Frida 0xB

发表于2025-07-11|更新于2025-07-14|安卓

|浏览量:

Frida 0xB

微信截图_20250710170107

微信截图_20250710170120

通过分析上述代码可以看到主要逻辑还是在native层中的getFlag函数中

下面到so层进行分析

微信截图_20250710170221

反编译出来发现什么都没有

微信截图_20250710170259

但在汇编界面又能看到有东西

所以估计是进行了某些操作阻碍了ida的反编译

微信截图_20250710170513

我们看到这里

它给rbp+var_24赋值为0x0DEADBEEF

cmp [rbp+var_24], 539

又将这个值与0x539比较

所以这段代码永假，所以下面的代码全都会被跳过，不执行

这里直接nop掉

再反编译程序就出来了

微信截图_20250710170823

所以我们只需要通过hook把刚才那个永假条件改成nop就行

大概思路就是找到那个永假条件的代码对应的地址

然后更改它的十六进制数据

改成90(nop)即可

或者改成74(jz)

具体代码实现是参考网上的wp写的

代码如下

function hookTestB(){
var libc_base = Module.getBaseAddress("libfrida0xb.so") //libc基地址
var jnz = libc_base.add(0x170CE); //JNZ所在偏移
console.log("libc_base : ",libc_base);
console.log("jnz : ",jnz);

Memory.protect(jnz, 0x1000, "rwx"); //赋予rwx权限
var writer = new X86Writer(jnz);

// 读取内存范围内的指令
var size = 0x30; // 读取的字节数
var instructionBytes = Memory.readByteArray(jnz, size);
console.log("instructionBytes ：",instructionBytes);
// 解析并输出汇编指令
var instructions = Instruction.parse(jnz, instructionBytes);
console.log("instructions ：",instructions);

try {
    for (var i = 0; i < 0x170D4-0x170CE; i++) { //填充6个NOP
        writer.putNop()
    }
    writer.flush();// 刷新指令缓存
} finally {

  writer.dispose();// 释放writer对象
}

var instructionBytes = Memory.readByteArray(jnz, size);
console.log("new instructionBytes ：",instructionBytes);
// 解析并输出汇编指令
var instructions = Instruction.parse(jnz, instructionBytes);
console.log("new instructions ：",instructions);
}

function main(){
    Java.perform(function(){
        hookTestB();
    });
}
setImmediate(main);

文章作者: Gypsophilazj

文章链接: http://example.com/2025/07/11/Frida%200xB/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源啥都不会捏！

相关推荐

Frida 0x1 根据上面的check方法可以看到只要满足让(i*2)+4==i2这个条件就能够输出flag 所以我们只需要hook check方法中的i和i2的值就行代码如下 12345678910111213141516171819202122function hookTest1(){ //获取一个名为"类名"的Java类，并将其实例赋值给JavaScript变量utils var utils = Java.use("com.ad2001.frida0x1.MainActivity"); //修改"类名"的"method"方法的实现。这个新的实现会接收两个参数（a和b） utils.check.implementation = function(a, b){ //将参数a和b的值改为123和456。 a = 1; b = 6; //调用修改过的"...

Frida 0x4 这里我们照常看到mainactivity 发现只是对这个界面进行了一些设置没有flag 又看到存在一个check类点开里面发现有get_flag函数但是这个方法实现完flag并不会输出到程序中去，而是作为返回值所以我们需要通过hook构造一个Check类，再调用这个类中的get_flag令a==1337并且打印执行这个方法之后的返回值 12345678910111213function hookTest4(){ var ClassName=Java.use("com.ad2001.frida0x4.Check"); var instance = ClassName.$new(); var a=instance.get_flag(1337); console.log(a);}function main(){ Java.perform(function(){ hookTest4(); ...

Frida 0x2 通过分析这个代码可以知道我们只需要通过hook主动调用get_flag让a==4919就能输出flag代码如下 12345678910function hookTest2(){ var ClassName=Java.use("com.ad2001.frida0x2.MainActivity"); ClassName.get_flag(4919);}function main(){ Java.perform(function(){ hookTest2(); });}setImmediate(main);

Frida 0x6 看到如上代码可以得出代码中写了get_flag 但没有地方调用它所以，我们要通过hook Checker这个构造方法构造一个Checker类再给里面的num1和num2赋值让num1=1234，num2==4321 再传入get_flag中，即可在程序中输出flag 代码如下 1234567891011121314151617181920212223function hookTest6(){ var ret = null; Java.perform(function () { Java.choose("com.ad2001.frida0x6.MainActivity",{ //要hook的类 onMatch:function(instance1){ var utils = Java.use("com.ad2001.frida0x6.Checker");...

Frida 0x3 这题也是，通过frida直接hook check.code更改这个静态变量的值为512即可 12345678910111213141516function hookTest3(){ Java.perform(function(){ //静态字段的修改s var utils = Java.use("com.ad2001.frida0x3.Checker"); //修改类的静态字段"flag"的值 utils.code.value = 512; console.log(utils.code.value); });}function main(){ Java.perform(function(){ hookTest3(); });}setImmediate(main);

Frida 0x5 根据上述代码可知我们需要用hook非静态方法的方式hook flag方法让code==1337即可 12345678910111213141516171819function hookTest5(){ var ret = null; Java.perform(function () { Java.choose("com.ad2001.frida0x5.MainActivity",{ //要hook的类 onMatch:function(instance){ instance.flag(1337); //要hook的方法 }, onComplete:function(){ //console.log("result: " + ret); ...

数据加载中