Frida遍历启动App所有Activity/Service

原创 已于 2023-06-28 02:14:03 修改 · 2.8k 阅读 · 7 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#android #Frida #逆向 #hook #objection

于 2023-06-28 02:02:02 首次发布

说明:仅供学习使用,请勿用于非法用途,若有侵权,请联系博主删除

作者:zhu6201976

一、需求

在一些大型App中,往往注册了大量的Activity和Service,这在App的AndroidManifest.xml文件可以清晰呈现。那么,如果给定任意App,在不反编译的前提下,如何获取并自动化批量遍历启动App所有Activity或Service?

二、在不反编译的前提下,如何获取启动App所有Activity或Service?

Android自带adb命令可以轻松获取Activity或Service相关信息,具体命令参考如下:

获取App四大组件相关信息命令:adb shell am

# 启动Android系统中任意App Activity
am start-activity -n com.android.settings/.Settings$NetworkDashboardActivity

# 启动Android系统中任意App Service
am start-service --user 0 com.android.internal.widget.ILockSettings

# 停止Android系统中任意App Service
am stop-service --user 0 com.android.internal.widget.ILockSettings

# 发送Android系统中任意App broadcast
am broadcast --user 0 android.intent.action.BATTERY_CHANGED
am broadcast android.provider.Telephony.SMS_RECEIVED

获取App服务相关信息命令:adb shell service/servicemanager

# 过滤查看包含settings关键词的系统service
service list | grep settings

# 过滤查看包含mosheng关键词的非系统service
dumpsys activity services | grep mosheng

三、如何获取并自动化批量遍历启动App所有Activity或Service?

根据上述描述可知,在Android系统中,adb相关命令可以轻松获取并管理Activity或Service相关信息,功能十分强大,但无法做到自动化批量遍历启动App所有Activity或Service。当然你可以写相关程序执行调用adb命令实现上述功能。

而基于Frida实现的objection功能非常强大,不仅可以枚举App中所有的四大组件相关信息,而且提供了单个组件启动服务,但仍然未实现批量自动化hook。自动化批量遍历启动App所有Activity或Service这种需求在某些特定场景,比如逆向、测试等,为开发者检查App页面及可能存在的页面跳转漏洞提供了一些便利,因此具有某些实际意义。GitHub - sensepost/objection: 📱 objection - runtime mobile exploration

四、Frida遍历启动App所有Activity/Service

基于上述需求,本人站在开发和借鉴objection的基础上,通过Frida主动调用实现了该功能,并在多个App中测试通过,项目已开源,github地址:https://github.com/zhu6201976/frida_intent.git 欢迎star、交流。

参考代码如下:

/**
 * @Time : 2023/6/28 22:00
 * @Author : Tesla
 * @Csdn : https://blog.csdn.net/zhu6201976
 *
 * Frida遍历启动App所有Activity/Service
 * attach模式:
 *     frida -UF -l hook_intent.js
 * spawn模式:
 *     frida -U -l hook_intent.js -f com.mosheng
 */

var context = null;
var packageName = null;
var delay = 1500;

function getContextPackageNameV1() {
    Java.choose('android.app.ActivityThread', {
        onMatch(instance) {
            const currentApplication = instance.currentApplication();
            context = currentApplication.getApplicationContext();
            packageName = context.getPackageName();
            console.log('getContextPackageNameV1', 'context', context, 'packageName', packageName);
        }, onComplete() {
        }
    });
}

function getContextPackageNameV2() {
    const ActivityThread = Java.use("android.app.ActivityThread");
    const currentApplication = ActivityThread.currentApplication();
    context = currentApplication.getApplicationContext();
    packageName = context.getPackageName();
    console.log('getContextPackageNameV2', 'context', context, 'packageName', packageName);
}

function sleep(delay) {
    const start = (new Date()).getTime();
    while ((new Date()).getTime() - start < delay) {
    }
}

/*
public void getAllActivity() {
    PackageManager packageManager = getPackageManager();
    PackageInfo packageInfo = null;
    try {
        packageInfo = packageManager.getPackageInfo(getPackageName(), PackageManager.GET_ACTIVITIES);
        ActivityInfo[] activities = packageInfo.activities;
        for (ActivityInfo activity :activities ) {
            Class<?> aClass = Class.forName(activity.name);
        }
    } catch (PackageManager.NameNotFoundException | ClassNotFoundException e) {
        e.printStackTrace();
    }
}
 */
function getActivities() {
    const packageManager = Java.use("android.content.pm.PackageManager");
    const GET_ACTIVITIES = packageManager.GET_ACTIVITIES.value;
    return Array.prototype.concat(context.getPackageManager()
        .getPackageInfo(context.getPackageName(), GET_ACTIVITIES).activities.value.map((activityInfo) => {
            const activity = activityInfo.name.value;
            // return activity;  // 返回所有Activity
            if (activity.indexOf(packageName) !== -1) {  // 返回app自定义Activity
                return activity;
            }
        }));
}

