前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >一个静态注入动态库的工具: luject

一个静态注入动态库的工具: luject

作者头像
ruki
发布2020-05-11 17:44:07
1.5K0
发布2020-05-11 17:44:07
举报
文章被收录于专栏:TBOOX开源工程

luject是一个静态注入动态库的工具,它可以实现对mac, ios, linux, windows的可执行程序,动态库程序进行修改,来插入指定动态库实现注入和加载。

另外luject也实现了对ios的ipa包,android的apk包自己macOS的.app包的动态库注入,重打包和重签名支持。

注入技术简介

我们可以通过ptrace附加或启动一个程序,然后将指定的动态库注入进去,但很多情况下需要root权限才行。

除了通过动态注入,我们也可以通过设置DYLD_INSERT_LIBRARIES等环境变量的方式,来注入指定的动态库,mac/ios程序就可以使用这种方式来简单快速地实现注入,例如:

代码语言:javascript
复制
$DYLD_INSERT_LIBRARIES=inject.dylib ./test

不过这种方式在ios上也需要越狱后才可用,另外我们也可以在工程的Build Settings中找到Other Linker Flages 并添加下面的字段来限制这种加载方式,实现对可执行程序的注入保护。

代码语言:javascript
复制
-Wl,-sectcreate,__RESTRICT,__restrict,/dev/null

因此,也不是非常的通用,其实还有一种更加通用的方式,就是直接静态修改可执行文件,插入需要加载的动态库就可以了,简单暴力有效。

Mayhem 在Phrack中也详细解释了这一技术的原理,而LIEF库提供了一种跨平台的api,实现对MachO, ELF, PE等可执行文件格式的快速修改。

这里luject就是利用了这个库,通过修改可执行文件,插入动态库加载路径,来实现静态注入,例如:

代码语言:javascript
复制
auto elf_binary = std::unique_ptr<LIEF::ELF::Binary>{LIEF::ELF::Parser::parse("testapp")};
elf_binary->add_library("libtest.so");
elf_binary->write("testapp_injected");

luject编译安装

准备工作

我们需要先安装xmake来编译此项目。

编译
代码语言:javascript
复制
$ xmake
安装
代码语言:javascript
复制
$ xmake install

luject使用说明

用法很简单,主要就是指定输入输出的文件路径就好:

代码语言:javascript
复制
$ luject -i [input] -o [output] -p [libpattern] lib1 lib2 ..

最后面的lib列表,就是指定有哪些动态库需要被注入进去

例如:

代码语言:javascript
复制
$ luject -i app.apk lib1.so lib2.so
$ luject -i app.ipa lib1.dylib lib2.dylib
$ luject -i liba.so lib1.so lib2.so
$ luject -i app.exe lib1.dll lib2.dll
$ luject -i a.dll lib1.dll lib2.dll
$ luject -i liba.dylib lib1.dylib lib2.dyib
$ luject -i bin lib1.so lib2.so

当然,除了指定库路径,我们也可以指定@loader_path, $ORIGIN的路径进去,例如:

代码语言:javascript
复制
$ luject -i libdemo.dylib @loader_path/libtest.dylib

上面的命令,我们就可以把libtest.dylib注入到另一个libdemo.dylib的动态库中去,如果libdemo.dylib被加载,那么就会从@loader_path也就是libdemo.dylib当前加载目录下 找对应的libtest.dylib库,然后自动加载进来,我们也可以通过otool/ldd等工具也查看验证加载列表:

代码语言:javascript
复制
$ otool -L libdemo.dylib
libdemo.dylib:
    @loader_path/libtest.dylib (compatibility version 0.0.0, current version 0.0.0)
    /usr/lib/libz.1.dylib (compatibility version 1.0.0, current version 1.2.11)
    /usr/lib/libc++.1.dylib (compatibility version 1.0.0, current version 800.7.0)
    /usr/lib/libSystem.B.dylib (compatibility version 1.0.0, current version 1281.0.0)

可以看到,libtest库已经被成功插入进去了。

注入libfrida-gadget.so到apk

通常我们在使用frida系列工具对app进行动态分析时,如果不想root,那么可以通过luject将frida-gadget库静态注入到apk里面的so库中去,比如:

代码语言:javascript
复制
$ luject -i app.apk -p libtest /tmp/libfrida-gadget.so

其中,libtest是指定apk中需要匹配注入的so库,并且支持模式匹配实现批量注入,例如:libtest_*.so,如果不指定-p参数,默认多所有so进行批量全注入。

关于这块,我们也可以详细看下相关文章: How to use frida on a non-rooted device

另外,luject重打包后,还会对apk进行重签名,来确保可以正常安装使用

注入libfrida-gadget.dylib到ipa

除了android的应用程序包,luject也支持对ios的ipa包进行注入,用法类似:

代码语言:javascript
复制
$ luject -i app.ipa -p libtest /tmp/libfrida-gadget.dylib

luject也会对ipa包进行重签名,它会自动探测用户环境中的有效签名证书,来直接重签名,当然如果默认检测的签名不符合需求,我们也可以手动指定对应的签名信息:

代码语言:javascript
复制
$ luject -i app.ipa -p libtest --codesign_identity='Apple Development: xxx@gmail.com (T3NA4MRVPU)' --mobile_provision='iOS Team Provisioning Profile: org.tboox.test' --bundle_identifier=org.tboox.test /tmp/libfrida-gadget.dylib

那如何知道我们需要的签名配置呢?一种就是在xcode里面查看,另外xmake也提供了一些辅助工具可以dump出当前可用的所有签名配置:

代码语言:javascript
复制
$ xmake l private.tools.codesign.dump
==================================== codesign identities ====================================
{ 
  "Apple Development: waruqi@gmail.com (T3NA4MRVPU)" = "AF73C231A0C35335B72761BD3759694739D34EB1" 
}

===================================== mobile provisions =====================================
{ 
  "iOS Team Provisioning Profile: org.tboox.test" = "<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>AppIDName</key>
    <string>XC org tboox test5</string>
    <key>ApplicationIdentifierPrefix</key>
    <array>
    <string>43AAQM58X3</string>
...

xmake也提供了其他辅助工具来对已有的ipa/app程序进行重签名,例如:

代码语言:javascript
复制
$ xmake l utils.ipa.resign test.ipa|test.app [codesign_identity] [mobile_provision] [bundle_identifier]

其中,后面的签名参数都是可选的,如果没设置,那么默认会探测使用一个有效的签名:

代码语言:javascript
复制
$ xmake l utils.ipa.resign test.ipa
$ xmake l utils.ipa.resign test.app "Apple Development: waruqi@gmail.com (T3NA4MRVPU)"
$ xmake l utils.ipa.resign test.ipa "Apple Development: waruqi@gmail.com (T3NA4MRVPU)" iOS Team Provisioning Profile: org.tboox.test" org.tboox.test

关注公众号

TBOOX开源工程

专注C跨平台开发解决方案

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2020-04-26,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 TBOOX开源工程 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 注入技术简介
  • luject编译安装
    • 准备工作
      • 编译
        • 安装
        • luject使用说明
        • 注入libfrida-gadget.so到apk
        • 注入libfrida-gadget.dylib到ipa
        • 关注公众号
        领券
        问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档