Chrome V8 Fantasy

ChromeV8漏洞

shellcode写入位置

本地环境

​x
brew install cmake
git clone https://github.com/juj/emsdk.git
cd emsdk
​
./emsdk install latest
./emsdk activate latest
source ./emsdk_env.sh
​

代码

xxxxxxxxxx
#include <stdio.h>
​
int main(int argc, char ** argv) {
  printf("Hello World\n");
}
​

编译命令

xxxxxxxxxx
emcc hello.c -Os -s WASM=1 -s SIDE_MODULE=1 -s EXPORTED_FUNCTIONS="['main']" -o hello.wasm

调试

通过在线编译环境(WasmExplorer)编写测试代码

xxxxxxxxxx
int hack(int x) {
   int ret = puts("the gay is lazy, nothing left.");
   return ret + x;
}

生成js代码:

xxxxxxxxxx
function webAssembly() {
   let wasmCode = null
   let wasmModel = null
   let wasmInstance = null
   let wasmImports = null
   let wasmBuffer = null
   let wasmFunc = null
   wasmCode = new Uint8Array([0,97,115,109,1,0,0,0,1,138,128,128,128,0,2,96,0,1,127,96,1,127,1,127,2,140,128,128,128,0,1,3,101,110,118,4,112,117,116,115,0,1,3,130,128,128,128,0,1,1,4,132,128,128,128,0,1,112,0,0,5,131,128,128,128,0,1,0,1,6,129,128,128,128,0,0,7,145,128,128,128,0,2,6,109,101,109,111,114,121,2,0,4,104,97,99,107,0,1,10,143,128,128,128,0,1,137,128,128,128,0,0,65,16,16,0,32,0,106,11,11,165,128,128,128,0,1,0,65,16,11,31,116,104,101,32,103,97,121,32,105,115,32,108,97,122,121,44,32,110,111,116,104,105,110,103,32,108,101,102,116,46,0])
​
   wasmImports = {
      env: {
         puts: function puts (i32) {
               // eval(`hacking('xxooxxoo')`)
               return 0x41414141
         }
      }
   }
​
   wasmInstance = new WebAssembly.Instance(new WebAssembly.Module(wasmCode), wasmImports)
   wasmBuffer = new Uint8Array(wasmInstance.exports.memory.buffer)
   wasmFunc = wasmInstance.exports.hack
   ;%DebugPrint(wasmFunc);
   ;%SystemBreak();
   console.log('WebAssembly function return: 0x' + wasmFunc().toString(16))
}
​
webAssembly()
​

挂上d8调试:

xxxxxxxxxx
gdb --args ./v8/out.gn/ia32.debug/d8 --allow-natives-syntax ./test.js
​

断下来之后:

xxxxxxxxxx
​
DebugPrint: 0x2ce97431: [Function] in OldSpace
 - map: 0x33c86131 <Map(HOLEY_ELEMENTS)> [FastProperties]
 - prototype: 0x2ce853b1 <JSFunction (sfi = 0x43505701)>
 - elements: 0x4c2046d1 <FixedArray[0]> [HOLEY_ELEMENTS]
 - function prototype: <no-prototype-slot>
 - shared_info: 0x2ce9740d <SharedFunctionInfo 1>
 - name: 0x4c206495 <String[1]: 1>
 - formal_parameter_count: 1
 - kind: NormalFunction
 - context: 0x2ce84f5d <NativeContext[248]>
 - code: 0xf349c961 <Code JS_TO_WASM_FUNCTION>
 - WASM instance 0x2ce97321
 - WASM function index 1
 - properties: 0x4c2046d1 <FixedArray[0]> {
    #length: 0x435106dd <AccessorInfo> (const accessor descriptor)
    #name: 0x435106a5 <AccessorInfo> (const accessor descriptor)
    #arguments: 0x43510635 <AccessorInfo> (const accessor descriptor)
    #caller: 0x4351066d <AccessorInfo> (const accessor descriptor)
 }
​

