diff --git a/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md b/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md index b63c6404b..0ca7a3526 100644 --- a/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md +++ b/src/mobile-pentesting/android-app-pentesting/android-anti-instrumentation-and-ssl-pinning-bypass.md @@ -2,7 +2,7 @@ {{#include ../../banners/hacktricks-training.md}} -Ta strona przedstawia praktyczny workflow, aby odzyskać dynamic analysis wobec aplikacji Android, które wykrywają/root‑blokują instrumentation lub wymuszają TLS pinning. Skupia się na szybkim triage, typowych wykryciach oraz copy‑pasteable hooks/tactics do ich obejścia bez repackowania, gdy to możliwe. +Ta strona przedstawia praktyczny workflow, aby odzyskać dynamic analysis przeciw aplikacjom Android, które wykrywają/blokują instrumentation z powodu roota lub wymuszają TLS pinning. Skupia się na szybkiej triage, typowych detekcjach oraz hookach/taktykach do skopiowania i wklejenia, aby je obejść bez repackowania, gdy to możliwe. ## Detection Surface (what apps check) @@ -12,36 +12,36 @@ Ta strona przedstawia praktyczny workflow, aby odzyskać dynamic analysis wobec - Early init checks: Application.onCreate() or process start hooks that crash if instrumentation is present - TLS pinning: custom TrustManager/HostnameVerifier, OkHttp CertificatePinner, Conscrypt pinning, native pins -## Step 1 — Quick win: hide root with Magisk DenyList +## Krok 1 — szybki sukces: ukryj root za pomocą Magisk DenyList -- Enable Zygisk in Magisk -- Enable DenyList, add the target package -- Reboot and retest +- Włącz Zygisk w Magisk +- Włącz DenyList, dodaj docelowy pakiet +- Uruchom ponownie i przetestuj ponownie -Wiele aplikacji szuka tylko oczywistych wskaźników (su/Magisk paths/getprop). DenyList często neutralizuje naiwne checks. +Wiele aplikacji sprawdza tylko oczywiste wskaźniki (su/ścieżki Magisk/getprop). DenyList często neutralizuje naiwne sprawdzenia. -References: +Referencje: - Magisk (Zygisk & DenyList): https://github.com/topjohnwu/Magisk -## Step 2 — 30‑second Frida Codeshare tests +## Krok 2 — 30‑sekundowe testy Frida Codeshare -Wypróbuj common drop‑in scripts zanim zaczniesz dokładniejsze analizy: +Wypróbuj popularne skrypty typu drop‑in zanim zaczniesz głębszą analizę: - anti-root-bypass.js - anti-frida-detection.js - hide_frida_gum.js -Example: +Przykład: ```bash frida -U -f com.example.app -l anti-frida-detection.js ``` -Zazwyczaj stubują Java root/debug checks, process/service scans oraz natywne ptrace(). Przydatne w słabo zabezpieczonych aplikacjach; hardened targets mogą wymagać dostosowanych hooks. +Zwykle zastępują (stub) Java root/debug checks, skany procesów/usług oraz natywne ptrace(). Przydatne w słabo zabezpieczonych aplikacjach; w przypadku utwardzonych celów mogą być potrzebne dopasowane hooki. - Codeshare: https://codeshare.frida.re/ ## Automatyzacja z Medusa (Frida framework) -Medusa oferuje 90+ gotowych modułów do SSL unpinning, root/emulator detection bypass, HTTP comms logging, crypto key interception i innych. +Medusa oferuje ponad 90 gotowych modułów do SSL unpinning, root/emulator detection bypass, HTTP comms logging, crypto key interception i innych. ```bash git clone https://github.com/Ch0pin/medusa cd medusa @@ -54,40 +54,40 @@ use http_communications/multiple_unpinner use root_detection/universal_root_detection_bypass run com.target.app ``` -Porada: Medusa świetnie nadaje się do szybkich zwycięstw przed napisaniem własnych hooks. Możesz też selektywnie wybierać modules i łączyć je z