🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
🔥 热搜 🔥
百度今日热点微信公众平台贴吧opggdnf私服百度贴吧知乎dnf公益服百度傻逼
分类
社会娱乐国际人权科技经济其它
查看原文
其他

Java Socket抓包的一个实现方式

virjar 看雪学院 2021-03-08


本文为看雪论坛优秀文章

看雪论坛作者ID:virjar


基于Socket Hook方式的App抓包



在App抓包方面,最简单的就是通过fiddler或者charles,网上很多教程。但是越来越多的App无法简单通过代理抓包了。可能有如下原因。

>>>>

证书检查


App本身使用私密的HTTPS证书,而不信任我们配置到系统根证书的ca证书,这个时候一般使用JustTrustMe插件可以解决。

但是由于JustTrustMe是通过hook网络库的证书检查逻辑实现的,如果网络库的代码存在混淆,那么JustTrustMe则无法定位到代码,也就无法成功拦截。

>>>>

双向证书认证


服务器检查了客户端的证书,此时需要通过逆向得到客户端证书,然后配置到我们的代理层。需要逆向手段实现,而且几乎没有傻瓜化方案。

>>>>

App设置不走系统代理


App的代码逻辑可以定制代理方案,可以设置不走代理,或者走App特殊设定的代理。此时我们配置的系统代理不能生效,那么无法通过charles抓包。

这个时候一般通过VPN来实现,比如PacketCapture。但是通过架设VPN的方式,基本都是在App内部操作,实际在请求太多的情况下,App并不是特别好操作。

所以很早之前我就设计过一个通过JavaSocket对象进行抓包的方案,不过随着时间推移方案逐渐的不那么好用了。所以现在找时间重构了她。整个过程我遇到过的问题可以大概列举一下。


>>>>

SSL Socket Hook代码重入问题


我们知道,SSLSocket底层就是基于普通的Socket,那么我们对Socket对象监控,其实应该监控SSLSocket,但是我们的代码不能写死说当遇到SSL的时候,放弃对Socket对象监控。 

这个时候我们的逻辑里面,会出现SSLSocket的数据流和Socket的数据流两份。其中Socket的流量是密文,需要考虑如何分辨以及如何保证数据不不重复解码。

目前通过线程变量,控制reentryFlag实现,我只能期待SSLSocket和Socket的读写一定发生在同一个线程。否则我的方案会直接紊乱。


>>>>

TCP粘包拆包


在存在连接池,或者链接复用场景下,一个App的多个请求可能在同一个链接中发生。这导致的问题,流量不是单纯的一读一写。

我们需要自己重报文中解析出每个HTTP请求和响应报文。 这设计到HTTP协议的完整识别,包括HTTP报文长度计算,HTTP报文分段传输等问题。

这里目前有两种方向。


完整的解析HTTP协议特征,然后逐步解析到每个HTTP报文的结尾,但是由于存在TCP拆包问题,每次流量到来都无法明确数据到来完整。比如HTTP分段,包头长度可能由于拆包变成两份。如果简单的读取当前坐标,那么可能坐标不完全。所以需要相对比较复杂的状态机来控制。 以及数据到来分片,但是我们进行数据解析时候,由于大量计算依赖各种索引数据,我们的数据结构很难维护。如果每次数据到来都把它全量刷到数组中,明显资源浪费太多。总之这么做逻辑很复杂。

我们假定数据请求和响应是一个完整单元。一端只有在保证完整收到对端数据之后才可能回写自己的数据。那么通过时间来来,每当流量读写模式改变,那么我们可以认为上一个报文一定完整。 但是如果协议没有明确这么规定,那么一定也是会有问题的。

>>>>

GZIP压缩


实际场景很容易出现GZIP压缩,我们输出最终报文的时候,肯定不能直接现实压缩的数据,这种对我们抓包分析毫无作用。所以我们还需要通过对存在压缩的数据解压缩。

这次我重构后的Socket监控,支持如下特性:
  • 支持所有基于java Socket对象的流量抓包
  • 不需要考虑证书问题,包括证书检查,证书双向认证等。
  • 不需要考虑网络库代码混淆问题。
  • 不需要考虑代码设置不走系统代理的问题
  • 支持数据报文内容和代码堆栈绑定(这个功能我觉得非常重要)
  • 支持http1.x协议自动美化,包括处理分段,处理压缩
  • 支持非http协议监控(本身抓包基于socket的,本来就和http没关系),并且同样支持绑定堆栈.
  • 提供数据识别美化插件机制,http1.x美化功能就是通过改机制实现
  • 提供数据报文数据监控插件机制,可将报文序列化到文件,输出到控制台等。



使用方法



>>>>

依赖


基于xposed:

compileOnly 'de.robv.android.xposed:api:82'


这是用于方案通过hook socket实现,你可以替换为任意其他hook框架,只要能够hook socket那三个函数就可以。


>>>>

开启模块


SocketMonitor.setPacketEventObserver(new FileLogEventObserver(context.getDir("socket_monitor", Context.MODE_PRIVATE)));

