eBPF作为运行在内核的的一大追踪利器，其有着隐蔽性高，不需要重新编译内核或系统等优点。而在Android平台中，字节码主要在ART虚拟机中被执行，那么其实只需要追踪ART虚拟机执行过程中的一些关键函数即可被动的捕捉到DexFile，从而实现脱壳。因此实现此小Demo，旨在抛砖引玉。
该工具可作为FRIDA-DEXDump等被动式脱壳工具的替代，并且有着更好的隐蔽性，完全不需要PTRACE附加调试目标程序或注入动态链接库。但是由于eBPF的局限性，其无法替代FART等基于主动调用的脱壳工具。除此之外，对于代码抽取等情况并未实现，各位大佬有需要可以自行实现。

基于eBPF实现一个简单的隐蔽脱壳工具-eBPFDexDumper

LakeCTF At your Service 题解

PendingIntent-security

Frida Interceptor Hook实现原理图

之前对Android 悬浮窗覆盖攻击(也属于Activity Hijack Attack(AHA)的一种)有了一个简单的了解，但是其利用较为困难，通常需要申请悬浮窗权限，并且并不是一个完整的攻击链条。
看到BlackHat2024的议题**SystemUI As EvilPiP: The Hijacking Attacks on Modern Mobile Devices**后决定沿着这条路继续学习，因此之后的内容大部分内容引用与改议题和参考1 中奇安信的报告。除此之外，在Bypass BAL一节中引入对新爆出画中画漏洞CVE-2024-34737 的说明。

SystemUI As EvilPiP

点击劫持Tapjacking，是一种欺骗用户进行点击的攻击技术，可存在于任何操作系统和浏览器之中，尽管原理简单，对于普通用户危害却极大，是一种容易忽视的安全威胁。Android中的点击劫持原理如图1所示，当出现重要的、需要进行用户确认的安全对话框时，申请悬浮窗权限的恶意APP在受害APP之上进行部分覆盖，显示一个虚假的界面，隐藏了与安全相关的重要提示信息，但并未覆盖正常APP原有的按钮，诱骗用户进行错误地点击操作，点击事件结果最终传递到受害APP，造成严重的安全后果。

Android 悬浮窗覆盖攻击

Magisk Eop本地提权漏洞

编号CVE-2024-31317，该漏洞允许拥有WRITE_SECURE_SETTINGS权限的攻击者（该权限由ADB shell和某些特权应用持有）以任意应用的身份执行任意代码。通过这种方式，攻击者可以读取和写入任何应用的数据，更改大多数系统配置，取消注册或绕过移动设备管理等。这个漏洞的利用不涉及内存的破坏，这意味着它可以在几乎任何运行Android 9或更高版本的设备上不加修改地工作，并且在重启后仍然有效。

CVE-2024-31317 Zygote命令注入提权system分析

原文：https://blog.quarkslab.com/defeating-ebpf-uprobe-monitoring.html Uprobes（用户空间探针）是Linux内核的一个特性，它允许在任何用户空间程序的任何指令上设置钩子（hook）。文章介绍uprobe实现及其对抗手段

Uprobe及其对抗

Android Data Encryption完整攻击复现

Android Data Encryption-从百草园Patch到三味书屋

CVE-2024-0044 Bypassing the "run-as" debuggability check

因为bpf_probe_write_user 只能对可写的用户内存页面进行修改，而对只读内存则无法进行修改，例如rodata以及text 段的内容。本文对bpf_probe_write_user 打补丁，以支持此功能，以应对日益强大的对抗

bpf_probe_write_user补丁添加对只读内存的修改

本文需要密码，无偿阅读请微信LLeavesG联系作者获取。BPF 的 bpf_probe_write_user 功能十分强大，它可以修改用户空间的内存，可以用于进程隐藏或者绕过环境检测等操作，本文为bpf_probe_write_user 添加修改只读内存的功能，以对抗360加固企业版Frida检测。

eBPF实践之修改bpf_probe_write_user以对抗某加固Frida检测

在使用BCC与python结合对Android的openat syscall进行追踪时发现一个很有趣的问题，在此记录
首先是BCC文档中给出如何trace syscall 的教程，这里提到必须要syscall__为前缀，很好奇为什么必须要这个前缀，于是开始进行测试。