własnymi scripts. +Wskazówka: Medusa jest świetna do szybkich zwycięstw przed napisaniem custom hooks. Możesz też cherry-pick modules i połączyć je z własnymi skryptami. -## Krok 3 — Bypass init-time detectors by attaching late +## Step 3 — Bypass init-time detectors by attaching late -Wiele wykryć działa tylko podczas process spawn/onCreate(). Spawn‑time injection (-f) lub gadgets zostają wykryte; dołączenie po załadowaniu UI może je ominąć. +Wiele detektorów uruchamia się tylko podczas process spawn/onCreate(). Spawn‑time injection (-f) lub gadgets zostają wykryte; podłączenie się dopiero po załadowaniu UI może to obejść. ```bash # Launch the app normally (launcher/adb), wait for UI, then attach frida -U -n com.example.app # Or with Objection to attach to running process aobjection --gadget com.example.app explore # if using gadget ``` -Jeśli to zadziała, utrzymaj sesję stabilną i przejdź do mapowania i sprawdzeń stubów. +Jeśli to zadziała, utrzymaj sesję stabilną i przejdź do mapowania i testów stubów. -## Krok 4 — Zmapuj logikę wykrywania za pomocą Jadx i string hunting +## Krok 4 — Mapuj logikę wykrywania za pomocą Jadx i przeszukiwania łańcuchów -Static triage keywords in Jadx: +Statyczne słowa kluczowe do triage w Jadx: - "frida", "gum", "root", "magisk", "ptrace", "su", "getprop", "debugger" -Typowe wzorce w Java: +Typowe wzorce Java: ```java public boolean isFridaDetected() { return getRunningServices().contains("frida"); } ``` -Powszechne API do przeglądu/hook: +Common APIs to review/hook: - android.os.Debug.isDebuggerConnected - android.app.ActivityManager.getRunningAppProcesses / getRunningServices -- java.lang.System.loadLibrary / System.load (native bridge) -- java.lang.Runtime.exec / ProcessBuilder (probing commands) -- android.os.SystemProperties.get (root/emulator heuristics) +- java.lang.System.loadLibrary / System.load (mostek natywny) +- java.lang.Runtime.exec / ProcessBuilder (komendy sondowania) +- android.os.SystemProperties.get (heurystyki root/emulator) -## Krok 5 — Runtime stubbing z Frida (Java) +## Krok 5 — Stubowanie w czasie wykonania z Frida (Java) -Nadpisz niestandardowe zabezpieczenia, aby zwracały bezpieczne wartości bez repackingu: +Nadpisz niestandardowe mechanizmy ochronne, aby zwracały bezpieczne wartości bez repacking: ```js Java.perform(() => { const Checks = Java.use('com.example.security.Checks'); @@ -102,7 +102,7 @@ const AM = Java.use('android.app.ActivityManager'); AM.getRunningAppProcesses.implementation = function () { return java.util.Collections.emptyList(); }; }); ``` -Triaging wczesnych awarii? Zrzucaj klasy tuż przed zakończeniem działania, żeby wychwycić prawdopodobne przestrzenie nazw odpowiedzialne za wykrywanie: +Masz do czynienia z wczesnymi awariami? Zrzucaj klasy tuż przed ich wystąpieniem, żeby wykryć prawdopodobne przestrzenie nazw odpowiedzialne za detekcję: ```js Java.perform(() => { Java.enumerateLoadedClasses({ @@ -119,7 +119,7 @@ RootChecker.isDeviceRooted.implementation = function () { return false; }; } catch (e) {} }); -Zapisz w logu i zneutralizuj podejrzane metody, aby potwierdzić przebieg wykonania: +Zaloguj i zneutralizuj podejrzane metody, aby potwierdzić przebieg wykonania: ```js Java.perform(() => { const Det = Java.use('com.example.security.DetectionManager'); @@ -129,11 +129,11 @@ return false; }; }); ``` -## Bypass emulator/VM detection (Java stubs) +## Omijanie wykrywania emulatora/VM (Java stubs) -Typowe heurystyki: pola Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE zawierające generic/goldfish/ranchu/sdk; artefakty