mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['', 'src/mobile-pentesting/android-app-pentesting/android-an
This commit is contained in:
Translator
parent
b27baadcf5
commit
da305c79ca
@ -2,21 +2,21 @@
|
||||
|
||||
{{#include ../../banners/hacktricks-training.md}}
|
||||
|
||||
Questa pagina fornisce un workflow pratico per riottenere l'analisi dinamica contro app Android che rilevano o bloccano l'instrumentation a causa del root o applicano TLS pinning. Si concentra su triage veloce, rilevamenti comuni e hook/tattiche copiabili/incollabili per aggirarli senza repack quando possibile.
|
||||
Questa pagina fornisce un workflow pratico per recuperare l'analisi dinamica contro app Android che rilevano/bloccano instrumentation o impongono TLS pinning. Si concentra su triage rapido, rilevamenti comuni e hook/tattiche copiabili per bypassarli senza repacking quando possibile.
|
||||
|
||||
## Detection Surface (what apps check)
|
||||
|
||||
- Controlli root: su binary, Magisk paths, getprop values, pacchetti root comuni
|
||||
- Controlli Frida/debugger (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), scansione di /proc, classpath, librerie caricate
|
||||
- Anti-debug nativo: ptrace(), syscalls, anti‑attach, breakpoint, inline hooks
|
||||
- Controlli di init precoce: Application.onCreate() o hook all'avvio del processo che crashano se è presente instrumentation
|
||||
- TLS pinning: custom TrustManager/HostnameVerifier, OkHttp CertificatePinner, Conscrypt pinning, pin native
|
||||
- Controlli root: su binary, Magisk paths, getprop values, common root packages
|
||||
- Controlli Frida/debugger (Java): Debug.isDebuggerConnected(), ActivityManager.getRunningAppProcesses(), getRunningServices(), scanning /proc, classpath, loaded libs
|
||||
- Anti‑debug nativo: ptrace(), syscalls, anti‑attach, breakpoints, inline hooks
|
||||
- Controlli di init precoce: Application.onCreate() o hook di avvio del processo che fanno crash se è presente instrumentation
|
||||
- TLS pinning: custom TrustManager/HostnameVerifier, OkHttp CertificatePinner, Conscrypt pinning, native pins
|
||||
|
||||
## Step 1 — Quick win: hide root with Magisk DenyList
|
||||
|
||||
- Abilita Zygisk in Magisk
|
||||
- Abilita DenyList, aggiungi il package target
|
||||
- Riavvia e ritesta
|
||||
- Enable Zygisk in Magisk
|
||||
- Enable DenyList, add the target package
|
||||
- Reboot and retest
|
||||
|
||||
Molte app cercano solo indicatori ovvi (su/Magisk paths/getprop). DenyList spesso neutralizza controlli ingenui.
|
||||
|
||||
@ -25,7 +25,7 @@ References:
|
||||
|
||||
## Step 2 — 30‑second Frida Codeshare tests
|
||||
|
||||
Prova script drop‑in comuni prima di approfondire:
|
||||
Try common drop‑in scripts before deep diving:
|
||||
|
||||
- anti-root-bypass.js
|
||||
- anti-frida-detection.js
|
||||
@ -35,13 +35,13 @@ Example:
|
||||
```bash
|
||||
frida -U -f com.example.app -l anti-frida-detection.js
|
||||
```
|
||||
Questi tipicamente forniscono stub per Java root/debug checks, process/service scans e native ptrace(). Utili su app poco protette; i hardened targets potrebbero richiedere tailored hooks.
|
||||
Questi solitamente sostituiscono con stub i Java root/debug checks, le scansioni process/service e il ptrace() nativo. Utili su app poco protette; i target hardened potrebbero richiedere hooks su misura.
|
||||
|
||||
- Codeshare: https://codeshare.frida.re/
|
||||
|
||||
## Automatizza con Medusa (Frida framework)
|
||||
|
||||
Medusa fornisce oltre 90 moduli pronti all'uso per SSL unpinning, root/emulator detection bypass, HTTP comms logging, crypto key interception e altro.
|
||||
Medusa offre oltre 90 moduli pronti all'uso per SSL unpinning, root/emulator detection bypass, HTTP comms logging, crypto key interception e altro ancora.
|
||||
```bash
|
||||
git clone https://github.com/Ch0pin/medusa
|
||||
cd medusa
|
||||
@ -54,40 +54,40 @@ use http_communications/multiple_unpinner
|
||||
use root_detection/universal_root_detection_bypass
|
||||
run com.target.app
|
||||
```
|
||||
Suggerimento: Medusa è ottimo per ottenere risultati rapidi prima di scrivere custom hooks. Puoi anche cherry-pick modules e combinarli con i tuoi scripts.
