一、目标

李老板: 奋飞呀，你hook这个App之后拿到token，然后上报给我的服务器好不好？

奋飞: 木问题。

二、步骤

gumjs-http

在frida里面做http请求，最根正苗红的必须是 gumjs-http ，大胡子出品，有保障

https://github.com/frida/gumjs-http

可惜的是我没有搞明白，李老板催的紧，木有时间去慢慢研究了。

先搞个Server测试

子曾经曰过： 人生苦短，快用Python。

不过最近发现go更适合我们这些C/C++老江湖。先撸个测试的Http Server出来

package main

import "github.com/gin-gonic/gin"

func main() {
    // https://geektutu.com/post/quick-go-gin.html
    r := gin.Default()
    r.GET("/", func(c *gin.Context) {
        c.String(200, "Hello World")
    })
    r.Run() // listen and serve on 0.0.0.0:8080
}

老朋友AndroidAsync

http://91fans.com.cn/post/fridarpctwo/

之前我们在Frida RPC的时候介绍过用 AndroidAsync 来做httpServer。既然能做Server，那么大概率也能做HttpClient吧？

https://github.com/koush/AndroidAsync

// url is the URL to download.
AsyncHttpClient.getDefaultInstance().getString(url, new AsyncHttpClient.StringCallback() {
    // Callback is invoked with any exceptions/errors, and the result, if available.
    @Override
    public void onCompleted(Exception e, AsyncHttpResponse response, String result) {
        if (e != null) {
            e.printStackTrace();
            return;
        }
        System.out.println("I got a string: " + result);
    }
});

查了一下它的文档，果然有戏。

那就这么玩

var url = "http://192.168.2.103:8080/?tk=123456";

Java.openClassFile("/data/local/tmp/androidAsync.dex").load();

var AsyncHttpClient = Java.use("com.koushikdutta.async.http.AsyncHttpClient");

var androidClent = AsyncHttpClient.getDefaultInstance().execute(url,null);

是的，我嫌 AsyncHttpClient.StringCallback 初始化太麻烦，反正李老板只要我上报，没说要检查结果。

[GIN] 2022/05/25 - 10:33:12 | 200 |      35.119µs |   192.168.2.105 | GET      /?tk=123456

没问题，上报成功，可以收工干鲜啤去了。

jar to dex 打开新世界的大门

事情还没结束，老板这种生物果然不能用常理推测。李老板居然要我判断下返回值和提交失败的情况。

有了 AndroidAsync 的经验，对于咱们这种二把刀java程序员来说，有个更帅的解决方案，我拿java写好一个http函数，然后直接编译成dex来给frida调用不就行了。

说干就干，打开idea，写个http请求的函数。

package com.fenfei.http;

public class Main {
    public static String doGet(String httpurl) {...}
    public static String doPost(String httpUrl, String param) {...}

    public static void main(String[] args) {
        System.out.println(doGet("http://192.168.2.103:8080/?tk=8976"));
    }
}

然后编译成jar包

jar.png

我们得到了 fridaHttp.jar

然后需要一个dx命令来把 jar转成 dex

dx命令一般生活在你装的Android SDK的 build-tools 目录下面

比如我的在

/Users/fenfei/Library/Android/sdk/build-tools/23.0.2

然后执行，(我把fridaHttp.jar文件直接拷到dx同一目录了)

./dx --dex --output=fridaHttp.dex fridaHttp.jar 

果不其然，报错了，

java.lang.RuntimeException: Exception parsing classes

这个不要慌，谷哥会告诉我们原因，我本机编译jar包用的jdk版本是1.8。 而Android貌似最高只支持jdk 1.7。

所以需要把编译的jdk版本改成1.7

jdk.png

重新编译一下，再跑一下dx命令，完美生成 fridaHttp.dex

adb push扔到手机里面，开始重写js

var url = "http://192.168.2.103:8080/?tk=123456";

Java.openClassFile("/data/local/tmp/fridaHttp.dex").load();

var MainHttpCls = Java.use("com.fenfei.http.Main");

var rc = MainHttpCls.doGet(url);
console.log(rc);

跑一下，没天理呀，还报错

Error: android.os.NetworkOnMainThreadException

唉，作为一个二把刀java程序员太难了。

继续问谷哥吧，哥说了，java不让在主线程里面做http请求，你为啥不早说。

class sendHttpCls implements Runnable{
    public void run(){
        doGet(url); 
    }
}
 
public class RunnableDemo{
    public static void main(String[] args){
        sendHttpCls my = new sendHttpCls();
        new Thread(my).start();
    }
}

解决办法炒鸡Easy，起个线程包起来就行了。不过我dex好不容易编译好了，舍不得改了。

试试在Frida里面起多线程吧。

var Thread = Java.use("java.lang.Thread");
var Runnable = Java.use("java.lang.Runnable"); 
var sendHttpCls = Java.registerClass({ //注册一个类
    name: "com.example.fenfei",   //包名
    implements: [Runnable], //实现Runnable
    methods: {
        run: function () {
            var rc = MainHttpCls.doGet(url);
            console.log(rc);
        }
    }
});

var uHttp = sendHttpCls.$new();
Thread.$new(uHttp).start();

再跑一下，完美搞定，排队买鲜啤去了~

三、总结

实现很重要，实现的原理更重要，了解原理了，就可以举一反三。

搞Android逆向，可以不懂java，但是要有借助谷哥搞明白的能力。有问题先问谷哥，再问飞哥。

ffshow.jpg

从理论上说，理论与实践没有不同，但是到了实践中，二者却有天壤之别