优化后的代码 JS_TO_WASM_FUNCTION:

xxxxxxxxxx
pwndbg> job 0xf349c961
0xf349c961: [Code]
 - map: 0x4c2045b1 <Map>
kind = JS_TO_WASM_FUNCTION
compiler = turbofan
address = 0xf349c961
​
Instructions (size = 180)
0xf349c9a0     0  55             push ebp
0xf349c9a1     1  89e5           mov ebp,esp
0xf349c9a3     3  56             push esi
0xf349c9a4     4  57             push edi
0xf349c9a5     5  83ec08         sub esp,0x8
0xf349c9a8     8  8b470b         mov eax,[edi+0xb]
0xf349c9ab     b  8b4003         mov eax,[eax+0x3]
0xf349c9ae     e  8b4807         mov ecx,[eax+0x7]
0xf349c9b1    11  8945f0         mov [ebp-0x10],eax
0xf349c9b4    14  894df4         mov [ebp-0xc],ecx
0xf349c9b7    17  89c2           mov edx,eax
0xf349c9b9    19  8b4508         mov eax,[ebp+0x8]
0xf349c9bc    1c  e81f693940     call 0x338332e0  (ToNumber)    ;; code: Builtin::ToNumber
0xf349c9c1    21  a801           test al,0x1
0xf349c9c3    23  0f8539000000   jnz 0xf349ca02  <+0x62>
0xf349c9c9    29  d1f8           sar eax,1
0xf349c9cb    2b  f20f2ac8       cvtsi2sd xmm1,eax
0xf349c9cf    2f  8b75f4         mov esi,[ebp-0xc]
0xf349c9d2    32  8b4677         mov eax,[esi+0x77]
0xf349c9d5    35  8b4df0         mov ecx,[ebp-0x10]
0xf349c9d8    38  8b490b         mov ecx,[ecx+0xb]
0xf349c9db    3b  d1f9           sar ecx,1
0xf349c9dd    3d  f20f2cd1       cvttsd2si edx,xmm1
0xf349c9e1    41  83fa01         cmp edx,0x1
0xf349c9e4    44  0f8051000000   jo 0xf349ca3b  <+0x9b>
0xf349c9ea    4a  03c8           add ecx,eax
0xf349c9ec    4c  89d0           mov eax,edx
0xf349c9ee    4e  ffd1           call ecx
0xf349c9f0    50  89c1           mov ecx,eax
0xf349c9f2    52  03c8           add ecx,eax
0xf349c9f4    54  0f802b000000   jo 0xf349ca25  <+0x85>
0xf349c9fa    5a  89c8           mov eax,ecx
0xf349c9fc    5c  89ec           mov esp,ebp
0xf349c9fe    5e  5d             pop ebp
0xf349c9ff    5f  c20800         ret 0x8
0xf349ca02    62  8b4df4         mov ecx,[ebp-0xc]
0xf349ca05    65  39413f         cmp [ecx+0x3f],eax
0xf349ca08    68  0f8407000000   jz 0xf349ca15  <+0x75>
0xf349ca0e    6e  f20f104803     movsd xmm1,[eax+0x3]
0xf349ca13    73  ebba           jmp 0xf349c9cf  <+0x2f>
0xf349ca15    75  660f76c9       pcmpeqd xmm1,xmm1
0xf349ca19    79  660f73f134     psllq xmm1,52
0xf349ca1e    7e  660f73d101     psrlq xmm1,1
0xf349ca23    83  ebaa           jmp 0xf349c9cf  <+0x2f>
0xf349ca25    85  8945f4         mov [ebp-0xc],eax
0xf349ca28    88  e85376623c     call 0x2fac4080  (AllocateHeapNumber)    ;; code: Builtin::AllocateHeapNumber
0xf349ca2d    8d  f20f2a4df4     cvtsi2sd xmm1,[ebp-0xc]
0xf349ca32    92  f20f114803     movsd [eax+0x3],xmm1
0xf349ca37    97  89c1           mov ecx,eax
0xf349ca39    99  ebbf           jmp 0xf349c9fa  <+0x5a>
0xf349ca3b    9b  83ec08         sub esp,0x8
0xf349ca3e    9e  f20f110c24     movsd [esp],xmm1
0xf349ca43    a3  e8b809c963     call 0x5712d400  (DoubleToI)    ;; code: Builtin::DoubleToI
0xf349ca48    a8  8b1424         mov edx,[esp]
0xf349ca4b    ab  83c408         add esp,0x8
0xf349ca4e    ae  eb9a           jmp 0xf349c9ea  <+0x4a>
0xf349ca50    b0  90             nop
0xf349ca51    b1  0f1f00         nop
​

