[AOH 004]便携式Frida环境-附某考勤任意定位

一、前言

针对安卓APP，部署一套通用的, 便携式,可稳定运行Frida的环境，进而实现移动场景下的抓包，hook，拓展测试和利用场景。

解决如下问题:

真机识别:

1. windows下模拟器为x86架构，编译选项为arm的APP无法安装

2. APP内置模拟器检查逻辑

便携式: 

1. Frida hook需要手机连接PC,在PC上使用Frida tools,如何脱离PC或者外部依赖，仅需一部手机即实现tools和server两个角色

二、突破真机识别

针对这个问题，最开始是去尝试了各种模拟器，但发现要去解决编译兼容和APP内置真机校验的对抗成本和技术要求非常高。有舍有得，最终决定投入300块钱的巨资，购置真机搭建测试环境

2.1 需要什么样的手机设备?

1. 性能高，各种主流软件的运行不在话下

2. 对于各种开源ROM很好的兼容

3. 经济实惠， 作为实验探索就算弄坏了也不心疼

2.2 什么样的手机系统？

1. 可以Root

2. 可以执行Shell, 且软件支持性好，拓展性强，例如运行python

3. android版本高(安装andorid 6及以上版本的APP)，适配兼容软件性强

4. 良好的社区支持与持续的更新

2.3 选型

1. 手机选择为OnePlus3

1. 操作系统为Kali NetHunter (实践过Ubuntu Touch，但安装踩入深坑且未能解决). 访问：https://www.kali.org/get-kali/ ， 选择"Mobile" 栏目，可以看到Kali NetHunter，在下面有其支持的手机类型，可见是支持Oneplus3的：

   

2.4 刷机

2.4.1 文件清单

Ubuntu:

• platform-tools_r30.0.5-linux.zip

• twrp-3.5.0_9-0-oneplus3.img

OnePlus3:

• nethunter-2020.4-oneplus3-any-pie-kalifs-full-3.zip

• MagiskManager-v8.0.7.apk

• Magisk-v21.4.zip

• Disable_Dm-Verity_ForceEncrypt_11.02.2020.zip

下载地址:

adb，fastboot：https://developer.android.google.cn/studio/releases/platform-tools.html
Magisk：https://github.com/topjohnwu/Magisk/releases
DisableDm-VeritForceEncrypt：https://zackptg5.com/android.php#disverfe
nethunter: https://www.offensive-security.com/kali-linux-nethunter-download/
TWRP: https://twrp.me/oneplus/oneplusthree.html
氧OS：https://www.oneplus.com/cn/support/softwareupgrade/details?code=PM1574151108358

2.4.2 二次打包nethunter ROM

在安装过程中遇到提示挂载失败等问题，我们需要参考FAQ-4 对nethunter-2020.4-oneplus3-any-pie-kalifs-full-3.zip进行修复后二次打包

2.4.3 部署Ubuntu 18 虚拟机

为什么要部署Ubuntu？参见FAQ-1

将platform-tools_r30.0.5-linux.zip拷贝进去并解压， 拷贝twrp-3.5.0_9-0-oneplus3.img到解压目录

2.4.3 OnePlus3基础设置

Oneplus3下，启动后，做如下动作:

1. 设置密码 [重要！！] 后面的TWRP,解密会用到

2. 依次: 设置-多次点击版本号-开启开发者-开启USB调试-开启OEM解锁

2.4.4 刷TWRP

cd /home/XXXX/Desktop/platform-tools_r30.0.5-linux/platform-tools

# 这儿我们关闭以下usb调试，然后再开启，触发信任弹框，点击信任
./adb reboot bootloader

./fastboot oem unlock
# 我们通过音量键选择到YES，确定，会自动重启一下
# 我们在新界面，称之为A，要选择到fastboot，否则5秒后会自动启动
./fastboot flashing unlock
./fastboot getvar unlocked

# 因为在虚拟机下，我们拔插一下USB，然后弹框选择到虚拟机
./fastboot devices

./fastboot flash recovery twrp-3.5.0_9-0-oneplus3.img

./fastboot boot twrp-3.5.0_9-0-oneplus3.img

启动之后,这儿我们输入上面设置的密码即可增加可写属性，但是第一次很笨，没有设置密码，若没有设置密码可以参考FAQ-2进行解决

2.4.5 推送文件到Oneplus3

./adb devices 

选择Wipe,选择12345项进行清空(先清空，后adb推送，否则推进去被清了)