QEMU, takie jak /dev/qemu_pipe, /dev/socket/qemud; domyślny MAC 02:00:00:00:00:00; NAT 10.0.2.x; brak telephony/sensors. +Powszechne heurystyki: Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE zawierające generic/goldfish/ranchu/sdk; artefakty QEMU jak /dev/qemu_pipe, /dev/socket/qemud; domyślny MAC 02:00:00:00:00:00; NAT 10.0.2.x; brak telephony/sensors. -Szybkie podszycie się pod pola Build: +Szybkie spoofowanie pól Build: ```js Java.perform(function(){ var Build = Java.use('android.os.Build'); @@ -143,11 +143,11 @@ Build.BRAND.value = 'google'; Build.FINGERPRINT.value = 'google/panther/panther:14/UP1A.231105.003/1234567:user/release-keys'; }); ``` -Uzupełnij o stuby dla sprawdzania istnienia plików oraz identyfikatorów (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList), aby zwracały realistyczne wartości. +Uzupełnij o stuby do sprawdzania istnienia plików oraz identyfikatorów (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList), aby zwracały realistyczne wartości. ## SSL pinning bypass quick hook (Java) -Zneutralizuj niestandardowe TrustManagers i wymuś zezwalające SSL contexts: +Zneutralizuj niestandardowe TrustManagers i wymuś permissive SSL contexts: ```js Java.perform(function(){ var X509TrustManager = Java.use('javax.net.ssl.X509TrustManager'); @@ -166,16 +166,16 @@ return SSLContextInit.call(this, km, TrustManagers, sr); }); ``` Notatki -- Rozszerz dla OkHttp: hook okhttp3.CertificatePinner i HostnameVerifier w razie potrzeby, lub użyj uniwersalnego skryptu unpinning z CodeShare. +- Rozszerz dla OkHttp: hook okhttp3.CertificatePinner and HostnameVerifier as needed, or use a universal unpinning script from CodeShare. - Przykład uruchomienia: `frida -U -f com.target.app -l ssl-bypass.js --no-pause` -## Krok 6 — Podążaj za śladem JNI/native, gdy Java hooks zawiodą +## Krok 6 — Śledź ślad JNI/native, gdy Java hooks zawodzą -Śledź punkty wejścia JNI, aby zlokalizować native loaders i inicjalizację detekcji: +Śledź JNI entry points, aby zlokalizować native loaders i detection init: ```bash frida-trace -n com.example.app -i "JNI_OnLoad" ``` -Szybka natywna wstępna ocena dołączonych plików .so: +Szybka natywna analiza dołączonych plików .so: ```bash # List exported symbols & JNI nm -D libfoo.so | head @@ -186,7 +186,7 @@ Interaktywne/native reversing: - Ghidra: https://ghidra-sre.org/ - r2frida: https://github.com/nowsecure/r2frida -Przykład: zneutralizować ptrace, aby obejść prosty anti‑debug w libc: +Przykład: neuter ptrace to defeat simple anti‑debug in libc: ```js const ptrace = Module.findExportByName(null, 'ptrace'); if (ptrace) { @@ -202,28 +202,28 @@ reversing-native-libraries.md ## Krok 7 — Objection patching (embed gadget / strip basics) -Jeśli wolisz repacking zamiast runtime hooks, spróbuj: +Jeżeli wolisz repacking zamiast runtime hooks, wypróbuj: ```bash objection patchapk --source app.apk ``` -Uwagi: -- Wymaga apktool; upewnij się, że używasz aktualnej wersji według oficjalnego przewodnika, aby uniknąć problemów z budowaniem: https://apktool.org/docs/install -- Gadget injection umożliwia instrumentation bez root, ale nadal może być wykryte przez silniejsze init‑time checks. +Notatki: +- Wymaga apktool; upewnij się, że używasz aktualnej wersji zgodnie z oficjalnym przewodnikiem, aby uniknąć problemów z budowaniem: https://apktool.org/docs/install +- Gadget injection umożliwia instrumentation bez roota, ale nadal może zostać wykryte przez bardziej rygorystyczne kontrole inicjalizacji. -Opcjonalnie dodaj moduły LSPosed i Shamiko dla silniejszego ukrywania root