|
||||
Tip: Medusa è ottimo per ottenere risultati rapidi prima di scrivere custom hooks. Puoi anche cherry-pick moduli e combinarli con i tuoi script.
|
||||
|
||||
## Passo 3 — Bypass init-time detectors agganciandosi più tardi
|
||||
## Step 3 — Bypass dei rilevatori init-time attaccando più tardi
|
||||
|
||||
Molte rilevazioni vengono eseguite solo durante il process spawn/onCreate(). Le iniezioni a spawn‑time (-f) o i gadgets vengono intercettati; agganciarsi dopo il caricamento della UI può farle passare inosservate.
|
||||
Molte rilevazioni vengono eseguite solo durante il process spawn/onCreate(). Le spawn‑time injection (-f) o i gadgets vengono intercettati; attaching dopo il caricamento della UI può invece passarle inosservato.
|
||||
```bash
|
||||
# Launch the app normally (launcher/adb), wait for UI, then attach
|
||||
frida -U -n com.example.app
|
||||
# Or with Objection to attach to running process
|
||||
aobjection --gadget com.example.app explore # if using gadget
|
||||
```
|
||||
Se questo funziona, mantieni la sessione stabile e procedi con la mappatura e i controlli degli stub.
|
||||
Se funziona, mantieni la sessione stabile e procedi a mappare e controllare gli stub.
|
||||
|
||||
## Step 4 — Mappa la logica di rilevamento tramite Jadx e string hunting
|
||||
## Fase 4 — Mappa la logica di rilevamento tramite Jadx e ricerca di stringhe
|
||||
|
||||
Static triage keywords in Jadx:
|
||||
Parole chiave per il triage statico in Jadx:
|
||||
- "frida", "gum", "root", "magisk", "ptrace", "su", "getprop", "debugger"
|
||||
|
||||
Typical Java patterns:
|
||||
Pattern Java tipici:
|
||||
```java
|
||||
public boolean isFridaDetected() {
|
||||
return getRunningServices().contains("frida");
|
||||
}
|
||||
```
|
||||
API comuni da review/hook:
|
||||
API comuni da rivedere/hook:
|
||||
- android.os.Debug.isDebuggerConnected
|
||||
- android.app.ActivityManager.getRunningAppProcesses / getRunningServices
|
||||
- java.lang.System.loadLibrary / System.load (bridge nativo)
|
||||
- java.lang.Runtime.exec / ProcessBuilder (comandi di probing)
|
||||
- android.os.SystemProperties.get (heuristiche root/emulator)
|
||||
- android.os.SystemProperties.get (euristiche per root/emulatore)
|
||||
|
||||
## Passo 5 — Runtime stubbing con Frida (Java)
|
||||
## Passo 5 — Sostituzione a runtime con Frida (Java)
|
||||
|
||||
Sovrascrivi i custom guard per restituire valori sicuri senza repacking:
|
||||
Sovrascrivi guardie personalizzate per restituire valori sicuri senza ripacchettare:
|
||||
```js
|
||||
Java.perform(() => {
|
||||
const Checks = Java.use('com.example.security.Checks');
|
||||
@ -102,7 +102,7 @@ const AM = Java.use('android.app.ActivityManager');
|
||||
AM.getRunningAppProcesses.implementation = function () { return java.util.Collections.emptyList(); };
|
||||
});
|
||||
```
|
||||
Triaging early crashes? Dump classes poco prima che si arresti per individuare i probabili detection namespaces:
|
||||
Triage dei crash iniziali? Dump classes appena prima che si arresti per individuare i probabili detection namespaces:
|
||||
```js
|
||||
Java.perform(() => {
|
||||
Java.enumerateLoadedClasses({
|
||||
@ -111,7 +111,6 @@ onComplete: () => console.log('Done')
|
||||
});
|
||||
});
|
||||
```
|
||||
```javascript
|
||||
// Quick root detection stub example (adapt to target package/class names)
|
||||
Java.perform(() => {
|
||||
try {
|
||||
@ -119,7 +118,6 @@ const RootChecker = Java.use('com.target.security.RootCheck');
|
||||
RootChecker.isDeviceRooted.implementation = function () { return false; };
|
||||
} catch (e) {}
|
||||
});
|
||||
```
|
||||
|
||||
Registra e neutralizza i metodi sospetti per confermare il flusso di esecuzione:
|
||||
```js
|
||||
@ -133,7 +131,7 @@ return false;
|
||||
```
|
||||
## Bypass emulator/VM detection (Java stubs)
|
||||
|
||||
Euristiche comuni: Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE contenenti generic/goldfish/ranchu/sdk; artefatti QEMU come /dev/qemu_pipe, /dev/socket/qemud; MAC predefinito 02:00:00:00:00:00; NAT 10.0.2.x; mancanza di telephony/sensors.
