From 9908e8ff53312acd54e03d8d96b773e45b68d45d Mon Sep 17 00:00:00 2001 From: Translator Date: Mon, 29 Sep 2025 12:18:37 +0000 Subject: [PATCH] Translated ['', 'src/mobile-pentesting/android-app-pentesting/android-an --- ...-instrumentation-and-ssl-pinning-bypass.md | 108 ++++++++++-------- 1 file changed, 62 insertions(+), 46 deletions(-) diff --git a/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md b/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md index ed68724d7..1cd9a5ff4 100644 --- a/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md +++ b/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md @@ -2,14 +2,14 @@ {{#include ../../banners/hacktricks-training.md}} -This page provides a practical workflow to regain dynamic analysis against Android apps that detect/root‑block instrumentation or enforce TLS pinning. It focuses on fast triage, common detections, and copy‑pasteable hooks/tactics to bypass them without repacking when possible. +Ova stranica pruža praktičan workflow za ponovno uspostavljanje dinamičke analize protiv Android aplikacija koje detektuju/root‑blokiraju instrumentation ili primenjuju TLS pinning. Fokusira se na brzu trijažu, uobičajene detekcije i copy‑pasteable hooks/tactics za zaobilaženje bez repacking kada je moguće. ## Detection Surface (what apps check) -- Provere vezane za root: su binary, Magisk paths, getprop values, common root packages -- Frida/debugger provere (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), scanning /proc, classpath, loaded libs +- Provere root-a: su binary, Magisk paths, getprop values, uobičajeni root packages +- Frida/debugger checks (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), scanning /proc, classpath, loaded libs - Native anti‑debug: ptrace(), syscalls, anti‑attach, breakpoints, inline hooks -- Rane init provere: Application.onCreate() ili process start hookovi koji crash-uju ako je instrumentacija prisutna +- Early init checks: Application.onCreate() or process start hooks that crash if instrumentation is present - TLS pinning: custom TrustManager/HostnameVerifier, OkHttp CertificatePinner, Conscrypt pinning, native pins ## Step 1 — Quick win: hide root with Magisk DenyList @@ -25,7 +25,7 @@ References: ## Step 2 — 30‑second Frida Codeshare tests -Try common drop‑in scripts before deep diving: +Isprobaj uobičajene drop‑in skripte pre dubljeg uranjanja: - anti-root-bypass.js - anti-frida-detection.js @@ -35,11 +35,11 @@ Example: ```bash frida -U -f com.example.app -l anti-frida-detection.js ``` -Ove obično stub-uju Java root/debug checks, process/service scans i native ptrace(). Korisno za aplikacije sa slabijom zaštitom; za hardenovane ciljeve možda su potrebni prilagođeni hooks. +Ovo obično stub-uje Java root/debug provere, skeniranja procesa/servisa i native ptrace(). Korisno za aplikacije sa slabijom zaštitom; ojačani ciljevi mogu zahtevati prilagođene hooks. - Codeshare: https://codeshare.frida.re/ -## Automatizujte sa Medusa (Frida framework) +## Automatizuj pomoću Medusa (Frida framework) Medusa pruža 90+ gotovih modula za SSL unpinning, root/emulator detection bypass, HTTP comms logging, crypto key interception i još mnogo toga. ```bash @@ -54,22 +54,22 @@ use http_communications/multiple_unpinner use root_detection/universal_root_detection_bypass run com.target.app ``` -Tip: Medusa je odlična za brze pobede pre nego što napišete custom hooks. Takođe možete cherry-pick modules i kombinovati ih sa svojim scripts. +Savet: Medusa je odlična za brze pobede