# ./adb shell ， df -h 看到/sdcard/ 目录下空间是够的
# 前往不要拷贝到mnt目录， 否则后面安装挂载步骤会失败
./adb push nethunter-2020.4-oneplus3-any-pie-kalifs-full-3.zip /sdcard/
./adb push Magisk-v21.4.zip /sdcard/
./adb push Disable_Dm-Verity_ForceEncrypt_11.02.2020.zip /sdcard/
./adb push OnePlus3Hydrogen_16_OTA_083_all_2002201900_abc8cfd625b5477b.zip /sdcard/
# 这儿推送文件中途失败的问题参见FAQ-3

2.4.6 安装Magisk和Disable_Dm-Verity_ForceEncrypt

这儿我们需要先刷稍高版本的Oneplus系统

选择Install,
选择OnePlus3Hydrogen_16_OTA_083_all_2002201900_abc8cfd625b5477b.zip安装
选择Magisk-v21.4.zip，Disable_Dm-Verity_ForceEncrypt_11.02.2020.zip安装
Reboot System， 第一次启动比较慢，中间可能重启，直到进入到系统

2.4.7 安装nethunter

再重启进入到recovery下的TWRP：
选择/mnt/nethunter-2020.4-oneplus3-any-pie-kalifs-full-3.zip安装
Reboot System

2.4.8 root

到https://github.com/topjohnwu/Magisk/releases下载apk

adb push .MagiskManager-v8.0.7.apk /sdcard/

然后安装

确认root成功：

adb shell
> su root  # 然后在手机界面上授权root即可（同理其他的kali也是在手机界面进行授权即可）

2.5 FAQ

FAQ-1: 为什么选择Ubuntu作为宿主机进行刷机?

原因: 在Win下，使用Fastboot模式，会出现驱动不兼容不识别等问题！

FAQ-2: 未设置手机密码,但进入TWRP要求输入密码?

点击Wipe，右滑Swipe to Factory Reset, 重启进入TWRP

FAQ-3: adb push 推送文件中途失败？

TWRP选择Reboot，选择bootloader进入fastboot

拔掉USB，重启虚拟机，然后重新连接进入TWRP，这种情况主要是虚拟机的USB连接问题

FAQ-4: nethunter安装过程提示挂载失败?

提示如下报错:

TWRP '/system' not in /proc/mounts , '/system' not in /proc/mounts

错误分析：

在TWRP下的Mount把system挂载上去了，但是安装的时候又会自动被卸载，导致报错，

分析了下在挂载状态下,多了:

/dev/block/sde20 /system ext4 rw,seclabel,relatime,data=ordered 0 0

遂用语句:

/sbin/mount -o rw,seclabel,relatime,data=ordered /system

解决方案：修改对应文件，并二次打包nethunter

可以挂载上，那么到底是哪里在做挂载操作呢? 我们把nethunter-2020.4-oneplus3-any-pie-kalifs-full解包，然后在：META-INFcomgoogleandroidupdate-binary 找到了对应的代码：167行：mount /system ，我们改成:

/sbin/mount -o rw,seclabel,relatime,data=ordered /system

然后重新打包成为: nethunter-2020.4-oneplus3-any-pie-kalifs-full-3.zip

2.6 参考资料

OnePlus3安装Nethunter:
https://www.zerozd.xyz/Android/67.html
https://blog.csdn.net/Kevinhanser/article/details/80025260

三、实现便携式Frida

通常，我们Frida-tools是部署在PC上实现对接server，但例如我们可能正在公交上，还未到公司而需要考勤打卡等场景，不可能抱着一台PC然后插USB进行hook打卡，所以我们需要将Frida的tools和服务端都安装到手机上，这样我们可以随时随地的进行hook