|
||||
Euristiche comuni: Build.FINGERPRINT/MODEL/MANUFACTURER/HARDWARE che contengono generic/goldfish/ranchu/sdk; artefatti QEMU come /dev/qemu_pipe, /dev/socket/qemud; MAC predefinito 02:00:00:00:00:00; NAT 10.0.2.x; assenza di telephony/sensors.
|
||||
|
||||
Spoof rapido dei campi Build:
|
||||
```js
|
||||
@ -145,11 +143,11 @@ Build.BRAND.value = 'google';
|
||||
Build.FINGERPRINT.value = 'google/panther/panther:14/UP1A.231105.003/1234567:user/release-keys';
|
||||
});
|
||||
```
|
||||
Aggiungi stub per i controlli di esistenza dei file e per gli identificatori (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList) in modo da restituire valori realistici.
|
||||
Completa con stub per i controlli di esistenza dei file e per gli identificatori (TelephonyManager.getDeviceId/SubscriberId, WifiInfo.getMacAddress, SensorManager.getSensorList) per restituire valori realistici.
|
||||
|
||||
## SSL pinning bypass quick hook (Java)
|
||||
## Hook rapido per SSL pinning bypass (Java)
|
||||
|
||||
Neutralizza i TrustManagers personalizzati e forza SSL contexts permissivi:
|
||||
Neutralizzare i custom TrustManagers e forzare contesti SSL permissivi:
|
||||
```js
|
||||
Java.perform(function(){
|
||||
var X509TrustManager = Java.use('javax.net.ssl.X509TrustManager');
|
||||
@ -168,12 +166,12 @@ return SSLContextInit.call(this, km, TrustManagers, sr);
|
||||
});
|
||||
```
|
||||
Note
|
||||
- Estendi per OkHttp: hook okhttp3.CertificatePinner e HostnameVerifier secondo necessità, oppure usa uno script di unpinning universale da CodeShare.
|
||||
- Estendi per OkHttp: hook okhttp3.CertificatePinner e HostnameVerifier secondo necessità, oppure usa uno universal unpinning script da CodeShare.
|
||||
- Esempio di esecuzione: `frida -U -f com.target.app -l ssl-bypass.js --no-pause`
|
||||
|
||||
## Passaggio 6 — Segui la traccia JNI/native quando i Java hooks falliscono
|
||||
## Fase 6 — Segui la traccia JNI/native quando i Java hooks falliscono
|
||||
|
||||
Traccia i punti di ingresso JNI per individuare i loader nativi e l'inizializzazione del rilevamento:
|
||||
Traccia i punti di ingresso JNI per individuare native loaders e detection init:
|
||||
```bash
|
||||
frida-trace -n com.example.app -i "JNI_OnLoad"
|
||||
```
|
||||
@ -184,11 +182,11 @@ nm -D libfoo.so | head
|
||||
objdump -T libfoo.so | grep Java_
|
||||
strings -n 6 libfoo.so | egrep -i 'frida|ptrace|gum|magisk|su|root'
|
||||
```
|
||||
Interattivo/nativo reversing:
|
||||
Reversing interattivo/nativo:
|
||||
- Ghidra: https://ghidra-sre.org/
|
||||
- r2frida: https://github.com/nowsecure/r2frida
|
||||
|
||||
Esempio: neutralizzare ptrace per aggirare un semplice anti‑debug in libc:
|
||||
Esempio: neutralizzare ptrace per bypassare un semplice anti‑debug in libc:
|
||||
```js
|
||||
const ptrace = Module.findExportByName(null, 'ptrace');
|
||||
if (ptrace) {
|
||||
@ -204,28 +202,28 @@ reversing-native-libraries.md
|
||||
|
||||
## Passo 7 — Objection patching (embed gadget / strip basics)
|
||||
|
||||
Quando preferisci repacking a runtime hooks, prova:
|
||||
Quando preferisci il repacking ai runtime hooks, prova:
|
||||
```bash
|
||||
objection patchapk --source app.apk
|
||||
```
|
||||
Note:
|
||||
- Richiede apktool; assicurati di una versione aggiornata seguendo la guida ufficiale per evitare problemi di build: https://apktool.org/docs/install
|
||||
- Gadget injection abilita l'instrumentation senza root ma può comunque essere rilevata da init‑time checks più stringenti.
|
||||
- Richiede apktool; assicurati di avere una versione aggiornata dalla guida ufficiale per evitare problemi di build: https://apktool.org/docs/install
|
||||
- Gadget injection consente instrumentation senza root ma può comunque essere rilevato da init‑time checks più severi.
|
||||
|
||||
Opzionalmente, aggiungi moduli LSPosed e Shamiko per un nascondimento del root più robusto in ambienti Zygisk, e cura DenyList per coprire i processi figli.