pre nego što napišete custom hooks. Možete takođe cherry-pick modules i kombinovati ih sa sopstvenim scripts. -## Korak 3 — Zaobiđite detektore koji rade pri inicijalizaciji tako što ćete se priključiti kasnije +## Korak 3 — Zaobiđite init-time detektore tako što ćete se attach-ovati kasnije -Mnoge detekcije se pokreću samo tokom process spawn/onCreate(). Spawn‑time injection (-f) ili gadgets bivaju otkriveni; priključenje nakon što se UI učita može proći neopaženo. +Mnoge detekcije se izvršavaju samo tokom process spawn/onCreate(). Spawn‑time injection (-f) ili gadgets bivaju otkriveni; attaching nakon što se UI učita može proći. ```bash # Launch the app normally (launcher/adb), wait for UI, then attach frida -U -n com.example.app # Or with Objection to attach to running process aobjection --gadget com.example.app explore # if using gadget ``` -Ako ovo radi, zadrži sesiju stabilnom i nastavi sa mapiranjem i proverama stub-ova. +Ako ovo radi, održi sesiju stabilnom i nastavi sa mapiranjem i proverama stub-ova. -## Korak 4 — Mapiranje logike detekcije putem Jadx i string hunting +## Korak 4 — Mapiranje logike detekcije putem Jadx i pretrage stringova -Statičke ključne reči za trijažu u Jadx: +Statička trijaža — ključne reči u Jadx-u: - "frida", "gum", "root", "magisk", "ptrace", "su", "getprop", "debugger" Tipični Java obrasci: @@ -85,9 +85,9 @@ Uobičajeni API-ji za pregled/hook: - java.lang.Runtime.exec / ProcessBuilder (probing commands) - android.os.SystemProperties.get (root/emulator heuristics) -## Korak 5 — Runtime stubbing sa Frida (Java) +## Korak 5 — Stubovanje u runtime-u sa Frida (Java) -Override custom guards da vraćaju safe values bez repacking: +Prepišite custom guards da vraćaju sigurne vrednosti bez ponovnog pakovanja: ```js Java.perform(() => { const Checks = Java.use('com.example.security.Checks'); @@ -102,7 +102,7 @@ const AM = Java.use('android.app.ActivityManager'); AM.getRunningAppProcesses.implementation = function () { return java.util.Collections.emptyList(); }; }); ``` -Trijaža ranih crash-eva? Dump-ujte klase neposredno pre nego što aplikacija padne da biste uočili verovatne detection namespaces: +Analiza ranih padova? Dump classes neposredno pre nego što se ugasi da bi uočio verovatne detection namespaces: ```js Java.perform(() => { Java.enumerateLoadedClasses({ @@ -111,7 +111,6 @@ onComplete: () => console.log('Done') }); }); ``` -``` // Quick root detection stub example (adapt to target package/class names) Java.perform(() => { try { @@ -119,9 +118,8 @@ const RootChecker = Java.use('com.target.security.RootCheck'); RootChecker.isDeviceRooted.implementation = function () { return false; }; } catch (e) {} }); -``` -Zabeležite i neutralizujte sumnjive metode da potvrdite tok izvršavanja: +Zabeležite i onesposobite sumnjive metode da potvrdite tok izvršavanja: ```js Java.perform(() => { const Det = Java.use('com.example.security.DetectionManager'); @@ -131,11 +129,11 @@ return false; }; }); ``` -## Zaobilaženje detekcije emulatora/VM (Java stubs) +## Bypass emulator/VM detection (Java stubs) -Uobičajene heuristike: Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE sadrže generic/goldfish/ranchu/sdk; QEMU artefakti kao što su /dev/qemu_pipe, /dev/socket/qemud; podrazumevani MAC 02:00:00:00:00:00; 10.0.2.x NAT; nedostatak telephony/sensors. +Uobičajene heuristike: Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE koji sadrže generic/goldfish/ranchu/sdk; QEMU artefakti poput /dev/qemu_pipe, /dev/socket/qemud; podrazumevani