漏洞利用中写shellcode的地方位置:

xxxxxxxxxx
pwndbg> job 0x2ce9740d
0x2ce9740d: [SharedFunctionInfo] in OldSpace
 - map: 0x4c204589 <Map[36]>
 - name: 0x4c206495 <String[1]: 1>
 - kind: NormalFunction
 - function_map_index: 137
 - formal_parameter_count: 1
 - expected_nof_properties:
 - language_mode: sloppy
 - data: 0x2ce973f9 <WasmExportedFunctionData>
 - code (from data): 0xf349c961 <Code JS_TO_WASM_FUNCTION>
 - function token position: -1
 - start position: -1
 - end position: -1
 - no debug info
 - scope info: 0x4c2046c9 <ScopeInfo[0]>
 - length: 1
 - feedback_metadata: 0x4c2055b9: [FeedbackMetadata]
 - map: 0x4c204a25 <Map>
 - slot_count: 0
​
pwndbg> job 0x2ce973f9
0x2ce973f9: [WasmExportedFunctionData] in OldSpace
 - map: 0x4c207389 <Map[20]>
 - wrapper_code: 0xf349c961 <Code JS_TO_WASM_FUNCTION>
 - instance: 0x2ce97321 <Instance map = 0x33c88ae9>
 - function_index: 1
​
pwndbg> job 0x2ce97321
0x2ce97321: [WasmInstanceObject] in OldSpace
 - map: 0x33c88ae9 <Map(HOLEY_ELEMENTS)>
 - module_object: 0x4c112bd5 <Module map = 0x33c88819>
 - exports_object: 0x4c112d01 <Object map = 0x33c898a9>
 - native_context: 0x2ce84f5d <NativeContext[248]>
 - memory_object: 0x2ce973c1 <Memory map = 0x33c88fe9>
 - imported_function_instances: 0x4c112cb9 <FixedArray[1]>
 - imported_function_callables: 0x4c112cc5 <FixedArray[1]>
 - managed_native_allocations: 0x4c112cb1 <Foreign>
 - memory_start: 0xf3550000
 - memory_size: 65536
 - memory_mask: ffff
 - imported_function_targets: 0x56f6db10
 - globals_start: (nil)
 - imported_mutable_globals: 0x56f6db20
 - indirect_function_table_size: 0
 - indirect_function_table_sig_ids: (nil)
 - indirect_function_table_targets: (nil)
​
pwndbg> dd 0x56f6db10
56f6db10     563144e0 00000000 00000000 00000011
56f6db20     00000000 00000000 00000000 00000021
56f6db30     f7ec43ac 00000000 00000000 56f6daf0
56f6db40     31619bea 56f76360 00000001 00000021
​

查找链为:

xxxxxxxxxx
JSFunciton -> SharedFunctionInfo -> WasmExportedFunctionData -> instance -> imported_function_targets[x]

最终的imported_function_targets依次存放着导入函数的代码.