|
||||
Facoltativamente, aggiungi moduli LSPosed e Shamiko per un root hiding più efficace negli ambienti Zygisk, e cura DenyList per coprire i processi figli.
|
||||
|
||||
Riferimenti:
|
||||
- Objection: https://github.com/sensepost/objection
|
||||
|
||||
## Passo 8 — Ripiego: Patch TLS pinning per la visibilità della rete
|
||||
## Step 8 — Fallback: Patch TLS pinning for network visibility
|
||||
|
||||
Se l'instrumentation è bloccata, puoi comunque ispezionare il traffico rimuovendo il pinning staticamente:
|
||||
Se instrumentation è bloccata, puoi comunque ispezionare il traffico rimuovendo il pinning staticamente:
|
||||
```bash
|
||||
apk-mitm app.apk
|
||||
# Then install the patched APK and proxy via Burp/mitmproxy
|
||||
```
|
||||
- Strumento: https://github.com/shroudedcode/apk-mitm
|
||||
- Per le tecniche di CA‑trust nella configurazione di rete (e per la trust delle CA utente in Android 7+), vedi:
|
||||
- Per i trucchi di network config CA‑trust (e la trust delle CA utente su Android 7+), vedi:
|
||||
|
||||
{{#ref}}
|
||||
make-apk-accept-ca-certificate.md
|
||||
@ -235,7 +233,7 @@ make-apk-accept-ca-certificate.md
|
||||
install-burp-certificate.md
|
||||
{{#endref}}
|
||||
|
||||
## Elenco rapido dei comandi utili
|
||||
## Utile cheat‑sheet dei comandi
|
||||
```bash
|
||||
# List processes and attach
|
||||
frida-ps -Uai
|
||||
@ -253,12 +251,30 @@ objection --gadget com.example.app explore
|
||||
# Static TLS pinning removal
|
||||
apk-mitm app.apk
|
||||
```
|
||||
## Suggerimenti e avvertenze
|
||||
## Forzatura universale del proxy + TLS unpinning (HTTP Toolkit Frida hooks)
|
||||
|
||||
- Preferire attaching late anziché spawning quando le app crashano all'avvio
|
||||
- Alcune rilevazioni vengono rieseguite nei flussi critici (es. payment, auth) — mantenere i hooks attivi durante la navigazione
|
||||
- Combina analisi statica e dinamica: cerca stringhe in Jadx per restringere la lista delle classi; poi hooka i metodi per verificarli a runtime
|
||||
- Le app hardened possono usare packers e native TLS pinning — aspettati di dover reverse il codice nativo
|
||||
Le app moderne spesso ignorano i proxy di sistema e applicano più livelli di pinning (Java + native), rendendo la cattura del traffico difficile anche con le CAs utente/di sistema installate. Un approccio pratico è combinare TLS unpinning universale con la forzatura del proxy tramite Frida hooks già pronti, e instradare tutto tramite mitmproxy/Burp.
|
||||
|
||||
Workflow
|
||||
- Esegui mitmproxy sul tuo host (o Burp). Assicurati che il dispositivo possa raggiungere l'IP/porta dell'host.
|
||||
- Carica i Frida hooks consolidati di HTTP Toolkit per eseguire sia il TLS unpinning sia la forzatura dell'uso del proxy attraverso gli stack comuni (OkHttp/OkHttp3, HttpsURLConnection, Conscrypt, WebView, etc.). Questo bypassa i controlli CertificatePinner/TrustManager e sovrascrive i proxy selectors, quindi il traffico viene sempre inviato tramite il tuo proxy anche se l'app disabilita esplicitamente i proxy.
|
||||
- Avvia l'app target con Frida e lo script hook, e cattura le richieste in mitmproxy.
|
||||
|
||||
Example
|
||||
```bash
|
||||
# Device connected via ADB or over network (-U)
|
||||
# See the repo for the exact script names & options
|
||||
frida -U -f com.vendor.app \
|
||||
-l ./android-unpinning-with-proxy.js \
|
||||
--no-pause
|
||||
|
||||
# mitmproxy listening locally
|
||||
mitmproxy -p 8080
|
||||
```
|
||||
Note
|
||||
- Combina con un proxy di sistema tramite `adb shell settings put global http_proxy <host>:<port>` quando possibile. I Frida hooks faranno rispettare l'uso del proxy anche quando le app ignorano le impostazioni globali.
|
||||
- Questa tecnica è ideale quando è necessario effettuare MITM nei flussi di onboarding mobile-to-IoT dove è comune il pinning/proxy avoidance.
|
||||
- Hooks: https://github.com/httptoolkit/frida-interception-and-unpinning
|
||||
|
||||
## References
|
||||
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user