3.1 Oneplus上Frida server和tools部署

3.1.1 安装NetHunterStore和termux

NetHunterStore不需要单独安装，名字叫做F-Droid,默认自带

若是不自带可以在该地址下载：https://store.nethunter.com/NetHunterStore.apk

termux下载地址:

https://store.nethunter.com/packages/com.termux/

执行:

adb push com.termux_95.apk /sdcard/

然后在手机上安装该apk

3.1.2 安装基础软件

安装好termux后, 点击图标进入shell

pkg install tsu -y
pkg install busybox -y
pkg install openssh -y
pkg install termux-services -y

3.1.3 进入termux

方案一：ADB 进入 termux

su root
/data/data/com.termux/files/usr/bin/tsu

存在的问题: 进来默认是root权限，pkg实际是apt，导致apt无法使用，而且无法切换账户

方案二: ssh进入termux

手机打开termux APP，在其下创建ssh用户:

sv up sshd

whoami -> u0_a125

passwd u0_a125
>> XXXXXXXXXX

PC主机下:

su root

/data/data/com.termux/files/usr/bin/tsu

ssh u0_a125@0.0.0.0 -p 8022

即可SSH进入到termux

注意: ssh连接termux时，若关闭termux APP，ssh则自动断开

3.1.4 配置pip源

https://mirrors.tuna.tsinghua.edu.cn/help/termux/

sed -i 's@^(deb.*stable main)$@#1ndeb https://mirrors.tuna.tsinghua.edu.cn/termux/termux-packages-24 stable main@' $PREFIX/etc/apt/sources.list
sed -i 's@^(deb.*games stable)$@#1ndeb https://mirrors.tuna.tsinghua.edu.cn/termux/game-packages-24 games stable@' $PREFIX/etc/apt/sources.list.d/game.list
sed -i 's@^(deb.*science stable)$@#1ndeb https://mirrors.tuna.tsinghua.edu.cn/termux/science-packages-24 science stable@' $PREFIX/etc/apt/sources.list.d/science.list
sed -i 's@^(deb.*science stable)$@#1ndeb https://mirrors.tuna.tsinghua.edu.cn/termux/science-packages-24 science stable@' $PREFIX/etc/apt/sources.list.d/root.list

apt update && apt upgrade -y

3.1.5 安装vim和关闭SELinux

pkg install vim -y
setenforce 0

pkg install python -y  # python --version Python 3.9.1
pkg install nodejs -y

# tools
python -m pip install --upgrade pip -i https://pypi.tuna.tsinghua.edu.cn/simple
python -m pip install frida-tools -i https://pypi.tuna.tsinghua.edu.cn/simple

# https://github.com/termux/termux-root-packages/issues/179
apt install root-repo -y

3.1.6 安装python和nodejs

方案1：egg法

缺点：版本不匹配和依赖缺失失败

方案2: apt安装

apt-cache madison python
pkg install python -y  # python --version Python 3.9.1
pkg install nodejs -y

# tools
python -m pip install --upgrade pip -i https://pypi.tuna.tsinghua.edu.cn/simple
python -m pip install frida-tools -i https://pypi.tuna.tsinghua.edu.cn/simple


# https://github.com/termux/termux-root-packages/issues/179
apt install root-repo -y

3.1.7 安装frida server和tools

方案1: apt直装

apt install frida-python -y

缺点: 太卡了，下载特别慢

方案2：npm安装

npm --registry http://registry.npm.taobao.org install frida

缺点: 安装失败，未找到匹配版本

方案3: 分离式安装

adb下：

# https://dl.bintray.com/grimler/termux-root-packages-24/aarch64/
# 下载frida-python_12.11.18_aarch64.deb
# 下载frida-server_12.11.18_aarch64.deb

adb push frida-python_12.11.18_aarch64.deb /sdcard/
adb push frida-server_12.11.18_aarch64.deb /sdcard/

adb shell
su root

mv /sdcard/frida-server_12.11.18_aarch64.deb /data/data/com.termux/
mv /sdcard/frida-python_12.11.18_aarch64.deb /data/data/com.termux/

chmod 666 /data/data/com.termux/frida-server_12.11.18_aarch64.deb 
chmod 666 /data/data/com.termux/frida-python_12.11.18_aarch64.deb

Termux shell下:

# 注意顺序
dpkg -i frida-server_12.11.18_aarch64.deb
dpkg -i frida-python_12.11.18_aarch64.deb # 会提示缺少pip3.8，不用理会

3.1.8 验证frida可用

在termux外部启动Server:

# which frida-server
# /data/data/com.termux/files/usr/bin/frida-server
adb shell
su root 
/data/data/com.termux/files/usr/bin/frida-server

在termux内部启动frida或frida-ps:

frida-ps

此时可以看到列出了运行的APP，即可

方便使用frida-server:

echo '/data/data/com.termux/files/usr/bin/frida-server' > /sdcard/sfs
bash /sdcard/sfs  --> 即可启动

3.2 编写Frida hook脚本

这个主要基于：

1. 经验脚本的收集整理

2. 不断学习

这个可以在后续的AOH系列展开分享

3.3 参考资料

ssh进入termux:
https://android.stackexchange.com/questions/225260/termux-running-termux-via-adb-without-any-direct-interaction-with-the-device

四、任意定位打卡实践

有了前面的基础环境，接下来可以开始携带我们这台改造后的Oneplus在任意地点运行frida脚本。接下来演示，在某办公软件下，实现任意定位和打卡。

由于某些原因，该APP相关信息暂做隐藏。

4.1 逆向与调试APP,编写hook脚本实现任意定位

1. 安装软件

2. Oneplus连接PC，PC启动frida-tools, 设备启动frida-server

3. jadx导入APP找到关键函数，通过导入的依赖很明显的可以看到高德定位的sdk，直接上高德通用hook脚本

4. 调试脚本，确认可以任意定位

   每次脚本运行只随机一次，否则一直跳

   0.00001 约为 1.1米, 设定在100米内的偏差，即为 A +/- 0.00100m, 即我们设定随机数0-100，那么当为100时，为0.001 ， 随机数x , x/100000

   hook_location.js:

   if(Java.available){
    const good_la = 22.547377;
    const good_lo = 113.947154;
    const add_delete_1 = Math.floor(Math.random() * 2);
    const change_1 = (Math.floor(Math.random() * 101)) /100000;
    const add_delete_2 = Math.floor(Math.random() * 2);
    const change_2 = (Math.floor(Math.random() * 101)) /100000;
    
    Java.perform(function(){
     console.log("i go main");
     var hook = Java.use("com.amap.api.location.AMapLocation");
     
     hook.getLatitude.implementation = function () {
       console.log("getLatitude: " +this.getLatitude());
       var new_la = 0;
       if (add_delete_2 ==1){
           new_la = good_la+change_2;
       }else{
           new_la = good_la-change_2;
       }
       new_la = parseFloat(new_la.toFixed(6));
       console.log("new getLatitude: " +new_la);
       return new_la;
     };
     
     hook.getLongitude.implementation = function () {
       console.log("getLongitude: " +this.getLongitude());
       var new_lo = 0;
       if (add_delete_1==1){
           new_lo = good_lo+change_1;
       }else{
           new_lo = good_lo-change_1;
       }
       new_lo = parseFloat(new_lo.toFixed(6));
       console.log("new getLongitude: " +new_lo);
       return new_lo;
     };
     
    });
   }

5. 迁移脚本到Oneplus环境

   adb push hook_location.js /sdcard/
   
   adb shell
   su root 
   mv /sdcard/hook_location.js /data/data/com.termux/files/home
   cd /data/data/com.termux/files/home/
   chmod 666 home/hook_location.js 
   echo 'frida -H 127.0.0.1 com.XXXXX.XX -l hook_location.js --no-pause' > lpXXXX.sh

4.2 演示视频

目标：定位到腾讯总部 - 深圳市南山区高新科技园

1. 运行考勤软件

2. Oneplus3, 打开nethunter , 选择android , su 输入bash /sdcard/sfs (启动firda-server)

3. 打开termux, 输入 bash lpXXXX.sh

4. 观察脚本输出是否hook进去，尝试定位当前位置是否成功定位到腾讯总部

5. 打卡(此处略)

Video:

原文始发于微信公众号（Art Of Hunting）：[AOH 004]便携式Frida环境-附某考勤任意定位