如 0x563144e0 处为 hack 函数的实现:

xxxxxxxxxx
pwndbg> db 0x563144e0 80
563144e0     55 89 e5 6a 0c 56 83 ec 18 8b 4e 13 8b 56 2f 8b
563144f0     52 07 8b 5e 3f 8b 7a 0f 89 55 f0 8b 51 17 89 4d
56314500     f4 89 c1 03 c8 0f 80 74 00 00 00 ff f2 ff f1 b8
56314510     01 00 00 00 89 f1 89 fe 8b 7d f0 89 da 3b 77 0f
56314520     0f 84 2a 00 00 00 89 e0 83 ec 08 83 e4 f0 89 44

下断点并执行

中断到wasm执行代码中:

xxxxxxxxxx
 ► 0x563144e0    push   ebp
   0x563144e1    mov    ebp, esp
   0x563144e3    push   0xc
   0x563144e5    push   esi
   0x563144e6    sub    esp, 0x18
   0x563144e9    mov    ecx, dword ptr [esi + 0x13]
   0x563144ec    mov    edx, dword ptr [esi + 0x2f]
   0x563144ef    mov    edx, dword ptr [edx + 7]
   0x563144f2    mov    ebx, dword ptr [esi + 0x3f]
   0x563144f5    mov    edi, dword ptr [edx + 0xf]
   ...
   0x56314550    mov    ecx, dword ptr [edi + 0x17]
   0x56314553    add    ecx, 0x3f
   0x56314556    call   ecx   // 执行 hack 函数
​

也可以直接通过 wasmInstance 直接找到 imported_function_targets

漏洞挖掘的问题

主流的挖掘流程:

• 目标选择是否合理
• 目标代码逻辑难以理解
• 优化机制使代码覆盖率提高难度极大
• 崩溃可利用率极低

漏洞利用的问题

类型混淆的职业受害者:

• 受害高度一致性
• 利用套路一致性
• 蝴蝶效应的思考
• 新的挖掘模型

蝴蝶效应引发的漏洞模型？

• 避开所有难点
• 持续积累
• 历史漏洞复现
• 理论可行性分析

Android Hook框架Frida实践Part2-自动化安全检测

Table of Contents

• 1. Android Hook框架Frida实践Part2-自动化安全检测
  • 1.1. Frida API
  • 1.2. 自动化测试
  • 1.3. 安全检测

1. Android Hook框架Frida实践Part2-自动化安全检测

在上一章节中，我们初步了解了Frida安装和使用，并且进行简单的hook测试，这个章节，我们将通过实际的例子，来完成自动化安全检测。

1.1. Frida API

Frida官方文档：https://frida.re/docs/home/

Frida官方文档中提供的API接口包括 JavaScript, C, Swift, 但是具有详细文档的只有 JavaScript.

JavaScript接口相当丰富了，接口功能包括但不限于进程操作、模块操作、内存操作、函数操作、线程操作、网络通信、数据流操作、文件操作、数据库操作、寄存器操作， 并且官网有着详细的说明文档(https://www.frida.re/docs/javascript-api/)，对于每个接口的功能和参数给出了详细的解释，并且一部分接口还给出了例子。

除了官方文档提到的API接口以外，其实还提供了一套Python接口，Python接口提供的功能很少，而且基本都是用来获取进程、模块、函数的信息的。

其中部分接口：

# 启动应用，应用处于挂起状态
def spawn(*args, **kwargs):
    return get_local_device().spawn(*args, **kwargs)

# 恢复应用运行状态
def resume(target, **kwargs):
    get_local_device().resume(target, **kwargs)

# 结束应用
def kill(target, **kwargs):
    get_local_device().kill(target, **kwargs)

# 附加到目标进程中
def attach(target, *args, **kwargs):
    return get_local_device().attach(target, *args, **kwargs)

# 获取连接的USB设备
def get_usb_device(timeout=0, **kwargs):
    return get_device_matching(lambda d: d.type == 'usb', timeout, **kwargs)

# 创建javascript脚本
def create_script(self, *args, **kwargs):
   return Script(self._impl.create_script(*args, **kwargs))

更多接口请查看源码：frida-python

下边我们尝试使用Python接口枚举所有进程：

import frida

device = frida.get_usb_device()
for process in device.enumerate_processes():
    print(process)

