# Frida for Android Pentesting — A Beginner’s Guide
> Mục tiêu: Giới thiệu Frida, cách setup lab và các kỹ thuật dynamic instrumentation căn bản dùng trong pentest Android.
---
## 1. Giới thiệu
- [Frida](https://frida.re/) là một dynamic instrumentation toolkit — tức là một công cụ cho phép bạn tiêm, quan sát và can thiệp vào code của một ứng dụng khi nó đang chạy.
- Frida cho phép chèn code vào app đang chạy để thay đổi hành vi (ví dụ thay return value, override hàm) mà không cần recompile.
- Dễ dùng để tắt SSL pinning, anti-debug, root/emulator-detection… tức thì, giúp tiếp cận chức năng ẩn.
## 2. REPL
- REPL = Read → Eval → Print → Loop
- Read: Nhận input (lệnh hoặc script bạn gõ).
- Eval: Thực thi code đó trong ngữ cảnh của ứng dụng đang chạy.
- Print: Xuất kết quả ra màn hình.
- Loop: Quay lại bước Read, tiếp tục vòng lặp.
➤ Với Frida, điều này nghĩa là bạn có thể gõ lệnh hook, thay đổi hàm… và thấy kết quả ngay không cần biên dịch lại app.
- Runtime tracing of
- Classes: Xem hoặc hook vào các class được load.
- Methods: Hook vào các phương thức/hàm cụ thể.
- Parameters: In ra giá trị tham số được truyền vào hàm.
- Return values: Xem hoặc chỉnh sửa giá trị trả về.
## 3. Setup lab
### 3.1. Frida injection
- Frida client (máy PC)
- Là thứ bạn tương tác trực tiếp (qua frida, frida-trace, Python API, v.v.).
- Gửi script/hook code của bạn sang thiết bị.
- Nhận kết quả log/traced data trả về.
- Frida server (thiết bị Android, iOS, hoặc máy đích):
- Chạy với quyền đủ cao (thường là root trên Android).
- Nhận script từ client, inject vào process của app (APK process).
- Giao tiếp ngược lại để trả dữ liệu/log cho client.
- APK Process (ứng dụng bạn hook):
- Frida-server sẽ chèn script của bạn vào bộ nhớ của process này, hook vào class/method/parameter/return value tùy bạn viết.
### 3.2. Frida-server
> Để push được frida-server lên emulator thì emulator của bạn phải root được. Với genymotion thì cài android 10 trở xuồng. Còn android studio thì bạn tham khảo 2 video sau để root emulator.
> [Root android studio emulator.](https://www.youtube.com/watch?v=pcwRWBHFAlg)
> [Push frida server on android studio emulator.](https://www.youtube.com/watch?v=R3ptGaFW1AU&t=513s)
- Đầu tiên bạn tải [frida-server](https://github.com/frida/frida/releases) ở đây.
- Xem kiến trúc của emulator và chọn bản frida-server thích hợp.
- Một cách kiểm tra khác.
- i686 là một kiến trúc x86.
- Tải về và đổi tên.
- Push lên thư mục `/data/local/tmp`.
- Cấp quyền cho nó và chạy.
### 3.3. Objection
- Objection là một tool hỗ trợ pentest mobile (Android/iOS), build dựa trên Frida.
- Đầu tiên máy phải có python trước đã.
- Xem doc [objection](https://github.com/sensepost/objection/wiki/Installation#prerequisites) tại đây.
- Tải objection.
#### Cách tải app cho điện thoại chưa root
- Patch APK (dành cho máy không root)
`objection patchapk --source hello-app.apk -a <architecture>`
- Nếu gặp lỗi:
`objection patchapk --source hello-app.apk -a architecture --use-aapt`
> ref:
https://github.com/sensepost/objection/issues/253
https://github.com/iBotPeaches/Apktool/issues/1978
3.4. Frida-client
- Tải frida-client: `pip install frida-tools` .
- Xem các tiến trình đang chạy trên điện thoại.
- Hook vào app `frida -U -n "App Name"`.
## 4. Cách sử dụng frida
- Kiểm tra [frida](https://frida.re/docs/javascript-api/#java) đã chạy hay chưa.
- Khi tắt emulator bật lại thì nhớ vào `shell` bật `su` và chạy lại lệnh `./frida-server &`.
- Có nhiều cách hook vào app như gắn vào PID hoặc package name.
- Chạy một số lệnh cơ bản. Các bạn mở app ra mà bị trắng thì gõ `%resume`.
## 5. Hello world
- `Ctrl + C` rồi `exit` để thoát nhá.
## 6. List classes
- Liệt kê các class giúp biết app có những class nào — từ đó chọn class/namespace khả dĩ chứa logic quan trọng (auth, crypto, network, checks).
