για root/emulator)
|
||||
- java.lang.System.loadLibrary / System.load (native bridge)
|
||||
- java.lang.Runtime.exec / ProcessBuilder (probing commands)
|
||||
- android.os.SystemProperties.get (root/emulator heuristics)
|
||||
|
||||
## Βήμα 5 — Runtime stubbing with Frida (Java)
|
||||
## Βήμα 5 — Runtime stubbing με Frida (Java)
|
||||
|
||||
Override custom guards για να επιστρέφουν safe values χωρίς repacking:
|
||||
Παράκαμψε custom guards για να επιστρέφουν ασφαλείς τιμές χωρίς repacking:
|
||||
```js
|
||||
Java.perform(() => {
|
||||
const Checks = Java.use('com.example.security.Checks');
|
||||
@ -102,7 +102,7 @@ const AM = Java.use('android.app.ActivityManager');
|
||||
AM.getRunningAppProcesses.implementation = function () { return java.util.Collections.emptyList(); };
|
||||
});
|
||||
```
|
||||
Αναλύετε πρώιμες καταρρεύσεις; Dump classes λίγο πριν καταρρεύσει για να εντοπίσετε πιθανές detection namespaces:
|
||||
Αν διαχειρίζεστε πρώιμα crashes, κάντε dump των classes λίγο πριν τερματίσει για να εντοπίσετε πιθανές detection namespaces:
|
||||
```js
|
||||
Java.perform(() => {
|
||||
Java.enumerateLoadedClasses({
|
||||
@ -119,7 +119,7 @@ RootChecker.isDeviceRooted.implementation = function () { return false; };
|
||||
} catch (e) {}
|
||||
});
|
||||
|
||||
Καταγράψτε και ουδετεροποιήστε ύποπτες μεθόδους για να επιβεβαιώσετε τη ροή εκτέλεσης:
|
||||
Καταγράψτε και αδρανοποιήστε ύποπτες μεθόδους για να επιβεβαιώσετε τη ροή εκτέλεσης:
|
||||
```js
|
||||
Java.perform(() => {
|
||||
const Det = Java.use('com.example.security.DetectionManager');
|
||||
@ -131,9 +131,9 @@ return false;
|
||||
```
|
||||
## Bypass emulator/VM detection (Java stubs)
|
||||
|
||||
Συνηθισμένες ευρετικές μέθοδοι: Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE που περιέχουν generic/goldfish/ranchu/sdk; QEMU artifacts όπως /dev/qemu_pipe, /dev/socket/qemud; προεπιλεγμένη MAC 02:00:00:00:00:00; 10.0.2.x NAT; έλλειψη τηλεφωνίας/αισθητήρων.
|
||||
Κοινές ευρετικές μέθοδοι: Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE που περιέχουν generic/goldfish/ranchu/sdk; QEMU ίχνη όπως /dev/qemu_pipe, /dev/socket/qemud; προεπιλεγμένη διεύθυνση MAC 02:00:00:00:00:00; 10.0.2.x NAT; έλλειψη τηλεφωνίας/αισθητήρων.
|
||||
|
||||
Γρήγορο spoof των Build fields:
|
||||
Γρήγορο spoof των πεδίων Build:
|
||||
```js
|
||||
Java.perform(function(){
|
||||
var Build = Java.use('android.os.Build');
|
||||
@ -143,11 +143,11 @@ Build.BRAND.value = 'google';
|
||||
Build.FINGERPRINT.value = 'google/panther/panther:14/UP1A.231105.003/1234567:user/release-keys';
|
||||
});
|
||||
```
|
||||
Συμπληρώστε με stubs για ελέγχους ύπαρξης αρχείων και για αναγνωριστικά (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList) ώστε να επιστρέφουν ρεαλιστικές τιμές.
|
||||
Συμπλήρωσε με stubs για ελέγχους ύπαρξης αρχείων και αναγνωριστικά (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList) ώστε να επιστρέφουν ρεαλιστικές τιμές.
|
||||
|
||||
## SSL pinning bypass quick hook (Java)
|
||||
|
||||
Αδρανοποιήστε προσαρμοσμένους TrustManagers και εξαναγκάστε permissive SSL contexts:
|
||||
Αδρανοποίησε custom TrustManagers και εξανάγκασε permissive SSL contexts:
|
||||
```js
|
||||
Java.perform(function(){
|
||||
var X509TrustManager = Java.use('javax.net.ssl.X509TrustManager');
|
||||
@ -165,17 +165,17 @@ return SSLContextInit.call(this, km, TrustManagers, sr);
|
||||
};
|
||||
});
|
||||
```
|
||||
Σημειώσεις
|
||||
- Επεκτείνετε για OkHttp: hook okhttp3.CertificatePinner και HostnameVerifier όπως χρειάζεται, ή χρησιμοποιήστε ένα universal unpinning script από CodeShare.
