LLeaves Blog | LLeaves的小窝

Frida Interceptor Hook实现原理图

Frida Interceptor Hook实现原理图

Frida Interceptor Hook实现原理图

SystemUI As EvilPiP

之前对Android 悬浮窗覆盖攻击(也属于Activity Hijack Attack(AHA)的一种)有了一个简单的了解，但是其利用较为困难，通常需要申请悬浮窗权限，并且并不是一个完整的攻击链条。看到BlackHat2024的议题**SystemUI As EvilPiP: The Hijacking Attacks on Modern Mobile Devices**后决定沿着这条路继续学习，因此之后的内容大部分内容引用与改议题和参考1 中奇安信的报告。除此之外，在Bypass BAL一节中引入对新爆出画中画漏洞CVE-2024-34737 的说明。

悬浮窗覆盖攻击

SystemUI As EvilPiP

Android 悬浮窗覆盖攻击

点击劫持Tapjacking，是一种欺骗用户进行点击的攻击技术，可存在于任何操作系统和浏览器之中，尽管原理简单，对于普通用户危害却极大，是一种容易忽视的安全威胁。Android中的点击劫持原理如图1所示，当出现重要的、需要进行用户确认的安全对话框时，申请悬浮窗权限的恶意APP在受害APP之上进行部分覆盖，显示一个虚假的界面，隐藏了与安全相关的重要提示信息，但并未覆盖正常APP原有的按钮，诱骗用户进行错误地点击操作，点击事件结果最终传递到受害APP，造成严重的安全后果。

悬浮窗覆盖攻击

Android 悬浮窗覆盖攻击

Magisk Eop本地提权漏洞

Magisk Eop

Magisk Eop本地提权漏洞

CVE-2024-31317 Zygote命令注入提权system分析

编号CVE-2024-31317，该漏洞允许拥有WRITE_SECURE_SETTINGS权限的攻击者（该权限由ADB shell和某些特权应用持有）以任意应用的身份执行任意代码。通过这种方式，攻击者可以读取和写入任何应用的数据，更改大多数系统配置，取消注册或绕过移动设备管理等。这个漏洞的利用不涉及内存的破坏，这意味着它可以在几乎任何运行Android 9或更高版本的设备上不加修改地工作，并且在重启后仍然有效。

CVE-2024-31317 Zygote命令注入提权system分析

⚔️Uprobe及其对抗

原文：https://blog.quarkslab.com/defeating-ebpf-uprobe-monitoring.html Uprobes（用户空间探针）是Linux内核的一个特性，它允许在任何用户空间程序的任何指令上设置钩子（hook）。文章介绍uprobe实现及其对抗手段

Uprobe及其对抗

Android Data Encryption-从百草园Patch到三味书屋

Android Data Encryption完整攻击复现

Android Data Encryption-从百草园Patch到三味书屋

CVE-2024-0044 Bypassing the "run-as" debuggability check

CVE-2024-0044 Bypassing the "run-as" debuggability check

CVE-2024-0044 Bypassing the "run-as" debuggability check

bpf_probe_write_user补丁添加对只读内存的修改

因为bpf_probe_write_user 只能对可写的用户内存页面进行修改，而对只读内存则无法进行修改，例如rodata以及text 段的内容。本文对bpf_probe_write_user 打补丁，以支持此功能，以应对日益强大的对抗

bpf_probe_write_user补丁添加对只读内存的修改

eBPF实践之修改bpf_probe_write_user以对抗某加固Frida检测

本文需要密码，无偿阅读请微信LLeavesG联系作者获取。BPF 的 bpf_probe_write_user 功能十分强大，它可以修改用户空间的内存，可以用于进程隐藏或者绕过环境检测等操作，本文为bpf_probe_write_user 添加修改只读内存的功能，以对抗360加固企业版Frida检测。

eBPF实践之修改bpf_probe_write_user以对抗某加固Frida检测

Android eBPF Syscall包装器问题小记

在使用BCC与python结合对Android的openat syscall进行追踪时发现一个很有趣的问题，在此记录首先是BCC文档中给出如何trace syscall 的教程，这里提到必须要syscall__为前缀，很好奇为什么必须要这个前缀，于是开始进行测试。

Android eBPF Syscall包装器问题小记

ByteDance-AppShark静态分析工具

在前期对App进行漏洞挖掘的过程中发现，以纯人工的方式去逆向某些App并且发现其中的漏洞已经不太现实，主要有以下几点原因： • Android系统体系十分庞大，App代码量巨大，存在超大型App(抖音目前已经有150万个函数)，人工分析极度不现实 • 对Android静态分析精力耗费巨大，自动化静态分析完全可以简化大量重复的工作。 Appshark 是一个针对安卓的静态分析工具,它的设计目标是针对超大型App的分析(抖音目前已经有150万个函数). Appshark支持众多特性: • 基于json的自定义扫描规则,发现自己关心的安全漏洞以及隐私合规问题 • 灵活配置,可以在准确率以及扫描时间空间之间寻求平衡 • 支持自定义扩展规则,根据自己的业务需要,进行定制分析

ByteDance-AppShark静态分析工具

1 2 3 4

LLeaves

LLeaves

Happy Hacking

最新发布

eBPF实践之修改bpf_probe_write_user以对抗某加固Frida检测

CVE-2024-31317 Zygote命令注入提权system分析

CVE-2024-0044 Bypassing the "run-as" debuggability check

Frida Interceptor Hook实现原理图

Android Data Encryption-从百草园Patch到三味书屋

bpf_probe_write_user补丁添加对只读内存的修改

公告