背景介绍

未使本文更加有意思,我开发了一个简单的演示应用,只有一个按钮和一个输入框。

下载:

http://yunpan.cn/cf3RVN5fRRC73 (提取码:8734)

运行截图如下:

安卓-6-调试Android应用-JE2Se ' Blog

点击按钮,应用提示”Try Again”。现在我们的目标就是在不修改程序的情况下,把提示结果改成”Hacked”。为此,我们需要在程序运行是来改变提示的内容。

用到的工具

l模拟器

ladb  - Android调试桥

ljdb  - Java调试器

为了简单点,我会使用Android Tamer,其中包含了所以上面提到的工具

相关主题:

u检查漏洞

u相关设置

u运行时代码注入

好了,开始。

漏洞检查

这是本文最简单的部分

1、使用APKTOOL反编译AndroidManifest.xml文件,命令如下

#apktool d <vulnerableapp>.apk

2、检查AndroidManifest.xml文件是否有如下内容:

Android:debuggable=”true”

如果你在其中发现了这样的内容,就所以该应用是可以被调试的。

提示: 我们只用到了APKTOOL来检查应用是否可调试,但我们没有修改应用的代码。

设置准备:

这一步中,我们会为在进程中注入代码做一些准备。上一期中说了,我们会用远程调试的方法。

1、启动模拟器

2、安装测试应用

3、打开终端,输入以下命令,查看Dalvik虚拟机监听在模拟器的哪一个端口。

#adb jdwp

这条命令会显示所有可以连接并调试的端口,如下图:

安卓-6-调试Android应用-JE2Se ' Blog

提示:JDWP就是 Java Debug Wire Protocol(Java调试线协议),如果一个应用可被调试,该应用的虚拟机会打开一个唯一端口以便JDB连接调试。Android的Dalvik虚拟机也支持该协议。

4、现在打开我们刚安装的测试应用,再使用同样命令查看我们的应用监听的端口,如图:

安卓-6-调试Android应用-JE2Se ' Blog

我们比较两次命令执行的结果,发现运行测试应用后多出了赢543端口,这就是我们测试应用对应的端口,我们需要用JDB去连接该端口。

5、在连接之前,我们需要使用adb来转发端口:

安卓-6-调试Android应用-JE2Se ' Blog

6、现在就可以用JDB连接调试android应用了.

安卓-6-调试Android应用-JE2Se ' Blog

远程代码注入

我们将用在应用运行时修改其行为的方式来实现。

为此,我们需要设置断点来控制程序的执行流程。但我们并不知道该应用所使用的类和方法。使用一下命令来查看类和方法。

查看类的命令 “classes

安卓-6-调试Android应用-JE2Se ' Blog

由于打印出的类太多,这里只列出了少数类,但你继续向下滚动你就会发现用户自定义的类。

安卓-6-调试Android应用-JE2Se ' Blog

现在我们用以下命令查看 MainActivity$1类中的方法。

methods com.example.debug.MainActivity$1

安卓-6-调试Android应用-JE2Se ' Blog

在MainActivity$1.onClick方法中设置断点

“stop in com.example.debug.MainActivity$1.onClick(android.view.View)”

安卓-6-调试Android应用-JE2Se ' Blog

为了触发这个断点,我们需要手动点击下应用的按钮,如下图,点击后断点被触发:

安卓-6-调试Android应用-JE2Se ' Blog

在此我们就能用various 命令查看变量和参数的等命令一些敏感信息。

为了解相关细节,onClick方法的代码如下:

安卓-6-调试Android应用-JE2Se ' Blog

使用”locals”命令查看局部变量:

安卓-6-调试Android应用-JE2Se ' Blog

局部变量中没有什么我们需要的信息。

使用”next”命令执行下一行代码:

安卓-6-调试Android应用-JE2Se ' Blog

再使用”locals”命令查看本地变量,看上一行代码干了些什么:

安卓-6-调试Android应用-JE2Se ' Blog

如上图,TextView已经被加载被赋值给了tv参数,对应代码中与TextView的代码已经被执行。

“next”执行下一行,并检查局部变量:

安卓-6-调试Android应用-JE2Se ' Blog

上图中列出了所以的局部变量,其中secret的字符串变量看上去毕竟可疑,其值”Try Again”就是之前我们点击按钮后显示的信息。

之前的源代码中看到,setText方法被用来设置值”Try Again”。使用”step”命令进入”setText”方法动态修改显示的值。

安卓-6-调试Android应用-JE2Se ' Blog

使用”locals”命令查看该方法中的局部变量:

安卓-6-调试Android应用-JE2Se ' Blog

使用”set”命令将”text”变量的值从”Try Again”改为”Hacked”。

安卓-6-调试Android应用-JE2Se ' Blog

我们并不能在程序中看到任何变化,因为我们还没有执行。

下面使用”run命令”执行:

安卓-6-调试Android应用-JE2Se ' Blog

模拟器运行结果如下:

安卓-6-调试Android应用-JE2Se ' Blog

可以看到,我们已经成功修改了应用运行的输出,这只是一使用JDB修改应用运行行为的示例。我们也能执行其它的操作,比如“Getting a shell”

总结

本文中,我们示范了如何攻击一个可以被调试的应用,在实际的产品的测试中,渗透测试者也应该注意被测试应用是否可以被调试。