MAC 02:00:00:00:00:00; 10.0.2.x NAT; izostanak telefonskih funkcionalnosti/senzora. -Brzo spoofovanje Build polja: +Brzo lažiranje Build polja: ```js Java.perform(function(){ var Build = Java.use('android.os.Build'); @@ -145,11 +143,11 @@ Build.BRAND.value = 'google'; Build.FINGERPRINT.value = 'google/panther/panther:14/UP1A.231105.003/1234567:user/release-keys'; }); ``` -Dopunite stubovima za provere postojanja fajlova i identifikatore (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList) da vraćaju realistične vrednosti. +Dopuniti stubovima za provere postojanja fajlova i identifikatora (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList) kako bi vraćali realistične vrednosti. ## SSL pinning bypass quick hook (Java) -Neutralizujte prilagođene TrustManagers i primorajte permisivne SSL contexts: +Neutralizujte custom TrustManagers i prisilite permissive SSL contexts: ```js Java.perform(function(){ var X509TrustManager = Java.use('javax.net.ssl.X509TrustManager'); @@ -167,28 +165,28 @@ return SSLContextInit.call(this, km, TrustManagers, sr); }; }); ``` -Napomene -- Proširite za OkHttp: hook okhttp3.CertificatePinner i HostnameVerifier po potrebi, ili koristite univerzalni unpinning script sa CodeShare. +Beleške +- Proširi za OkHttp: hook okhttp3.CertificatePinner i HostnameVerifier po potrebi, ili koristi univerzalni unpinning skript sa CodeShare. - Primer pokretanja: `frida -U -f com.target.app -l ssl-bypass.js --no-pause` -## Korak 6 — Pratite JNI/native trag kada Java hooks zakažu +## Korak 6 — Prati JNI/native trag kada Java hooks ne uspeju -Pratite JNI ulazne tačke da biste pronašli native loadere i inicijalizaciju detekcije: +Prati JNI ulazne tačke kako bi locirao native loadere i inicijalizaciju detekcije: ```bash frida-trace -n com.example.app -i "JNI_OnLoad" ``` -Brza nativna trijaža uključenih .so files: +Brza nativna trijaža pakovanih .so fajlova: ```bash # List exported symbols & JNI nm -D libfoo.so | head objdump -T libfoo.so | grep Java_ strings -n 6 libfoo.so | egrep -i 'frida|ptrace|gum|magisk|su|root' ``` -Interaktivno/native reversing: +Interaktivno/nativno reverzovanje: - Ghidra: https://ghidra-sre.org/ - r2frida: https://github.com/nowsecure/r2frida -Primer: neutralizovati ptrace da bi se zaobišao jednostavan anti‑debug u libc: +Primer: neutralisati ptrace da zaobiđe jednostavan anti‑debug u libc: ```js const ptrace = Module.findExportByName(null, 'ptrace'); if (ptrace) { @@ -204,28 +202,28 @@ reversing-native-libraries.md ## Korak 7 — Objection patching (embed gadget / strip basics) -Ako više volite repacking umesto runtime hooks, pokušajte: +Ako više volite repacking umesto runtime hooks, probajte: ```bash objection patchapk --source app.apk ``` Napomene: -- Zahteva apktool; obezbedite ažuriranu verziju iz zvaničnog vodiča kako biste izbegli probleme pri izgradnji: https://apktool.org/docs/install -- Gadget injection omogućava instrumentation bez root, ali ga i dalje mogu otkriti strože provere pri inicijalizaciji. +- Zahteva apktool; osigurajte aktuelnu verziju iz zvaničnog vodiča da biste izbegli probleme pri buildovanju: https://apktool.org/docs/install +- Gadget injection omogućava instrumentation bez root-a, ali i dalje može biti otkrivena jačim init‑time checks. -Opcionalno, dodajte LSPosed modules i Shamiko za jače skrivanje root-a u Zygisk okruženjima, i prilagodite DenyList tako da obuhvati podprocese. +Opcionalno, dodajte LSPosed modules i Shamiko za jače skrivanje root-a u Zygisk okruženjima, i prilagodite DenyList