Android eBPF Syscall包装器问题小记

在前期对App进行漏洞挖掘的过程中发现，以纯人工的方式去逆向某些App并且发现其中的漏洞已经不太现实，主要有以下几点原因：
• Android系统体系十分庞大，App代码量巨大，存在超大型App(抖音目前已经有150万个函数)，人工分析极度不现实
• 对Android静态分析精力耗费巨大，自动化静态分析完全可以简化大量重复的工作。
Appshark 是一个针对安卓的静态分析工具,它的设计目标是针对超大型App的分析(抖音目前已经有150万个函数). Appshark支持众多特性:
• 基于json的自定义扫描规则,发现自己关心的安全漏洞以及隐私合规问题
• 灵活配置,可以在准确率以及扫描时间空间之间寻求平衡
• 支持自定义扩展规则,根据自己的业务需要,进行定制分析

ByteDance-AppShark静态分析工具

Android 操作系统通过为每个应用程序分配自己的专用数据和内存空间来强制隔离。为了促进数据和文件共享，Android 提供了一个称为Content Provider的组件，它充当一个接口，用于以安全的方式管理数据并将数据公开给其他已安装的应用程序。如果使用得当，内容提供商可以提供可靠的解决方案。但是，实施不当可能会引入漏洞，从而绕过应用程序主目录中的读/写限制。

Android-DirtyStream 漏洞详细说明

Pixel5 内核编译并嵌入rwProcMem33

Android grantUriPermission与StartAnyWhere

一切都因WMCTF2023一道Android 游戏题BabyAnti-2而起，预期解为拦截**mincore**调用（**int mincore(void *start, size_t length, unsigned char *vec);**监测指定大小的页面是否处于物理内存中。一般用于内存扫描的检查，一旦扫描行为发生，有些并不在物理内存的页面被调入。vec 是一个字节数组，用于存储结果。每个字节对应 addr 和 length 指定的内存区域中的一个页面。如果相应的页面驻留在内存中，那么相应的字节的最低位会被设置为 1，否则会被设置为 0。），当时非预期了题目，即直接CheatEngine附加游戏题，扫描内存时游戏虽然会监测到并弹窗，但是游戏正常运行，直接能修改分数并且拿到flag。
由于题目中mincore 不止存在直接libc调用，而且存在svc指令的调用，这种svc指令相当于是直接的系统调用，不能被一般的钩子挂住，从而无法监视和修改调用参数返回值。而且题目设计使用申请的内存空间修改为可执行后放置svc指令，一直循环监测。除此之外，题目还是flutter写的，逆向逻辑难上加难。经过大量逆向和调试工作后，利用frida的内存搜索功能匹配svc指令，最终能够拦截并且不被检测到，但是鉴于太复杂，想着有没有什么通用办法，不需要逆程序逻辑就直接拦截svc调用的方法。
于是有了这篇文章，文章总结了各位大佬提出的三种方案（ptrace-seccomp，frida-seccomp以及sigaction-seccomp）并进行了测试。

Android环境下Seccomp对系统调用的监控

尝试分析野火IM聊天APP的聊天记录数据库过程中遇到了很多问题，因此仅作记录。

野火IM-APP端聊天数据库分析

2023-Geekcon决赛 AVSS赛道其中的一道题目，现场时因为之前没接触过这种漏洞，当时虽然有想法但是没做出来，留到赛后复现，题目考点在于如何通过System的任意写造成任意代码执行，对于高版本的解题环境可能需要绕过SELinux，这里暂时仅复现了Android 4.4环境的解题和另外两个环境的部分思路（暂时没有设备进行调试），后面如果有任何进展将会同步在blog。

2023AVSS-SELinux题目

没想到除了Bundle风水还有这样一种优雅的利用方法，叹为观止

CVE-2020-0338漏洞分析

Android抓包

腾讯游戏安全技术竞赛2023 安卓客户端初赛安卓题目是由Unity写的游戏，其中又有il2cpp ，一般情况下都是直接使用global-metadata.dat 和libil2cpp.so 拿到il2cpp相关数据以此来辅助逆向工程，但是在这个题目中libil2cpp.so 被加密，在游戏运行初始化时由其他代码进行解密后加载入内存。所以直接使用Il2CppDumper 会出现问题无法正常获取数据。
实际上如果设备已经获取ROOT权限并且安装有面具，则可以使用https://github.com/Perfare/Zygisk-Il2CppDumper，与上面提到的Il2CppDumper 为同一作者，该项目直接安装模块，在游戏运行过程中Dump出逆向所需要的信息，经测试是可以无视保护措施进行dump。但是无论如何要想进一步进行逆向分析少不了拿到解密后的动态链接库文件，然后进行修复以更好地进行静态分析。由此引出这篇文章，主要学习参考了下面提到的几篇文章，在此记录学习。