/*
Intent intent = new Intent(MyActivity.this, MyOtherActivity.class);
intent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK);
startActivity(intent);
 */
function startActivities() {
    const activities = getActivities();
    const set = new Set();
    activities.forEach(function (activity) {
        set.add(activity);
    });
    console.log('getActivities Found ' + set.size + ' activities');

    set.forEach(function (activity) {
        console.log('getActivities start_activity', activity);
        try {
            const Clazz = Java.use(activity);
            const Intent = Java.use('android.content.Intent');
            const intent = Intent.$new(context, Clazz.class);
            intent.setFlags(Intent.FLAG_ACTIVITY_NEW_TASK.value);
            context.startActivity(intent);
        } catch (e) {
            console.log('getActivities', e);
        }

        sleep(delay);
    });
}

function getServices() {
    const activityThread = Java.use("android.app.ActivityThread");
    const arrayMap = Java.use("android.util.ArrayMap");
    const packageManager = Java.use("android.content.pm.PackageManager");
    const GET_SERVICES = packageManager.GET_SERVICES.value;
    const currentApplication = activityThread.currentApplication();
    let services = [];
    currentApplication.mLoadedApk.value.mServices.value.values().toArray().map((potentialServices) => {
        Java.cast(potentialServices, arrayMap).keySet().toArray().map((service) => {
            // services.push(service.$className);
            if (service.$className.indexOf(packageName) !== -1) {
                // console.log('getServices 1', service);
                services.push(service.$className);
            }
        });
    });
    services = services.concat(context.getPackageManager()
        .getPackageInfo(context.getPackageName(), GET_SERVICES).services.value.map((activityInfo) => {
            const service = activityInfo.name.value;
            if (service.indexOf(packageName) !== -1) {
                // console.log('getServices 2', service);
                return service;
            }
        }));
    return services;
}

/*
Intent intent = new Intent(this, TestService.class);
startService(intent);
stopService(intent);
 */
function startServices() {
    const services = getServices();
    const set = new Set();
    services.forEach(function (service) {
        set.add(service);
    });
    console.log('startServices Found ' + set.size + ' services');

    set.forEach(function (service) {
        console.log('startServices start_service', service);
        try {
            const Clazz = Java.use(service);
            const Intent = Java.use('android.content.Intent');
            const intent = Intent.$new(context, Clazz.class);
            // context.stopService(intent);
            context.startService(intent);
        } catch (e) {
            console.log('startServices', e);
        }

        sleep(delay);
    });
}

function main() {
    Java.perform(function () {
        try {
            getContextPackageNameV1();
        } catch (e) {
            getContextPackageNameV2();
        }
        startActivities();
        startServices();
    });
}

setTimeout(main, 1500);

