Frida Tutorial

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks

Installazione

Installa frida tools:

pip install frida-tools
pip install frida

Scarica e installa sul dispositivo Android il frida server (Download the latest release).
One-liner per riavviare adb in modalità root, connettersi ad esso, caricare frida-server, dare permessi di esecuzione e avviarlo in background:

adb root; adb connect localhost:6000; sleep 1; adb push frida-server /data/local/tmp/; adb shell "chmod 755 /data/local/tmp/frida-server"; adb shell "/data/local/tmp/frida-server &"

Verifica se sta funzionando:

frida-ps -U #List packages and processes
frida-ps -U | grep -i <part_of_the_package_name> #Get all the package name

Frida server vs. Gadget (root vs. no-root)

Due modi comuni per strumentare le app Android con Frida:

  • Frida server (rooted devices): Invia ed esegui un daemon nativo che permette di collegarsi a qualsiasi processo.
  • Frida Gadget (no root): Includi Frida come libreria condivisa all’interno dell’APK e caricala automaticamente nel processo target.

Frida server (rooted)

# Download the matching frida-server binary for your device's arch
# https://github.com/frida/frida/releases
adb root
adb push frida-server-<ver>-android-<arch> /data/local/tmp/frida-server
adb shell chmod 755 /data/local/tmp/frida-server
adb shell /data/local/tmp/frida-server &    # run at boot via init/magisk if desired

# From host, list processes and attach
frida-ps -Uai
frida -U -n com.example.app

Frida Gadget (no-root)

  1. Estrai l’APK, aggiungi il gadget .so e la config:
  • Posiziona libfrida-gadget.so in lib/<abi>/ (es., lib/arm64-v8a/)
  • Crea assets/frida-gadget.config con le impostazioni per il caricamento degli script

Esempio frida-gadget.config

{
"interaction": { "type": "script", "path": "/sdcard/ssl-bypass.js" },
"runtime": { "logFile": "/sdcard/frida-gadget.log" }
}
  1. Referenzia/carica il gadget in modo che venga inizializzato precocemente:
  • Più semplice: Aggiungi un piccolo stub Java che chiama System.loadLibrary(“frida-gadget”) in Application.onCreate(), oppure usa il caricamento della libreria nativa già presente.
  1. Ricostruisci il pacchetto e firma l’APK, quindi installalo:
apktool d app.apk -o app_m
# ... add gadget .so and config ...
apktool b app_m -o app_gadget.apk
uber-apk-signer -a app_gadget.apk -o out_signed
adb install -r out_signed/app_gadget-aligned-debugSigned.apk
  1. Collegarsi dall’host al processo gadget:
frida-ps -Uai
frida -U -n com.example.app

Note

  • Gadget is detected by some protections; keep names/paths stealthy and load late/conditionally if needed.
  • Su app hardened, preferisci il testing rooted con server + late attach, oppure combina con Magisk/Zygisk hiding.

Iniezione Frida via JDWP senza root/repackaging (frida-jdwp-loader)

Se l’APK è debuggable (android:debuggable=“true”), puoi collegarti via JDWP e iniettare una libreria nativa in un breakpoint Java. Nessun root e nessun re-packaging dell’APK.

  • Repo: https://github.com/frankheat/frida-jdwp-loader
  • Requisiti: ADB, Python 3, USB/Wireless debugging. L’app deve essere debuggable (emulator con ro.debuggable=1, dispositivo rootato con resetprop, o ricostruire il manifest).

Avvio rapido

git clone https://github.com/frankheat/frida-jdwp-loader.git
cd frida-jdwp-loader
# Inject frida-gadget.so into a debuggable target
python frida-jdwp-loader.py frida -n com.example.myapplication
# Keep the breakpoint thread suspended for early hooks
python frida-jdwp-loader.py frida -n com.example.myapplication -s
# Networkless: run a local agent script via Gadget "script" mode
python frida-jdwp-loader.py frida -n com.example.myapplication -i script -l script.js

Note

  • Modalità: spawn (interrompi in Application.onCreate) o attach (interrompi in Activity.onStart). Usa -b per impostare un metodo Java specifico, -g per selezionare la versione/percorso di Gadget, -p per scegliere la porta JDWP.
  • Modalità di ascolto: inoltra Gadget (default 127.0.0.1:27042) se necessario: adb forward tcp:27042 tcp:27042; poi frida-ps -H 127.0.0.1:27042.
  • Questo sfrutta il debugging JDWP. Il rischio è distribuire build debuggabili o esporre JDWP.