|
||||
Notes
|
||||
- Επέκτεινε για OkHttp: hook okhttp3.CertificatePinner and HostnameVerifier όπως απαιτείται, ή χρησιμοποίησε ένα universal unpinning script από CodeShare.
|
||||
- Παράδειγμα εκτέλεσης: `frida -U -f com.target.app -l ssl-bypass.js --no-pause`
|
||||
|
||||
## Βήμα 6 — Ακολουθήστε το JNI/native μονοπάτι όταν τα Java hooks αποτύχουν
|
||||
## Step 6 — Ακολούθησε το JNI/native μονοπάτι όταν τα Java hooks αποτυγχάνουν
|
||||
|
||||
Ιχνηλατήστε τα σημεία εισόδου JNI για να εντοπίσετε native loaders και detection init:
|
||||
Ιχνηλάτησε τα JNI entry points για να εντοπίσεις native loaders και detection init:
|
||||
```bash
|
||||
frida-trace -n com.example.app -i "JNI_OnLoad"
|
||||
```
|
||||
Γρήγορη native triage των bundled .so files:
|
||||
Γρήγορη εγγενής αξιολόγηση των συσκευασμένων αρχείων .so:
|
||||
```bash
|
||||
# List exported symbols & JNI
|
||||
nm -D libfoo.so | head
|
||||
@ -186,7 +186,7 @@ strings -n 6 libfoo.so | egrep -i 'frida|ptrace|gum|magisk|su|root'
|
||||
- Ghidra: https://ghidra-sre.org/
|
||||
- r2frida: https://github.com/nowsecure/r2frida
|
||||
|
||||
Παράδειγμα: Αδρανοποιήστε ptrace για να παρακάμψετε απλό anti‑debug στο libc:
|
||||
Παράδειγμα: εξουδετέρωση ptrace για να παρακάμψετε απλό anti‑debug στο libc:
|
||||
```js
|
||||
const ptrace = Module.findExportByName(null, 'ptrace');
|
||||
if (ptrace) {
|
||||
@ -202,22 +202,22 @@ reversing-native-libraries.md
|
||||
|
||||
## Βήμα 7 — Objection patching (embed gadget / strip basics)
|
||||
|
||||
Όταν προτιμάτε το repacking από τα runtime hooks, δοκιμάστε:
|
||||
Όταν προτιμάτε repacking αντί για runtime hooks, δοκιμάστε:
|
||||
```bash
|
||||
objection patchapk --source app.apk
|
||||
```
|
||||
Σημειώσεις:
|
||||
- Απαιτεί apktool· βεβαιωθείτε ότι έχετε μια ενημερωμένη έκδοση από τον επίσημο οδηγό για να αποφύγετε προβλήματα build: https://apktool.org/docs/install
|
||||
- Το Gadget injection επιτρέπει instrumentation χωρίς root, αλλά μπορεί να εντοπιστεί από ισχυρότερους init‑time checks.
|
||||
- Απαιτεί apktool· βεβαιώσου ότι έχεις μια τρέχουσα έκδοση από τον επίσημο οδηγό για να αποφύγεις προβλήματα στο build: https://apktool.org/docs/install
|
||||
- Το Gadget injection επιτρέπει instrumentation χωρίς root, αλλά μπορεί ακόμα να εντοπιστεί από πιο αυστηρούς init‑time ελέγχους.
|
||||
|
||||
Προαιρετικά, προσθέστε LSPosed modules και Shamiko για πιο ισχυρό root hiding σε περιβάλλοντα Zygisk, και επιμεληθείτε τη DenyList ώστε να καλύπτει child processes.
|
||||
Προαιρετικά, πρόσθεσε LSPosed modules και Shamiko για καλύτερη απόκρυψη root σε περιβάλλοντα Zygisk, και διαμόρφωσε τη DenyList ώστε να καλύπτει child processes.