Frida spawn 启动app
小龙在线
12-25 9953
有一些方法在系统启动时被调用,如获取系统参数配置System.getProperty、环境变量System.getenv。为了尽早Hook到函数,需要用spawn模式启动app启动方法是-f参数,如frida -U --no-pause -f com.xx.messenger -l hook.js。 function hook_java() { Java.perform(function () { var System = Java.use("java.lang.System")
frida基本使用方法
最新发布
lyccomcn的博客
06-08 359
frida-ps是frida-tools中一个常用的工具,作用是显示系统进程列表,类似于ps,支持显示当前pc端的进程和移动端中的进程。显示USB连接移动端的所有进程:-U。
2024 最新 frida技术栈 第一部分
m0_53095312的博客
10-28 2369
查看手机设备设置如果安卓版本比较低的话,最新版frida不是很稳定。推荐安卓7、8安装版本,安卓10/frida14,安卓12/frida16。查看版本一致的进行下载 ,可以重命名成 f14-server模拟器使用x86或x86_64架构真机使用arm或arm64架构解压文件,进行推送到模拟器中/data/local/tmp下。
获取当前显示的activity
热门推荐
nolatestudy的专栏
07-25 1万+
转自http://www.eoeandroid.com/thread-42812-1-1.html 获取当前显示的activityActivityManager里面可以获取到当前运行的所有任务,所有进程和所有服务,这是任务管理器的核心。          仔细看getRunningTasks的文档,里面说获取的是系统中"running"的所有task,"running"状态包括已经被系
frida学习(java对象) && android开发学习(activity)(三)
qq_37439229的博客
02-07 1246
安卓开发 结算自第一行代码 自我认为的重点 在AndroidManifest.xml中 <intent-filter> <action android:name="android.intent.action.MAIN" /> <category android:name="android.intent.category.LAUNCHER"> </intent-filter> 表面这个项目的主activity AppcompatActivity是一
写了一个frida快速启动脚本
weixin_47074036的博客
10-12 423
逆向爬虫
Frida使用文档(一)安装、启动、运行、关闭
拉灯的小手的博客
03-31 6721
本文所有教程及源码、软件仅为技术研究。不涉及计算机信息系统功能的删除、修改、增加、干扰,更不会影响计算机信息系统的正常运行。不得将代码用于非法用途,如侵立删! Frida使用文档(一)安装、启动、运行、关闭 安装Frida PC安装fridafrida-tools 注意frida和python frida-tools的版本匹配,FridaFrida-tools对应关系 pip install frida==14.2.17 pip install frida-tools==9.2.4 手机安装fri
frida 遍历map
08-30
- *1* *2* *3* [Frida遍历启动App所有Activity/Service](https://blog.csdn.net/zhu6201976/article/details/131426154)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...
Frida调用系统的类和函数
小龙在线
12-29 1352
如果要打开一个Activity,可以用系统自带的startActivity。具体如何调用,可以去http://aospxref.com/查看具体的Android源码。 调用方法跟普通的方法一样。 function call_startActivity() { Java.perform(function() { var ActivityThread = Java.use("android.app.ActivityThread"); var application
看雪3万课程笔记-FRIDA高级API实用方法:Frida Hook Java(七)遍历所有类对类方法hook
kfyzjd2008的博客
02-16 1455
本节接上一节课,APP进入第六关。 本节知识点为遍历所有已加载类并hook类方法: 本关代码如下: 有两种方法可以过本关卡: 方法1:直接hook function hook_FridaActivety6(){ Java.perform(function(){ var Frida6Class0 = Java.use("com.example.androiddemo.Activity.Frida6.Frida6Class0"); Frida6Class
安卓系统frida怎么枚举app所有控件
05-25
这个脚本会获取当前活动的Activity,并从该Activity的根视图开始遍历所有子视图。对于每个视图,它会检查它是否有子视图。如果它没有子视图,那么它就是最终的控件,并将其打印到控制台上。 3. 最后,可以使用以下...
APP攻防—— jadx反编译&frida编写js
m0_61506558的博客
01-18 1260
再刚刚抓取的数据包中有Encrypt"关键字,我们直接进行搜索,再找到它的父类,双击找到该变量的调用情况。如图2-5所示将传入的sign放在paraMap进行拼接,再encodeDesMap加密处理。我们发现sign值是未知的,再进入jadx_GUI分析,同样的思路找主类包括sign"再用工具进行加密,破解加密的数据包,之后的操作就不再赘述。activity绑定browserable与自定义协议。Content Provider中的SQL注入漏洞。可以看到这里进行了Des加密,进入具体的加密算法。
frida 如何Hook app启动阶段的方法
babytiger的专栏
10-15 3996
frida逆向开发】如何Hook app启动阶段的方法_信息安全交流QQ群:704033610-CSDN博客如何Hook app启动阶段的方法onCreate启动阶段即app没有完全启动起来。正常在hook一个app之前,要将app运行起来才可以进行hook,但是有些时候我们hook的方法是在app启动阶段执行的,该方法在启动阶段执行一次之后在不会执行。我们知道只有在该方法执行的时候才能hook到。那么现在两者冲突了正常hook要在app完全启动之后;该方法只在app启动阶段运行一次;例如:onCreat
我想通过frida hook获取安卓ActivityThread.class中的currentActivityThread方法对应的ArtMethod对象中的hotness_count_字段值...
weixin_35756690的博客
02-13 330
你可以使用Frida API来hook AndroidActivityThread类中的currentActivityThread方法,然后获取其对应的ArtMethod对象,最后读取hotness_count_字段的值。 首先,你需要使用Java.use() API加载ActivityThread类: Java.perform(function () { var ActivityThr...
frida 遍历所有当前已经加载的类
weixin_33937499的博客
05-21 4545
# -*- coding: UTF-8 -*- import frida, sys jsCode = """ Java.perform(function(){ var imports = Module.enumerateImportsSync("libsoul-netsdk.so"); for(var i = 0; i < imports.length; i++) {...
Frida脱壳环境启动代码集
weixin_45518621的博客
07-24 943
本文用于保存我的配置代码方便我快速启动Frida脱壳环境以及一些更新的实验研究run夜神模拟器.exeruncmd再开一个cmd。
Frida入门介绍
我还可以
02-22 4770
Frida 是一款功能强大的动态分析工具,主要用于对操作系统、桌面应用、移动应用和浏览器进行逆向工程和安全测试;提供了比较灵活的 js api,可以在运行时通过注入代码来修改程序的逻辑;因为本人研究的是Android方向,所以后面都会以Android例子为主;
frida 踩坑记录
秋凉知意
04-08 3435
博主安装了python3.11,然后没限制frida版本,踩坑居多,痛定思痛,修改python版本为3.9,降低frida版本,果然未来可期!将其解压缩生成 frida-server-12.2.27-android-arm64 文件,我将文件修改了一下名字frida-server12。电脑 USB 连接安卓手机,针对设备是否 root 采用不同的方式。已经 root 的设备采用安装 frida-server 的方式。查看手机型号,下载系统对应版本的 frida-server。adb 操作root手机。
Frida安装与使用
weixin_45109047的博客
07-19 9621
注意:当手机CPU只支持arm时需要选用frida-server-14.2.18-android-arm该架构的工具,如果支持arm64则需要用frida-server-14.2.18-android-arm64;objection是一个封装了frida的python库,允许我们用命令行而不是代码脚本来实现一些基本的hook功能,比如监控函数的入参出参,从而减少开发者的代码量。Module.enumerateImportsSync("libc.so") 查看名字为libc.so的so库的导入函数表。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值