Agente autonomo + embedding di Gadget (Frida 17+; automatizzato con Objection)

Frida 17 ha rimosso i bridge Java/ObjC integrati da GumJS. Se il tuo agente effettua hook su Java, devi includere il Java bridge all’interno del tuo bundle.

  1. Crea un agente Frida (TypeScript) e includi il Java bridge
# Scaffolding
frida-create -t agent -o mod
cd mod && npm install
# Install the Java bridge for Frida 17+
npm install frida-java-bridge
# Dev loop (optional live-reload via REPL)
npm run watch

Hook Java minimale (forza i tiri dei dadi a 1):

import Java from "frida-java-bridge";

Java.perform(function () {
var dicer = Java.use("org.secuso.privacyfriendlydicer.dicer.Dicer");
dicer.rollDice.implementation = function (numDice: number, numFaces: number) {
return Array(numDice).fill(1);
};
});

Costruisci un unico bundle per l’incorporazione:

npm run build    # produces _agent.js via frida-compile

Test USB rapido (opzionale):

frida -U -f org.secuso.privacyfriendlydicer -l _agent.js
  1. Configura Gadget per caricare automaticamente il tuo script Il patcher di Objection si aspetta una Gadget config; quando si usa script mode, specifica il percorso su disco all’interno della APK lib dir:
{
"interaction": {
"type": "script",
"path": "libfrida-gadget.script.so"
}
}
  1. Automatizzare il patching degli APK con Objection
# Embed Gadget, config, and your compiled agent into the APK; rebuild and sign
objection patchapk -s org.secuso.privacyfriendlydicer.apk \
-c gadget-config.json \
-l mod/_agent.js \
--use-aapt2

What patchapk does (high level):

  • Rileva l’ABI del dispositivo (es. arm64-v8a) e recupera il Gadget corrispondente
  • Opzionalmente aggiunge android.permission.INTERNET quando necessario
  • Inietta un inizializzatore statico di classe che chiama System.loadLibrary(“frida-gadget”) nell’activity di avvio
  • Colloca quanto segue sotto lib/<abi>/:
  • libfrida-gadget.so
  • libfrida-gadget.config.so (config serializzata)
  • libfrida-gadget.script.so (il tuo _agent.js)

Example injected smali (static initializer):

.method static constructor <clinit>()V
.locals 1
const-string v0, "frida-gadget"
invoke-static {v0}, Ljava/lang/System;->loadLibrary(Ljava/lang/String;)V
return-void
.end method
  1. Verifica il repack
apktool d org.secuso.privacyfriendlydicer.apk
apktool d org.secuso.privacyfriendlydicer.objection.apk
# Inspect differences
diff -r org.secuso.privacyfriendlydicer org.secuso.privacyfriendlydicer.objection

Cambiamenti previsti:

  • AndroidManifest.xml potrebbe includere <uses-permission android:name="android.permission.INTERNET"/>
  • Nuove librerie native sotto lib/<abi>/ come sopra
  • Lo smali dell’activity avviabile contiene un <clinit> statico che chiama System.loadLibrary(“frida-gadget”)
  1. APK divisi
  • Modifica l’APK base (quello che dichiara l’activity MAIN/LAUNCHER)
  • Rifirma gli split rimanenti con la stessa chiave:
objection signapk split1.apk split2.apk ...
  • Installa gli splits insieme:
adb install-multiple split1.apk split2.apk ...
  • Per la distribuzione, puoi unire gli split in un singolo APK con APKEditor, quindi allineare/firmare

Tutorial

Tutorial 1

Da: https://medium.com/infosec-adventures/introduction-to-frida-5a3f51595ca1
APK: https://github.com/t0thkr1s/frida-demo/releases
Codice sorgente: https://github.com/t0thkr1s/frida-demo

Segui il link per leggerlo.

Tutorial 2

Da: https://11x256.github.io/Frida-hooking-android-part-2/ (Parts 2, 3 & 4)
APKs e Codice sorgente: https://github.com/11x256/frida-android-examples

Segui il link per leggerlo.

Tutorial 3

Da: https://joshspicer.com/android-frida-1
APK: https://github.com/OWASP/owasp-mstg/blob/master/Crackmes/Android/Level_01/UnCrackable-Level1.apk

Segui il link per leggerlo.