执行以后，终端就会打印出所有的进程：

> python testing.py

Process(pid=1, name="init", parameters={})
Process(pid=146, name="init", parameters={})
Process(pid=148, name="ueventd", parameters={})
Process(pid=173, name="logd", parameters={})
Process(pid=174, name="lmkd", parameters={})
Process(pid=176, name="servicemanager", parameters={})
Process(pid=181, name="hwservicemanager", parameters={})
Process(pid=182, name="sh", parameters={})
Process(pid=183, name="qemu-props", parameters={})
Process(pid=186, name="vold", parameters={})
Process(pid=194, name="android.hardware.keymaster@4.1-service", parameters={})
Process(pid=219, name="android.system.suspend@1.0-service", parameters={})
Process(pid=220, name="android.hardware.atrace@1.0-service", parameters={})
Process(pid=287, name="createns", parameters={})
Process(pid=292, name="tombstoned", parameters={})
Process(pid=298, name="statsd", parameters={})
...

1.2. 自动化测试

上一章节中我们初步使用了frida内置的工具来进行简单的测试，下边我们将通过编写代码来实现自动化测试。

测试代码依然是hook open函数，python代码如下：

   import sys
   import time
   import frida


   js_code = """
Interceptor.attach(Module.findExportByName("libc.so" , "open"), {
  onEnter: function (args) {
    console.log('open called args[0] address: ' + args[0] + ', value: ' + Memory.readUtf8String(args[0]));
  }
});
    """
   device = frida.get_usb_device()
   pid = device.spawn('com.android.chrome')
   device.resume(pid)
   time.sleep(3)
   session = device.attach('com.android.chrome:privileged_process0')
   script = session.create_script(js_code)
   script.load()
   print('starting...')
   sys.stdin.read()

这里的hook部分实现使用的是JavaScript API，相关API用法请参考官方文档。

执行过后，控制台将显示出open函数的参数内容，如下所示：

> python testing.py
starting...
open called args[0] address: 0xd342f290, value: /proc/self/statm
open called args[0] address: 0xd3428ab0, value: /proc/29242/status
open called args[0] address: 0xd3437ea0, value: /proc/29242/stat
open called args[0] address: 0xd3437ea0, value: /proc/self/status
open called args[0] address: 0xd3437ea0, value: /proc/self/clear_refs
open called args[0] address: 0xb5c3e332, value: /proc/self/pagemap
open called args[0] address: 0xd3425db0, value: /proc/self/statm
open called args[0] address: 0xd34317b0, value: /proc/29242/status
open called args[0] address: 0xd34260b0, value: /proc/29242/stat
open called args[0] address: 0xd34260b0, value: /proc/self/status
open called args[0] address: 0xd34260b0, value: /proc/self/clear_refs
open called args[0] address: 0xb5c3e332, value: /proc/self/pagemap

上边的示例中，hook的数据通过 console.log 打印在了控制台中，如果我们要记录每次的参数数据，后续做二次分析， 我们可以在 script.load() 之前使用script对象的on方法，捕捉js脚本输出的信息。 Js脚本提供了向主控端发送数据的接口 send, 而在主控端是通过python脚本的回调来接收数据，使用方法如下：

    js_code = """
Interceptor.attach(Module.findExportByName("libc.so" , "open"), {
  onEnter: function (args) {
    // console.log('open called args[0] address: ' + args[0] + ', value: ' + Memory.readUtf8String(args[0]));
    send('open args[0]: ' + Memory.readUtf8String(args[0]));
  }
}); 
    """

    def on_message(message, data):
        print('recv: {}'.format(message))

    device = frida.get_usb_device()
    pid = device.spawn('com.android.chrome')
    device.resume(pid)
    time.sleep(3)
    session = device.attach('com.android.chrome:privileged_process0')
    script = session.create_script(js_code)
    script.on("message", on_message)
    script.load()
    print('starting...')
    sys.stdin.read()

