Frida在爆破Windows程序中的应用

*本文原创作者：geek痕，本文属FreeBuf原创奖励计划，未经许可禁止转载

谈到爆破，相信大部分网络安全从业者都并不陌生，爆破爆破，就是暴力破解嘛。通过枚举尝试尽可能多的可能解，再进行验证判断是否正确。在进行web的爆破时，我们通常会使用brupsuite等工具，那么，如果是二进制程序中的爆破呢？

本文将介绍一种方法，通过动态插桩（hook）的方式，实现二进制程序中的爆破。最近在学习逆向，刷一些ctf的题目，遇到了一道拖进ida死活分析不出算法，因为实在是太菜了，目标程序大概长这样：

有兴趣的可以先试试：地址如下：http://ctf5.shiyanbar.com/re/100w.exe

输入的口令正确则会弹出flag，输入错误则会弹出错误提示。

看到提示说是6位数字，而且在逆向的过程中发现有这样一段文字：

行吧…那就爆破一个试试。之前就听说过Frida牛逼的不行，跨平台的动态插桩框架，不过之前一直没亲自动手玩过，这次就试试吧。在实践过程中发现Frida的相关资料本身并不多，而且大多是针对Android移动平台的应用，于是决定写一篇文章分享一些桌面端Frida应用的技术。先上一段Frida的介绍：

So what is Frida, exactly?

It’sGreasemonkey for
native apps, or, put in more technical terms, it’s a dynamic code
instrumentation toolkit. It lets you inject snippets of JavaScript or your own
library into native apps on Windows, macOS, GNU/Linux, iOS, Android, and QNX.
Frida also provides you with some simple tools built on top of the Frida API.
These can be used as-is, tweaked to your needs, or serve as examples of how to
use the API.

Frida是一个动态插桩的工具包。它可以让你将js脚本或那你自己的一些库插入到win、macos、linux、android、ios等平台的应用中。跨平台的实现方案听起来很牛逼有木有，这意味着熟练掌握这一个工具的性价比是很高的。乱扯了那么多，先来看下Frida使用的基本代码框架。以下是python的代码。首先，用pip安装一下：

pip install frida

然后下面这段代码是frida 的基本框架：

import fridadef on_message(message, data):   print("[%s] => %s" % (message, data))session = frida.attach('100fw.exe')#附加frida到目标进程script = session.create_script('some js code here')script.on('message', on_message)script.load()sys.stdin.read()session.deatch()

代码比较简单，不多解释。重点是session.create_script里面的js代码。

首先，我们要能够模拟调用按钮点击后执行的函数。

找这个函数地址的思路有两个。一个，由于这个crackme是用易语言写的，所以用e-debug可以找到call的地址：

另外一个方法就是拖入od找字符串然后往上找到函数入口，下断点验证。不行再往上翻。

最后找到函数入口如下：

然后，我们用frida的js api写一个模拟调用的函数。

var f=new NativeFunction(ptr('0x0040173a'), 'void',[]);rpc.exports={   once:function(){       f();   }};

NtiveFunction的后面两个参数中，第一个是返回值类型，第二个是参数列表的类型，这里都为空即可。

然后定义once模拟调用一次按钮点击事件。

最后，我们在python代码中调用frida为我们暴露出来的接口：

while(True):   script.exports.once()

以上代码可以不断模拟点击目标程序中按钮的过程。

再然后，我们需要模拟往输入中填入各个值。那么要做的就是hook获取控件数值的相关函数。找的方法嘛..我用的是先把断点下到按钮事件函数那里，然后单步走起。看哪个函数返回了输入值的指针。

ok，找到函数地址为0X00401CE7（最靠近结果的call）

接下来我们hook这个函数的返回结果，让它依次遍历每一个可能的值：

var tmp=100000;var NeedAdd=true;var f3=ptr('0x00401CE7');Interceptor.attach(f3,{   onLeave:function(result){   /*       console.log('----------')       console.log(result.toInt32());*/       Memory.writeAnsiString(ptr(result.toInt32()),tmp.toString())//result为输入值的指针指向       if(NeedAdd){tmp=tmp+1;NeedAdd=false;}       else{NeedAdd=true;}       /*       console.log(Memory.readAnsiString(ptr(result.toInt32())));*///输出修改后的结果   }});