动态链接库与内存Dump结果修复

因为WMCTF2023的一道用Flutter写的Android游戏题而引出这篇文章，刚好一直想研究一下Flutter，这次趁这个机会研究一下，并且介绍一种基于Patch Flutter动态链接库实现辅助解析Flutter逆向工程符号的方法。这个方法理论上支持任意Flutter版本，而且具有高度定制化的特点，缺点是需要根据特定的版本重新编译，并且需要替换动态链接库，存在被检测到的可能。

Android-Flutter逆向

该漏洞在Android 12 Developer Preview 3版本是上被发现，并在Android 12 release中就已经完成了修复。本文进行简单分析

CVE-2021-0928漏洞分析

这道题目利用的是Parcel MisMatch进行漏洞利用，和直接在系统上通过AddAcount利用造成LaunchAnyWhere原理一样，但是有些细节还是不太一样，需要记录一下。

De1CTF-2020-Pwn-BroadCastTest

对LazyBundle机制进行了分析，对漏洞原理进行了简单分析，但是漏洞利用复杂，这里没有详细说明

CVE-2022-20452-LeakValue

因为去年的某厂商利用其主流APP中的漏洞对Android设备进行大面积的攻击使用了这一漏洞，对这个问题比较感兴趣，阅读一些相关文章后决定结合理解进行整理再做记录。文章介绍了Parcel不匹配问题和Bundle风水的利用细节，并结合CVE-2017-13288和CVE-2023-20963进行分析

Android反序列化漏洞-Bundle风水

该文介绍了Android系统中的LaunchAnyWhere漏洞，该漏洞可以绕过Activity组件的导出属性，直接启动任意组件。文章详细介绍了漏洞的原理、利用方法以及修复措施。LaunchAnyWhere 顾名思义就是能够掉起任意未导出的Activity，突破进程间组件访问隔离的限制。这个漏洞影响2.3 ~ 4.3的安卓系统。以下攻击环境为Android4.2 (API 17)

LaunchAnyWhere漏洞分析

该文介绍了CVE-2022-20338漏洞，该漏洞存在于Android的Uri组件中，攻击者可以通过构造恶意Uri绕过安全检查，导致直接访问恶意网站。漏洞已经被修复，但是通过反射调用私有构造函数仍然可以构造恶意Uri实例，因此建议只接收String Uri或者在修复Parcel转为Uri的情况下使用Parcel作为指定接收对象。

CVE-2022-20338

ByteCTF2022 MITM复现

ByteCTF2022 GoldDroid复现

ByteCTF2022 SilverDroid复现

ByteCTF2022 BronzeDroid复现

ByteCTF2021 HardDroid复现

如果通过校验则被webview加载，然后被shouldInterceptRequest拦截到后再次验证，先是使用getPathSegments对路径进行分段，对第一段内容和最后一断后缀进行校验，如果通过则通过InputStream 读取内容并且通过return new WebResourceResponse(null, "utf-8", ItemTouchHelper.Callback.DEFAULT_DRAG_ANIMATION_DURATION, "OK", headers, inputStream)返回，实现离线加载的效果。

ByteCTF2021 ByteDroid1复现

ByteCTF2021 MediumDroid复现

ByteCTF2021 EasyDroid复现

ByteCTF2021 BabyDroid复现

IDA动调SO流程及问题

Zygisk源码分析

文章对MagiskV26.1 源码 进行了大致分析

Magisk V26.1源码分析

Magisk V26.1 编译

XCTF-Final Flappy-Bird-Cheat题目复现

MRCTF2022 Stuuuuub WP

Android安全

Reverse

ByteCTF2021

ByteCTF2022

首页

搜索

文字

友情链接

留言板

更多帮助请访问手册 → https://tangly1024.com/article/notion-next-secondary-menu

建站教程

NotionNext介绍

SubMenu是子菜单，挂在上一个Menu中

菜单slug留空即可，用户展开子菜单

往期整理

文章分类

历史归档

文章标签

留言

友链

Github

Android

DexDumper

Binder

AndroidPwn

PendingIntent

LaunchAnyWhere

eBPF

Frida

SELinux

Seccomp

password

icon

date

type

slug

status

title

summary

表格

类型为Notice的文章将被显示为公告，仅 hexo和next支持；仅限一个公告

Android引入Uid1000 授权限制

使用脚本检查ROM中APP是否存在可以利用的provider

ColorOS存在root_path配置的provider

OnePlus7Hydrogen 中如果flag最高位为1则允许授权

三星Galaxy A51中对部分provider进行放行

参考