da obuhvati child processes. -Referencije: +References: - Objection: https://github.com/sensepost/objection -## Korak 8 — Fallback: Patch TLS pinning radi vidljivosti mreže +## Korak 8 — Fallback: Patch TLS pinning for network visibility -Ako je instrumentation blokiran, i dalje možete pregledati saobraćaj tako što ćete statički ukloniti pinning: +Ako je instrumentation blokirana, i dalje možete pregledati saobraćaj statičkim uklanjanjem pinning-a: ```bash apk-mitm app.apk # Then install the patched APK and proxy via Burp/mitmproxy ``` - Alat: https://github.com/shroudedcode/apk-mitm -- Za trikove vezane za konfiguraciju mreže i CA‑trust (i Android 7+ user CA trust), vidi: +- Za trikove vezane za network config CA‑trust (i Android 7+ user CA trust), vidi: {{#ref}} make-apk-accept-ca-certificate.md @@ -235,7 +233,7 @@ make-apk-accept-ca-certificate.md install-burp-certificate.md {{#endref}} -## Korisna lista komandi +## Koristan pregled komandi ```bash # List processes and attach frida-ps -Uai @@ -253,14 +251,32 @@ objection --gadget com.example.app explore # Static TLS pinning removal apk-mitm app.apk ``` -## Saveti i napomene +## Univerzalno forsiranje proxy-ja + TLS unpinning (HTTP Toolkit Frida hooks) -- Radije attach-ujte kasnije nego spawn-ujte kada se aplikacije sruše pri pokretanju -- Neki detektori se ponovo pokreću u kritičnim tokovima (npr. payment, auth) — držite hooks aktivnim tokom navigacije -- Kombinujte statičku i dinamičku analizu: string hunt u Jadx za suženje liste klasa; zatim hook-ujte metode da verifikujete u runtime-u -- Ojačane aplikacije mogu koristiti packers i native TLS pinning — očekujte da ćete reversovati native code +Moderne aplikacije često ignorišu sistemske proxy-je i primenjuju više slojeva pinovanja (Java + native), što otežava presretanje saobraćaja čak i kada su user/system CAs instalirane. Praktičan pristup je kombinovanje univerzalnog TLS unpinning-a sa forsiranjem proxy-ja preko gotovih Frida hook-ova iz HTTP Toolkit-a, i usmeravanje svega kroz mitmproxy/Burp. -## References +Workflow +- Pokrenite mitmproxy na vašem hostu (ili Burp). Proverite da li uređaj može da dosegne host IP/port. +- Učitajte konsolidovane Frida hook-ove iz HTTP Toolkit-a da biste i unpinovali TLS i forsirali upotrebu proxy-ja preko uobičajenih stack-ova (OkHttp/OkHttp3, HttpsURLConnection, Conscrypt, WebView, itd.). Ovo zaobilazi CertificatePinner/TrustManager provere i prepisuje proxy selectors, tako da se saobraćaj uvek šalje preko vašeg proxy-ja čak i ako aplikacija eksplicitno onemogućava proxy-je. +- Pokrenite ciljnu aplikaciju sa Frida i skriptom hook-a, i presretnite zahteve u mitmproxy. + +Example +```bash +# Device connected via ADB or over network (-U) +# See the repo for the exact script names & options +frida -U -f com.vendor.app \ +-l ./android-unpinning-with-proxy.js \ +--no-pause + +# mitmproxy listening locally +mitmproxy -p 8080 +``` +Beleške +- Kombinujte sa sistemskim proxy-jem pomoću `adb shell settings put global http_proxy :` kad god je moguće. Frida hooks će prisiliti korišćenje proxy-ja čak i kada aplikacije zaobilaze globalna podešavanja. +- Ova tehnika je idealna kada treba da izvršite MITM na mobile-to-IoT onboarding tokove gde su pinning i izbegavanje proxy-ja uobičajeni. +- Hooks: https://github.com/httptoolkit/frida-interception-and-unpinning + +## Reference - [Reversing Android Apps: Bypassing Detection Like a Pro](https://www.kayssel.com/newsletter/issue-12/) - [Frida Codeshare](https://codeshare.frida.re/)