## 7. List method and properties
- List method / property trước khi hook:
- Hiểu API của class: biết class có những phương thức/thuộc tính nào, tên, số tham số, kiểu trả về → chọn đúng mục tiêu để hook.
- Xác định overloads / signatures: nhiều method cùng tên nhưng khác tham số; cần biết chính xác signature để hook đúng (tránh crash).
- Tìm chỗ chứa secret / state: nhiều bí mật (token, key, flag) nằm trong fields (properties) hoặc trả về từ method — liệt kê giúp phát hiện.
## 8. Hooking function and bypass root detection
- Tải [app](https://github.com/OWASP/owasp-mstg/blob/master/Crackmes/Android/Level_01/UnCrackable-Level1.apk) đây nhá.
`adb install UnCrackable-Level1.apk`
- Chỗ này trong hàm `MainActivity` của app kiểm tra xem điện thoại có bị root ko.
- Trong hàm `c()`, vẫn là cách kiểm tra đường dẫn quen thuộc và kiểm tra sự tồn tại của `su` để xác định xem thiết bị có bị root hay ko.
- Ta sẽ hook vào 3 hàm `c.a()` , `c.b()` và `c.c()`.
## 9. Dumping function parameters
- Hàm này check xem input nhập vào có đúng ko và in ra dialog tương ứng.
- Hàm `a.a(string)` kiểm tra mật khẩu.
- `a(str)` kiểm tra xem `str` có phải là chuỗi bí mật (secret) sau khi giải mã Base64 + decrypt bằng key từ chuỗi hex hay không. Đây thường là check để xác thực license, flag, mật khẩu cứng trong app.
- Nhớ đừng tắt cái tab chạy hook bypass lần trước nhá.
- Hook hàm để ép hàm `sg.vantagepoint.uncrackable.a` luôn trả về `true`.
- Tham khảo thêm [write-up](https://1337.dcodx.com/mobile-security/owasp-mstg-crackme-1-writeup-android).
## 10. Re-using app functions and decrypt password
- Nếu không hook để ép hàm trả về true như trên thì nó sẽ trả thông báo như này khi nhập kết quả sai. Vậy thì gét go tìm mật khẩu thôi.
- Hàm `a.a(string)` kiểm tra mật khẩu.
- Đến đây nếu phân tích tĩnh thì có thể reverse lại code được rồi. Nhưng ta đang dùng frida để hook hàm và phân tích động.
- `Java.perform(...)` — đảm bảo code chạy khi JVM sẵn sàng.
- `base64.decode(..., 0)` — decode chuỗi Base64 thành `byte[]`. Tham số 0 là flag (DEFAULT).
- `bfunctionclass.b("...")` — gọi method `b(String)` trong class đã thấy trước đó, chuyển hex string thành `byte[]` (được dùng làm key/iv).
- `afunctionclass.a(enckey, arrayOfBytes)` — gọi method giải mã (tên class/method thay theo APK). Kết quả là `byte[]` plaintext.
- `new java.lang.String(byte[])` — chuyển mảng byte thành chuỗi đọc được, in ra console.
## Frida for windows
>Trên Windows, Frida giúp bạn hook API hệ thống (Win32), hàm trong DLL, và theo dõi luồng dữ liệu (file, network, crypto...) trong các ứng dụng native/desktop.
---
### 1. Listing windows modules (DLL libraries)
- [Lab](https://github.com/cspinstructor/github-crackmes/blob/master/CrackMe1.zip) cho module này.
- Password: `crackinglessons.com`
### 2. Hook Message box function
- [MessageBoxA](https://learn.microsoft.com/en-us/windows/win32/api/winuser/nf-winuser-messagebox) / `MessageBoxW` là hàm `Win32` trong `user32.dll` dùng để hiển thị hộp thoại thông báo đơn giản.
- `Module.findExportByName("user32.dll", "MessageBoxA")` tìm địa chỉ (pointer) của hàm export `MessageBoxA` trong `user32.dll`. Nếu hàm tồn tại, trả về một `NativePointer`; nếu không tìm thấy sẽ trả `null`.
- `onEnter: function(args){ ... }`: `args` là mảng các tham số truyền cho hàm native (kiểu NativePointer). Với `MessageBoxA` signature là (`HWND hWnd`, `LPCSTR lpText`, `LPCSTR lpCaption`, `UINT uType`).
- `onLeave: function(retval){ ... }` chạy khi `MessageBoxA` kết thúc. `retval` là `NativePointer` giữ giá trị trả về (ID button được nhấn). Ở đây chỉ in log thông báo đã thoát hộp thoại. Bạn có thể thay giá trị trả về bằng `retval.replace(ptr(<value>))` nếu muốn ép kết quả.