上面的代码有注释，这里解释下为什么用NeedAdd辅助来让tmp值每两次递增一次.因为…我比较菜hook点不是很合适，每一次调用都会有两次被hook到，所以..就出此下策了。

接下来，我们要hook掉消息框弹窗函数，获取提示内容以判断口令的正确与否。

眼看着这是最后一步了，但我却在这里踩了很多坑。

首先，获取信息框内容嘛，好啊，我hook MessageBox不就好了，于是用OD插件给API下断一通乱搞，获取到了弹窗内容美滋滋。跑起来一看，等等！难道要我每一次都点一下确认把消息框弄掉才能进行下一次尝试吗？不行！要把这个信息框干掉。然后想着直接跳过对MessageBox的call，结果程序崩了，调试一番才发现，堆栈不平衡，hook了好几个都不行。

就在这里卡了好一会，后来觉得沿着api的调用栈一直往上翻，一定能找到用户态最初的call，那个call的调用关系应该相对简单，堆栈平衡问题也比较容易处理，然后就一直找啊找，发现就在搜到的字符串附近有这样一段代码，顿时两眼放光：

这就好办了，结果跟进去一看，发现这只是一个索引，hook这个会影响很多函数：

那不如..直接把这个call给nop掉吧..把这个嘴给塞住。

测试之后发现经过add esp，0x28后堆栈刚好平衡，很好，perfect！

现在，我们可以写出最后一段代码了：

var f4=ptr('0x00401C03');Interceptor.attach(f4,{   onEnter:function(args){       //console.log(args[0]);       send(Memory.readAnsiString(ptr(args[0])));//读取相应内容并发送给终端显示       return;   }});

这里解释一下，为什么把0x00401c03 nop掉之后仍然可以hook这里。

根据我的猜测，frida的hook应该是内存断点，获取的“参数”就是根据堆栈情况的相对位置确定的，所以我们可以“hook”这个地方，获取到前面push的内容，至于那个args[0]，多试几个就好了。

其实，成功的时候call的地方不在这里，而我们没有处理成功弹窗的相关代码，成功后自然会弹出来，这里的显示有些多余，当作实验就好了吧。

下面是完整代码：

import fridaimport sysdef on_message(message, data):   print("[%s] => %s" % (message, data))session = frida.attach('100fw.exe')script = session.create_script('''   var tmp=700000;   var NeedAdd=true;   var f1 = ptr('0x00401096');   var f2 = ptr('0x0040169d');   Interceptor.attach(f1, {       onEnter:function(args){       }   });   Interceptor.attach(f2, {       onEnter:function(args){       }   });   var f=new NativeFunction(ptr('0x0040173a'), 'void',[]);   rpc.exports={       once:function(){           f();       }   };   var f3=ptr('0x00401CE7');   Interceptor.attach(f3,{       onLeave:function(result){       /*           console.log('----------')           console.log(result.toInt32());*/           Memory.writeAnsiString(ptr(result.toInt32()),tmp.toString())           if(NeedAdd){tmp=tmp+1;NeedAdd=false;}           else{NeedAdd=true;}           //console.log(Memory.readAnsiString(ptr(result.toInt32())));           console.log(tmp);       }   });   /*   var f4=ptr('0x00401C03');   Interceptor.attach(f4,{       onEnter:function(args){           //console.log(args[0]);           send(Memory.readAnsiString(ptr(args[0])));           return;       }   });   */''')script.on('message', on_message)script.load()while(True):   script.exports.once()sys.stdin.read()session.deatch()

最好运行成功之后是酱紫的：

再说几点注意吧，首先是运行的时候要先运行程序，再运行py脚本，不然会出现这个：

然后是我们要先在输入框中输入一个随意的六位数，这样系统才会分配一个储存的空间。不然会出现这样：

这个解决方案有个地方不足就是效率还是低了点，完整爆破需要一些时间。

我尝试过减少调试性的输出来提升效率，还是有一定效果的。然后因为爆破的时候cpu并没有跑满，所以多开几个实例来分段跑估计也能快不少。看了正解算法的确比较复杂，orz。

最后，本文旨在探讨Frida的使用技巧。总的来说，Frida的可玩性还是很高的，还有很多js api接口没有介绍，有兴趣的可以去官网看看文档。

写文章的经验不多，还请各位dalao拍砖！

*本文原创作者：geek痕，本文属FreeBuf原创奖励计划，未经许可禁止转载