Puoi trovare altri script Awesome Frida qui: https://codeshare.frida.re/

Esempi rapidi

Usare Frida dalla riga di comando

frida-ps -U

#Basic frida hooking
frida -l disableRoot.js -f owasp.mstg.uncrackable1

#Hooking before starting the app
frida -U --no-pause -l disableRoot.js -f owasp.mstg.uncrackable1
#The --no-pause and -f options allow the app to be spawned automatically,
#frozen so that the instrumentation can occur, and the automatically
#continue execution with our modified code.

Script Python di base

import frida, sys

jscode = open(sys.argv[0]).read()
process = frida.get_usb_device().attach('infosecadventures.fridademo')
script = process.create_script(jscode)
print('[ * ] Running Frida Demo application')
script.load()
sys.stdin.read()

Hooking di funzioni senza parametri

Hook la funzione a() della classe sg.vantagepoint.a.c

Java.perform(function () {
rootcheck1.a.overload().implementation = function() {
send("sg.vantagepoint.a.c.a()Z   Root check 1 HIT!  su.exists()")
return false;
};
});

Hook java exit()

var sysexit = Java.use("java.lang.System")
sysexit.exit.overload("int").implementation = function (var_0) {
send("java.lang.System.exit(I)V  // We avoid exiting the application  :)")
}

Hook MainActivity .onStart() & .onCreate()

var mainactivity = Java.use("sg.vantagepoint.uncrackable1.MainActivity")
mainactivity.onStart.overload().implementation = function () {
send("MainActivity.onStart() HIT!!!")
var ret = this.onStart.overload().call(this)
}
mainactivity.onCreate.overload("android.os.Bundle").implementation = function (
var_0
) {
send("MainActivity.onCreate() HIT!!!")
var ret = this.onCreate.overload("android.os.Bundle").call(this, var_0)
}

Hook android .onCreate()

var activity = Java.use("android.app.Activity")
activity.onCreate.overload("android.os.Bundle").implementation = function (
var_0
) {
send("Activity HIT!!!")
var ret = this.onCreate.overload("android.os.Bundle").call(this, var_0)
}

Hooking di funzioni con parametri e recupero del valore

Hooking a decryption function. Stampa l’input, chiama la funzione originale per decrypt l’input e infine stampa i dati in chiaro:

Hooking a decryption function (Java) — stampa input/output ```javascript function getString(data) { var ret = "" for (var i = 0; i < data.length; i++) { ret += data[i].toString() } return ret } var aes_decrypt = Java.use("sg.vantagepoint.a.a") aes_decrypt.a.overload("[B", "[B").implementation = function (var_0, var_1) { send("sg.vantagepoint.a.a.a([B[B)[B doFinal(enc) // AES/ECB/PKCS7Padding") send("Key : " + getString(var_0)) send("Encrypted : " + getString(var_1)) var ret = this.a.overload("[B", "[B").call(this, var_0, var_1) send("Decrypted : " + ret)

var flag = “” for (var i = 0; i < ret.length; i++) { flag += String.fromCharCode(ret[i]) } send(“Decrypted flag: “ + flag) return ret //[B }

</details>

### Hooking functions e chiamandole con il nostro input

Hook a function che riceve una string e chiamala con un'altra string (from [here](https://11x256.github.io/Frida-hooking-android-part-2/))
```javascript
var string_class = Java.use("java.lang.String") // get a JS wrapper for java's String class

my_class.fun.overload("java.lang.String").implementation = function (x) {
//hooking the new function
var my_string = string_class.$new("My TeSt String#####") //creating a new String by using `new` operator
console.log("Original arg: " + x)
var ret = this.fun(my_string) // calling the original function with the new String, and putting its return value in ret variable
console.log("Return value: " + ret)
return ret
}

Ottenere un oggetto già creato di una classe

Se vuoi estrarre qualche attributo di un oggetto già creato puoi usare questo.

In questo esempio vedrai come ottenere l’oggetto della classe my_activity e come chiamare la funzione .secret() che stamperà un attributo privato dell’oggetto:

Java.choose("com.example.a11x256.frida_test.my_activity", {
onMatch: function (instance) {
//This function will be called for every instance found by frida
console.log("Found instance: " + instance)
console.log("Result of secret func: " + instance.secret())
},
onComplete: function () {},
})

Altri tutorial su Frida

Riferimenti

Tip

Impara e pratica il hacking AWS:HackTricks Training AWS Red Team Expert (ARTE)
Impara e pratica il hacking GCP: HackTricks Training GCP Red Team Expert (GRTE) Impara e pratica il hacking Azure: HackTricks Training Azure Red Team Expert (AzRTE)

Supporta HackTricks