### 3. Modifying the windows MessageBox API
- [msdn messagebox ](https://docs.microsoft.com/en-us/windows/win32/api/winuser/nf-winuser-messagebox)
- [frida native pointers ](https://frida.re/docs/javascript-api/#nativepointer)
- [frida best practices for windows strings](https://frida.re/docs/best-practices/)
- Đoạn hook này log nội dung message box gốc, thay nội dung + tiêu đề thành `well done` / `congrats`, và thay đổi kiểu hộp thoại bằng `uType`.
### 4. Listing process function
- [enumerate imports(list functions)](https://blog.karthisoftek.com/a?ID=01750-671ab62c-c687-45c9-894c-8bdf7c6fe5e1)
- [msdn createfile](https://docs.microsoft.com/en-us/windows/win32/api/fileapi/nf-fileapi-createfilea)
- [file access rights constants](https://docs.microsoft.com/en-us/windows/win32/fileio/file-access-rights-constants)
- [Frida docs for javascript api](https://frida.re/docs/javascript-api/)
### 5. Hooking file reading
- Tạo file `keyfile.txt` trong cùng thư mục với CrackMe2.exe và chạy lại.
### 6. Memory scanning
- [Memory scanning](https://frida.re/docs/javascript-api/#memory)
- `"52 65 67 69 73 74 65 72 65 64 20 74 6F"` tương ứng với `Registered to` trong ascii.
- `Memory.scan(base, size, pattern, callbacks)` quét bộ nhớ từ `base` với `size` để tìm pattern.
- `onMatch(address, size)` gọi khi tìm thấy 1 match:
- `console.log(address);` in địa chỉ (NativePointer).
- `address.readUtf8String()` đọc chuỗi bắt đầu từ address đến dấu NULL (UTF-8) — dùng để in nội dung hiện tại (nếu vùng chứa C-string).
- `address.writeUtf8String("Registed to: PinkArmor");` ghi đè chuỗi mới vào bộ nhớ bắt đầu tại address.
- In lại `address.readUtf8String()` để show thay đổi.
## Hextree
> Mình có giải challange frida trên [hextree](https://app.hextree.io/courses/android-dynamic-instrumentation/intro) các bạn có thể tham khảo.
---
### 1. The Frida REPL
- Cái này lý thuyết nó tựa như bên trên.
### 2. Javascript wrapper Java by Java.use()
- Khi hook Android app, phần lớn code viết bằng `Java/Kotlin` và chạy trong `ART/Dalvik VM`.
- Frida script bản chất là JavaScript, không thể gọi thẳng Java class được.
➤ Frida cung cấp API `Java.use()` để wrap (đóng gói) một Java class thành object JS, cho phép gọi/override method dễ dàng.
- Cơ chế hoạt động của `Java.use("...")`:
- Tìm class trong ART runtime.
- Trả về một JavaScript wrapper object.
- Wrapper này có:
- Thuộc tính tương ứng với field trong class.
- Hàm tương ứng với method của class.
- implementation → cho phép bạn ghi đè (override) method.
➤ Tóm gọn: `Java.use("className")` = cách để Frida biến Java class thành object JS, cho phép gọi method, đọc field và hook/override implementation dễ dàng.
- Khi enter lại lỗi lý do là frida repl thường ko chạy trực tiếp trên luồng chính ứng dụng.
- Vì sao:
- `Java.use("")` cần `ART/Dalvik` runtime của Android đã khởi tạo đầy đủ (classloader, method table, v.v.).
- Khi bạn chạy code từ Frida REPL hoặc từ script inject vào quá sớm (ngay sau khi process spawn) → ART chưa sẵn sàng → không resolve được class → lỗi ``"Java is not defined"`` hoặc ``"Class not found"``.
- Vậy `Java.perform` làm gì?
- Nó đợi đến khi `VM (ART/Dalvik)` đã lên đầy đủ, sau đó mới chạy callback của bạn.
- Bản chất: Frida inject script không chạy trong main thread của app mà trong một thread riêng (JS runtime của Frida).
➤ Nếu bạn gọi `Java.use` bên ngoài, bạn đang gọi trước khi Frida attach được vào VM.
### 3. Trace activities
- Trace Fragment
- Khi trace bằng frida những hàm chuẩn Android framework thì không cần xem source của app. Vì:
- Chúng chuẩn theo Android API.
- Hầu hết app phải dùng (UI, network, crypto, file…).
- Hook trúng sẽ luôn ra log giúp bạn map lại flow của app.
### 4. frida-trace
- Là tool đi kèm với Frida, giúp bạn tự động generate script hook và trace function dễ dàng.
- Thay vì phải tự viết code Frida bằng tay (Java.use, Interceptor.attach...), bạn chỉ cần chạy một lệnh → Frida tự tạo sẵn boilerplate JS để bạn sửa/hook thêm.
- Nó giống như auto-skeleton cho việc hook.
- Dấu `!` để nói ``"hook tất cả overload"``.