|
||||
|
||||
Αναφορές:
|
||||
- Objection: https://github.com/sensepost/objection
|
||||
|
||||
## Step 8 — Εφεδρική λύση: Patch TLS pinning για ορατότητα δικτύου
|
||||
## Βήμα 8 — Fallback: Patch TLS pinning για ορατότητα δικτύου
|
||||
|
||||
Αν το instrumentation μπλοκαριστεί, μπορείτε ακόμα να ελέγξετε την κίνηση αφαιρώντας το pinning στατικά:
|
||||
Εάν instrumentation μπλοκάρεται, μπορείς ακόμα να επιθεωρήσεις την κίνηση αφαιρώντας το pinning στατικά:
|
||||
```bash
|
||||
apk-mitm app.apk
|
||||
# Then install the patched APK and proxy via Burp/mitmproxy
|
||||
@ -233,7 +233,7 @@ make-apk-accept-ca-certificate.md
|
||||
install-burp-certificate.md
|
||||
{{#endref}}
|
||||
|
||||
## Χρήσιμη λίστα εντολών
|
||||
## Χρήσιμη σύνοψη εντολών
|
||||
```bash
|
||||
# List processes and attach
|
||||
frida-ps -Uai
|
||||
@ -251,12 +251,30 @@ objection --gadget com.example.app explore
|
||||
# Static TLS pinning removal
|
||||
apk-mitm app.apk
|
||||
```
|
||||
## Συμβουλές & προειδοποιήσεις
|
||||
## Καθολική επιβολή proxy + TLS unpinning (HTTP Toolkit Frida hooks)
|
||||
|
||||
- Προτιμήστε το attaching αργότερα αντί του spawning όταν οι apps crash κατά την εκκίνηση
|
||||
- Ορισμένες detections επανεκτελούνται σε κρίσιμες ροές (π.χ., payment, auth) — κρατήστε τα hooks ενεργά κατά την πλοήγηση
|
||||
- Συνδυάστε static και dynamic: string hunt στο Jadx για να shortlistάρετε κλάσεις· στη συνέχεια κάντε hook σε methods για να επαληθεύσετε σε runtime
|
||||
- Εφαρμογές με hardening μπορεί να χρησιμοποιούν packers και native TLS pinning — περιμένετε να reverse native code
|
||||
Οι σύγχρονες εφαρμογές συχνά αγνοούν τα system proxies και εφαρμόζουν πολλαπλά επίπεδα pinning (Java + native), καθιστώντας την καταγραφή του traffic δύσκολη ακόμα και με τα user/system CAs εγκατεστημένα. Μια πρακτική προσέγγιση είναι να συνδυάσετε universal TLS unpinning με proxy forcing μέσω έτοιμων Frida hooks και να δρομολογήσετε τα πάντα μέσω mitmproxy/Burp.
|
||||
|
||||
Ροή εργασίας
|
||||
- Τρέξτε mitmproxy στον host σας (ή Burp). Βεβαιωθείτε ότι η συσκευή μπορεί να φτάσει στο host IP/port.
|
||||
- Φορτώστε τα ενοποιημένα Frida hooks του HTTP Toolkit για να εφαρμόσετε TLS unpinning και να επιβάλετε χρήση proxy σε κοινές στοίβες (OkHttp/OkHttp3, HttpsURLConnection, Conscrypt, WebView, κ.λπ.). Αυτό παρακάμπτει τους ελέγχους CertificatePinner/TrustManager και αντικαθιστά τους proxy selectors, έτσι ώστε το traffic να στέλνεται πάντα μέσω του proxy σας ακόμη κι αν η εφαρμογή απενεργοποιεί ρητά τους proxies.
|
||||
- Ξεκινήστε την target app με Frida και το hook script, και καταγράψτε τα requests στο mitmproxy.
|
||||
|
||||
Παράδειγμα
|
||||
```bash
|
||||
# Device connected via ADB or over network (-U)
|
||||
# See the repo for the exact script names & options
|
||||
frida -U -f com.vendor.app \
|
||||
-l ./android-unpinning-with-proxy.js \
|
||||
--no-pause
|
||||
|
||||
# mitmproxy listening locally
|
||||
mitmproxy -p 8080
|
||||
```
|
||||
Σημειώσεις
|
||||
- Συνδυάστε με έναν proxy σε επίπεδο συστήματος μέσω `adb shell settings put global http_proxy <host>:<port>` όταν είναι δυνατό. Τα Frida hooks θα επιβάλλουν τη χρήση του proxy ακόμα και όταν οι εφαρμογές παρακάμπτουν τις global ρυθμίσεις.
|
||||
- Αυτή η τεχνική είναι ιδανική όταν χρειάζεται να κάνετε MITM σε διαδικασίες onboarding mobile→IoT όπου το pinning/η αποφυγή proxy είναι συνηθισμένα.
|
||||
- Hooks: https://github.com/httptoolkit/frida-interception-and-unpinning
|
||||
|
||||
## Αναφορές
|
||||
|
||||
|
Loading…
x
Reference in New Issue
Block a user