利用Xposed对Android的so黑盒利用

2019-09-26

又是N久没有更新, 真的懒是能变成习惯的, 今天记录一下安卓里的so黑盒利用;

一般在逆向安卓的程序时, 重要的算法都在so里, 如果没有OLLVM还好, 如果一旦被VM了, 那么就只能退而其次想其他的解决办法, 那么开始吧

0x1 常用的黑盒利用方式

1. 自己写app, load并调用含有加密算法so
　　不足: 如果算法里有上下文依赖关系, 就得想办法构造, 非常麻烦

2. 使用xposed来构造与调用so的加解密函数, 创建http服务, 暴露API接口供外部使用
　　不足: 必须在Android机器上执行, Xposed必须要Root, 执行效率差
　　
3. 把so算法逆向出来, 自己写代码调用
　　不足: 成本太高

　　以上三种解决方案, 各有优劣
　　在之前逆向抖音sign算法的需求中使用过第二种方案, 在模拟器中压力测试极限在并发80个左右, 还是适合小规模的调用, 如果大批量使用此方式的话, 还是得部署多台服务器
　　今天也主要说第二种方式, 前两天看到一个基于Xposed+RPC实现的黑盒利用框架, 尝试了一下还不错, 还没有进行压力测试, 这里记录一下当作备忘录

0x2 框架介绍与使用

框架下载链接

详细介绍

hermesagent是hermes系统的客户端模块，也是系统最核心的模块了，他是种植在手机里面的一个agent，同时他也是一个xposed的模块插件，agent本身启动了一个service，agent插件模块将会自动注册钩子函数，并且和service通信。Android设备外部请求可以通过暴露在agent上面的一个http端口，和agent通信，然后agent和目标apkRPC。 如此实现外部请求到任何一个app的任何功能的外部调用

Mario

使用方法

要安装xposed
xposed启用本模块之后，第一次需要重启，后续不需要重启了
钩子函数写到com.virjar.hermes.hermesagent.hookagent路径下，能够被框架自动识别，其他地方不会识别
agent必须提供空参构造（我们是类扫描机制实现的）

开启网络访问权限，有些手机在后台运行之后，将会禁止后台访问网络。请放开这个配置

设置——无线和网络——WLAN设置——高级设置——WLAN休眠策略——永不休眠

     小米手机：
     1、设置--其他高级设置--电源和性能--神隐模式
     2、标准(限制后台应用的网络和定位功能)
     3、关闭(不限制后台应用的功能)
     4、默认是标准,在屏保后4分钟左右会限制后台应用的网络功能