w środowiskach Zygisk i dopracuj DenyList, aby objąć procesy potomne. +Opcjonalnie dodaj moduły LSPosed i Shamiko dla silniejszego ukrywania roota w środowiskach Zygisk oraz zarządzaj DenyList, aby objąć procesy potomne. Referencje: - Objection: https://github.com/sensepost/objection -## Krok 8 — Fallback: Patch TLS pinning for network visibility +## Krok 8 — Plan awaryjny: Patch TLS pinning dla widoczności sieciowej -Jeśli instrumentation jest zablokowane, nadal możesz przejrzeć ruch, usuwając pinning statycznie: +Jeśli instrumentation jest zablokowane, nadal możesz analizować ruch, usuwając pinning statycznie: ```bash apk-mitm app.apk # Then install the patched APK and proxy via Burp/mitmproxy ``` - Narzędzie: https://github.com/shroudedcode/apk-mitm -- W sprawie trików związanych z network config CA‑trust (i zaufania użytkownika CA w Android 7+), zobacz: +- Dla sztuczek związanych z CA‑trust w konfiguracji sieci (i zaufania użytkownika CA w Android 7+), zobacz: {{#ref}} make-apk-accept-ca-certificate.md @@ -233,7 +233,7 @@ make-apk-accept-ca-certificate.md install-burp-certificate.md {{#endref}} -## Przydatna ściągawka z poleceniami +## Przydatna ściągawka poleceń ```bash # List processes and attach frida-ps -Uai @@ -251,12 +251,30 @@ objection --gadget com.example.app explore # Static TLS pinning removal apk-mitm app.apk ``` -## Wskazówki i uwagi +## Universal proxy forcing + TLS unpinning (HTTP Toolkit Frida hooks) -- Prefer attaching late zamiast spawning, gdy aplikacje crashują przy uruchomieniu -- Niektóre detekcje uruchamiają się ponownie w krytycznych przepływach (np. payment, auth) — utrzymuj hooks aktywne podczas nawigacji -- Łącz analizę statyczną i dynamiczną: wyszukaj stringi w Jadx, aby zawęzić listę klas; następnie hookuj metody, by zweryfikować w runtime -- Aplikacje hardened mogą używać packers i native TLS pinning — spodziewaj się analizy natywnego kodu +Nowoczesne aplikacje często ignorują systemowe proxy i wymuszają wielowarstwowe pinowanie (Java + native), co utrudnia przechwytywanie ruchu nawet przy zainstalowanych user/system CAs. Praktycznym podejściem jest połączenie uniwersalnego TLS unpinning z wymuszaniem proxy za pomocą gotowych Frida hooks i skierowanie całego ruchu przez mitmproxy/Burp. + +Przebieg +- Uruchom mitmproxy na swoim hoście (lub Burp). Upewnij się, że urządzenie może połączyć się z IP/portem hosta. +- Załaduj skonsolidowane Frida hooks z HTTP Toolkit, aby jednocześnie wykonać TLS unpinning i wymusić użycie proxy w popularnych stosach (OkHttp/OkHttp3, HttpsURLConnection, Conscrypt, WebView itp.). To omija sprawdzenia CertificatePinner/TrustManager i nadpisuje selektory proxy, dzięki czemu ruch zawsze jest wysyłany przez twój serwer proxy, nawet jeśli aplikacja jawnie wyłącza proxy. +- Uruchom docelową aplikację z Frida i hook script, a następnie przechwyć żądania w mitmproxy. + +Przykład +```bash +# Device connected via ADB or over network (-U) +# See the repo for the exact script names & options +frida -U -f com.vendor.app \ +-l ./android-unpinning-with-proxy.js \ +--no-pause + +# mitmproxy listening locally +mitmproxy -p 8080 +``` +Notatki +- Połącz z systemowym proxy za pomocą `adb shell settings put global http_proxy :` kiedy to możliwe. Frida hooks będą wymuszać użycie proxy nawet gdy aplikacje omijają ustawienia globalne. +- Ta technika jest idealna, gdy musisz przeprowadzić MITM dla mobile-to-IoT onboarding flows, gdzie pinning/proxy avoidance jest powszechne. +- Hooks: https://github.com/httptoolkit/frida-interception-and-unpinning ## References