### 5. Frida Interception Basics
- Interceptor là API core của Frida cho phép bạn hook vào hàm native (C/C++/JNI). Nó hoạt động bằng cách patch mã máy tại địa chỉ hàm (export hoặc offset trong module).
- Khi process gọi tới hàm đó, Frida sẽ chuyển luồng thực thi sang script của bạn trước, cho bạn cơ hội:
- `onEnter`: xem / sửa tham số input.
- `onLeave`: xem / sửa giá trị trả về.
- Có giống Burp Suite không?
- Giống ở ý tưởng: đều là "man-in-the-middle"
- Burp Suite chặn request HTTP(S) từ app ↔ server → bạn xem/sửa rồi mới cho đi.
- Frida Interceptor chặn hàm native/Java trong chính app ↔ hệ điều hành ↔ library.
- Khác nhau về tầng (layer):
- Burp: chặn ở tầng network (HTTP/HTTPS).
- Frida Interceptor: chặn ở tầng process / system call / library function.
```js
Java.perform(() => {
// Lấy reference tới class InterceptionFragment
var InterceptionFragment = Java.use("io.hextree.fridatarget.ui.InterceptionFragment");
// Ghi đè implementation của method function_to_intercept
InterceptionFragment.function_to_intercept.implementation = function(argument){
// Gọi lại hàm gốc với cùng argument (để giữ hành vi ban đầu nếu cần)
this.function_to_intercept(argument);
// Trả về giá trị mới, override kết quả gốc
return "Something different";
}
})
```
- `Bypass License 1`
- `Bypass license 2`
- Bypass theo logic check
- Hook dialog theo ý mình
- `Dice game`
- Game này bạn xoay 6 con xúc xắc ra số 6 thì bạn win.
### 6. SSL Validation Bypasses
- Ae có thể xem cộng động [share code frida](https://codeshare.frida.re/) ở đây nhé.
- SSLContext & Network-Security-Config Bypass
- `X509TrustManager` có 3 phương thức chính:
- `void checkClientTrusted(X509Certificate[] chain, String authType)` : Được gọi khi server yêu cầu client authentication (client cert).
- `void checkServerTrusted(X509Certificate[] chain, String authType)` : Được gọi khi kết nối tới server. Kiểm tra chuỗi certificate do server gửi.
Nếu `chain` không hợp lệ thì phải ném `CertificateException;` nếu hợp lệ thì không ném (return bình thường).
- `X509Certificate[] getAcceptedIssuers()` : Trả về danh sách `CA certificates` mà `TrustManager` này chấp nhận (dùng cho client-cert selection). Thường trả `new X509Certificate[0]` nếu không cần cung cấp.
- Ghi chú quan trọng:
- `checkServerTrusted` là nút then chốt để quyết định liệu TLS connection tới server có được chấp nhận hay không.
- Kiểm tra chain (signature, validity period).
- Kiểm tra revocation (CRL/OCSP) nếu được cấu hình.
- (Có thể) so sánh public key / fingerprint (pinning).
- `checkClientTrusted` ít dùng hơn — chỉ thực sự cần khi server yêu cầu client certificate.
- `getAcceptedIssuers` cung cấp meta info; hiếm khi app mobile dùng trực tiếp.
- Ứng dụng cần bypass SSL pinning, ban đầu không thể thực thi các chức năng cho có SSL pinning.
```js
Java.perform(() => {
var PlatformClass = Java.use("com.android.org.conscrypt.Platform");
PlatformClass.checkServerTrusted
.overload(
'javax.net.ssl.X509TrustManager',
'[Ljava.security.cert.X509Certificate;',
'java.lang.String',
'com.android.org.conscrypt.AbstractConscryptSocket'
)
.implementation = function (trustManager, certs, authType, socket) {
console.log("Check server trusted");
};
});
```
- `OKHTTP3 bypass`
- OkHttp3 là một HTTP client library cho Java và Android. Nó được dùng rất nhiều trong Android app để:
- Gửi HTTP/HTTPS requests (GET, POST, PUT, DELETE...).
- Quản lý kết nối mạng hiệu quả, tái sử dụng connection (connection pooling).
- Hỗ trợ HTTP/2, WebSocket, SPDY.
- Tự động xử lý redirects, retries.
- Tích hợp sẵn caching, cookie handling.
- Hỗ trợ certificate pinning → nhiều app Android dùng để chống MITM.
➤ Nói đơn giản: Nếu app Android có kết nối tới API (server), khả năng cao nó dùng OkHttp3 để gửi/nhận dữ liệu.
- `2048`
---
<p align="center"><strong>🎯 Hack Smart, Hack Safe 🎯</strong></p>
Google Drive
Gist
Clipboard
Sign in via Facebook
Sign in via X(Twitter)
Sign in via GitHub
Sign in via Dropbox
Sign in with Wallet