执行后，控制台将打印接受的数据：

> python testing.py

starting...
recv: {'type': 'send', 'payload': 'open args[0]: /proc/self/statm'}
recv: {'type': 'send', 'payload': 'open args[0]: /proc/31578/status'}
recv: {'type': 'send', 'payload': 'open args[0]: /proc/31578/stat'}
recv: {'type': 'send', 'payload': 'open args[0]: /proc/self/status'}
recv: {'type': 'send', 'payload': 'open args[0]: /proc/self/clear_refs'}
recv: {'type': 'send', 'payload': 'open args[0]: /proc/self/pagemap'}
recv: {'type': 'send', 'payload': 'open args[0]: /proc/self/statm'}
recv: {'type': 'send', 'payload': 'open args[0]: /proc/31578/status'}
recv: {'type': 'send', 'payload': 'open args[0]: /proc/31578/stat'}
recv: {'type': 'send', 'payload': 'open args[0]: /proc/self/status'}
recv: {'type': 'send', 'payload': 'open args[0]: /proc/self/clear_refs'}
recv: {'type': 'send', 'payload': 'open args[0]: /proc/self/pagemap'}

至此，我们就完成了初步的自动化测试环境，后续可以按照不通的需求，来实现更强大的功能。

1.3. 安全检测

在尝试了自动化测试之后，我们如何将这种流程应用到实际的漏洞检测当中呢，下边以漏洞检测和漏洞挖掘两个方面来进行实践。

1. Wormhole漏洞检测
   

   Wormhole 是百度 moplus SDK 的一个后门, 当用户启动一个应用程序, Moplus SDK 会偷偷地在设备上自动设置一个本地HTTP服务器，用来监控通过socket的消息。

   该部分通过反汇编定位代码位置为 com.baidu.hello.patch.moplus.nebula.b.a

   

   Moplus SDK 被包含在一个独立的进程中，服务名为 com.baidu.android.moplus.MoPlusService, 可以通过不同的广播事件触发，其中包括系统启动的广播。

   与其说这是一个漏洞，倒不如说这是百度自己留下的一个后门，百度全系APP连同使用了百度地图的APP纷纷中枪，影响用户同样过亿。

   该后门之流氓程度与XcodeGhost相比有过之而无不及，包括静默下载任意文件、后台上传用户文件等各种流氓行径。

   

   

   该后门通过在本机利用socket开了一个简易的WebServer，绑定的端口包括 6259 (com.ufo.dcb.lingyi), 40310 (com.baidu.BaiduMap), 等等。

   所以我们只需要检测应用启动是否存在绑定端口 6259 和 40310 的行为即可。

   应用要绑定端口，最终都会调用到libc层的bind函数，我们看下bind函数的参数：

   int bind(int sockfd, const struct sockaddr *addr, socklen_t addrlen);
   
   ipv4:   AF_INET = 2
     struct sockaddr_in {
       __kernel_sa_family_t  sin_family;
       __be16                sin_port;
       struct in_addr        sin_addr;
     };
   
   ipv6:   AF_INET6 = 10
     struct sockaddr_in6 {
       sa_family_t     sin6_family;
       in_port_t       sin6_port;
       uint32_t        sin6_flowinfo;
       struct in6_addr sin6_addr;
       uint32_t        sin6_scope_id;
     };
   
   

   我们通过解析第二个参数，即可解析出绑定的端口，然后判断即可。

   JavaScript脚本代码如下所示：

   Interceptor.attach(Module.findExportByName('libc.so', 'bind'), {
       onEnter: function(args) {
           console.log('sockfd: ' + sockfd);
   
           var sin_port = Memory.readU8(sa.add(2)) * 0x100 + Memory.readU8(sa.add(3));
           var sin_ip = Memory.readU8(sa.add(4)) + '.' + Memory.readU8(sa.add(5)) + '.' + Memory.readU8(sa.add(6)) + '.' + Memory.readU8(sa.add(7));
           console.log('bind to ' + sin_ip + ':' + sin_port);
   
           if(sin_port) {
               var VUL_PORT = [6259, 40310];
   
               if(VUL_PORT.indexOf(parseInt(sin_port) >= 0) {
                   console.log('wormhole found!');
               }
                 }
           }
       });
   
   

   之后我们找到带漏洞版本的应用，就可以进行检测了，检测结果如下所示：

   
   > python testing.py
   
   sockfd: 2
   bind to 10.0.2.16:50662
   sockfd: 3
   bind to 10.0.2.16:42856
   sockfd: 7
   bind to 127.0.0.1:40310
   wormhole found!
   ...
   
