带壳App去除强制升级

2020-12-03 11,661

这是一款带壳的APP,打开之后要求强制升级最新版,否则无法使用,针对此APP可以进行脱壳后定位关键代码,然后重打包进行消除强制升级弹窗。


DEXDump三种使用模式脱壳

1、使用objection加载frida_dexdump

objection -g com.xxx explore
plugin load /root/.objection/plugins/dexdump/frida_dexdump
plugin dexdump dump


2、直接运行

objection -g com.xxx explore
python3 main.py

会自动判断前台运行的App

3、利用pip安装后运行frida-dexdump

objection -g com.xxx explore
pip3 install frida-dexdump
frida-dexdump

脱壳成功后,发现生成了4个dex文件,然后搜索带有MainActivity的dex文件

grep -ril "MainActivity"

Objection快速自动化定位

正常方式首先以开发者的角度来思考是如何实现窗口弹出功能

https://www.jianshu.com/p/18e1f518c625

一 activity以窗口形式呈现

二 Android:将activity设置为弹出式的并设置为透明的

三 Dialog

1、如果是弹出的activity,可以hook所有的activities进行启动查看

 android hooking list activities

启动可疑的Activity,尝试能不能绕过,然后发现界面到了app信息页面,但是返回后还是要求升级的界面,说明此路不通。

android intent launch_activity xxx.ui.activity.About Activity

查看一个函数能不能hook,可以将它所有的类打印出来,然后过滤,如果有则可以hook


android hooking list classes
cat .objection/objection.log |grep -i window

发现有android.view.Window,然后尝试hook

objection -g com.xxx explore --startup-command "android hooking watch class android.view.Window"

注:

也可以不需要--startup-command,进去app之后再hook也来得及

当点击“立即升级”发现会立即跳出下图内容,说明与升级框相关android.view.Window.getWindowManager()

2、尝试下dialog

 cat .objection/objection.log |grep -i dialog

先hook看一下android.app.AlertDialog

android hooking watch class android.app.AlertDialog

发现点升级没有任何反应,故判断此API与升级框没关系

然后再尝试hook下android.app.Dialog看有没有反应

objection -g com.xxx explore --startup-command "android hooking watch class android.app.Dialog"

点击新版本框空白地方会出现

点击“立即升级”出现

看到存在android.app.Dialog.setCancelable (用返回键无法取消)

然后hook该方法

android hooking watch class_method android.app.Dialog.setCancelab le --dump-args --dump-backtrace --dump-return

找到对应位置,发现与界面上的版本号、文件升级相关联,从而定位到了代码的关键位置。

这里是明文,所以很明显就可以判断定位的对错。如果关键字符串做了加密混淆,搜索大法也就无效了,可以使用wallbreaker内存可视化漫游,所见即所得。

Wallbreaker内存可视漫游

wallbreaker四种模式:

 classdump 查看一个类的结构
classsearch 根据类名来找类
objectsearch 查看一个类的实例内容
objectdump  查看对象的属性


使用objection加载Wallbreaker搜索值得怀疑的地方

plugin load /root/.objection/plugins/Wallbreaker
plugin wallbreaker objectsearch xxx.ui.fragment.dialog.UpdateDialogFragment

找到之后,打印该对象的属性

 plugin wallbreaker objectdump --fullname 0x276a

看到xxx.bean.VersionBean$Version _a; => [0x2266]:

然后将其打印出来

plugin wallbreaker objectdump --fullname 0x2266

可以看到打印出的内容,与界面所展示的一致,验证了所见即所得原理。

所见即所得的代码定位思路

定位完之后,我们继hookxxx.ui.fragment.dialog.UpdateDialogFragment

android hooking watch class xxx.ui.fragment.dialog.UpdateDialogFragment

打印调用栈

xxx.ui.fragment.dialog.UpdateDialogFragment.b

android hooking watch class_method xxx.ui.fragment.d
ialog.UpdateDialogFragment.b --dump-args --dump-backtrace --dump-return

根据打印的结果看到

xxx.ui.fragment.dialog.UpdateDialogFragment.b是从xxx.ui.activity.MainActivity.a该类过来,然后定位该类,发现也是做了个条件判断。

修改源码重打包去强制升级

接着我们进行修改代码去掉升级框并重打包,首先因为是带壳的APP,无法直接使用apktool进行反编译,不然壳也会被反编译为smali。所以我们使用apktool保留classes.dex文件进行解包,然后删除apk原有的classes.dex文件,并将脱壳后的classes.dex放入

apktool -s d xxx.apk
rm classes.dex

按照文件大小重命名后放入该文件夹中

搜索extends Application

查找AndroidManifest.xml内容,将android:name的内容替换为xxx.base.App将入口点改为脱壳后的入口点

然后回编译、首次使用需先生成keytool、签名

 apktool b xxx 
 keytool  -genkey -alias abc.keystore -keyalg RSA -validity 20000 -keystore abc.keystore   # 生成keytool 
 jarsigner -verbose -keystore abc.keystore -signedjar xxxsigned.apk xxx.apk abc.keystore

测试可以成功运行后,我们接着反编译,搜索之前定位的类名含MainActivity的smali文件,编辑查找UpdateDialogFragment找到之后修改判断语句

 apktool d xxxsigned.apk 
 tree -NCfhl |grep -i MainActivity 
 nano smali/cn/net/tokyo/ccg/ui/activity/MainActivity.smali

改完之后回编译、签名、运行

 apktool b xxxsigned/ jarsigner -verbose -keystore abc.keystore -signedjar xxx2signed.apk xxx2.apk abc.keystore

发现已经没有了强制升级的弹窗。

       



E

N

D


本文作者:TideSec

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/148418.html

Tags:
评论  (0)
快来写下你的想法吧!

TideSec

文章数:145 积分: 185

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号