   

2. 某APP漏洞挖掘
   

   除了检测常规漏洞外，frida还可以辅助我们进行漏洞挖掘，先看下边一段反汇编代码：

   

   该部分代码源于某APP中调用Native层so库的导出函数，其中存在bug的代码为：

   if ( a1[1] == 0x45 && a1[2] == 0x41 && a1[3] == 0x44 )
     {
       puts("buf[]=DEAD");
       MEMORY[0xDEADBEEF] = 1;
     }
   

   我们触发第32行代码 MEMORY[0xDEADBEEF] = 1 就会造成内存非法访问。

   需要满足的条件为 a1[1] = 0x45 && a1[2] = 0x41 && a1[3] == 0x44

   参数 a 为该函数 vul_func_buf 传入的一个是指针类型的buffer，因此我们只要随机生成buffer进行测试即可。

   该过程实现的javascript代码如下：

   var target_so = 'lib-xxx.so';
   var target_func = 'vul_func_buf';
   
   var target_address = Module.findExportByName(target_so , target_func);
   console.log('[+] target address: ' + target_address);
   
   var func_handle = new NativeFunction(target_address, 'int', ['pointer', 'int']);
   console.log('[+] func handle:    ' + func_handle);
   
   function getString(num) {
       // a1[1] == 0x45 && a1[2] == 0x41 && a1[3] == 0x44
       var chars = 'ABCDEFGHJKMNPQRSTWXYZabcdefhijkmnprstwxyz2345678';
       return chars.charAt(Math.floor(Math.random() * chars.length)) +
           String.fromCharCode(0x45) + String.fromCharCode(0x41) + String.fromCharCode(0x44);
   }
   
   var index = 0;
   
   while (true) {
       var test_str = getString(index);
       console.log(index + ': ' + test_str);
       var p_str = Memory.allocUtf8String(test_str);
   
       try {
           var p_str_ret = func_handle(p_str, 4);
       } catch(err) {
           console.log('[+] ' + 'bugs found! ' + err);
           break;
       }
       index += 1;
   }
   
   

   改代码的核心部分在于frida用于调用c层函数的API NativeFunction(address, returnType, argTypes[, abi])

   • address：要hook的函数地址
   • returnType：返回值类型
   • argTypes[, abi]: 参数类型 这里参数可以是多个

   参数说明详见官方API：NativeFunction

   执行以后，大概几秒就会找出满足bug的字符串，如下图所示：

   

   至此本章节内容暂时结束，在安全检测中，尤其是在漏洞挖掘方向，frida的能力远不止如此。

   如上边的漏洞挖掘过程中，我们为了触发漏洞位置，通过部分逆向分析加上字符串随机的方式进行测试，虽然能够成功拿到case，

   但是在实际环境中，对于复杂函数的逆向分析是非常困难的，并且字符串随机效率也是个问题，单纯的随机根本无法触发复杂的代码路径，除了浪费CPU资源没什么实际意义。

   在详读frida官方文档之后我们发现，frida内置了一套代码跟踪引擎 Stalker,

   通过这套代码跟踪引擎我们就可以对代码块跟踪并统计覆盖率，然后结合AFL数据变异规则，一套强大且高效的真机Fuzz就可以实现了。

   该部分内容计划在后续章节中逐渐讲解，敬请期待！

Author: idhyt

Created: 2020-02-25 Tue 18:51

Validate