SocketMonitor的静态函数会自动加载组件,不过一般来说抓包通过文件的方式写入到磁盘。所以这里需要指定输出地址,使用FileLogEventObserver,另外由于 遇到一些App没有sdcard权限,所以我没有把这个地方设计为直接写到sdcard。

然后你可以看到对应目录出现了抓包文件:

sailfish:/data/data/com.virjar.ratel.demoapp/app_ratel_env_mock/default_0/data/app_socket_monitor # ls -alh
total 2.8M
drwx------ 2 u0_a71 u0_a71 12K 2019-10-22 17:02 .
drwx------ 4 u0_a71 u0_a71 4.0K 2019-10-22 14:34 ..
-rw------- 1 u0_a71 u0_a71 33K 2019-10-22 15:36 1571758577427_socket.txt
-rw------- 1 u0_a71 u0_a71 33K 2019-10-22 15:37 1571758613992_socket.txt
-rw------- 1 u0_a71 u0_a71 33K 2019-10-22 15:37 1571758650913_socket.txt
-rw------- 1 u0_a71 u0_a71 33K 2019-10-22 15:38 1571758687933_socket.txt
-rw------- 1 u0_a71 u0_a71 33K 2019-10-22 15:39 1571758730303_socket.txt
-rw------- 1 u0_a71 u0_a71 33K 2019-10-22 15:39 1571758767663_socket.txt
-rw------- 1 u0_a71 u0_a71 33K 2019-10-22 15:40 1571758804249_socket.txt
-rw------- 1 u0_a71 u0_a71 33K 2019-10-22 15:40 1571758840846_socket.txt


打开文件可以看到报文内容。

sailfish:/data/data/com.virjar.ratel.demoapp/app_ratel_env_mock/default_0/data/app_socket_monitor # cat 1571758174855_socket.txt
Socket request local port:41752 remote address:47.94.106.20:80
StackTrace:java.lang.Throwable
    at com.virjar.ratel.api.inspect.socket.OutputStreamWrapper.check(OutputStreamWrapper.java:111)
    at com.virjar.ratel.api.inspect.socket.OutputStreamWrapper.write(OutputStreamWrapper.java:68)
    at okio.Okio$1.write(Okio.java:79)
    at okio.AsyncTimeout$1.write(AsyncTimeout.java:180)
    at okio.RealBufferedSink.flush(RealBufferedSink.java:216)
    at okhttp3.internal.http1.Http1Codec.finishRequest(Http1Codec.java:166)
    at okhttp3.internal.http.CallServerInterceptor.intercept(CallServerInterceptor.java:72)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:92)
    at okhttp3.internal.connection.ConnectInterceptor.intercept(ConnectInterceptor.java:45)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:92)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:67)
    at okhttp3.internal.cache.CacheInterceptor.intercept(CacheInterceptor.java:93)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:92)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:67)
    at okhttp3.internal.http.BridgeInterceptor.intercept(BridgeInterceptor.java:93)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:92)
    at okhttp3.internal.http.RetryAndFollowUpInterceptor.intercept(RetryAndFollowUpInterceptor.java:120)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:92)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:67)
    at okhttp3.RealCall.getResponseWithInterceptorChain(RealCall.java:185)
    at okhttp3.RealCall.execute(RealCall.java:69)
    at com.virjar.ratel.demoapp.SocketMonitorTest.doTest(SocketMonitorTest.java:51)
    at com.virjar.ratel.demoapp.SocketMonitorTest.access$000(SocketMonitorTest.java:16)
    at com.virjar.ratel.demoapp.SocketMonitorTest$1.run(SocketMonitorTest.java:25)
 
 
GET /natChannelStatus?group=sekiro-demo HTTP/1.1
X-User-Experience-ID: aa54710f-7383-4a09-8923-3e897d3e1bbf
X-Channel-ID: ANDROID
X-API-Key: l7xx8389a5ba9eb24ae68bad068bd1860bfc
User-Agent: SouthwestAndroid/6.10.2 android/8.1.0
Accept-Encoding: gzip
Host: sekiro.virjar.com
Connection: Keep-Alive
 
 
 
Socket response local port:41752 remote address:47.94.106.20:80
StackTrace:java.lang.Throwable
    at com.virjar.ratel.api.inspect.socket.InputStreamWrapper.check(InputStreamWrapper.java:145)
    at com.virjar.ratel.api.inspect.socket.InputStreamWrapper.read(InputStreamWrapper.java:100)
    at okio.Okio$2.read(Okio.java:139)
    at okio.AsyncTimeout$2.read(AsyncTimeout.java:237)
    at okio.RealBufferedSource.indexOf(RealBufferedSource.java:345)
    at okio.RealBufferedSource.readUtf8LineStrict(RealBufferedSource.java:217)
    at okio.RealBufferedSource.readUtf8LineStrict(RealBufferedSource.java:211)
    at okhttp3.internal.http1.Http1Codec.readResponseHeaders(Http1Codec.java:189)
    at okhttp3.internal.http.CallServerInterceptor.intercept(CallServerInterceptor.java:75)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:92)
    at okhttp3.internal.connection.ConnectInterceptor.intercept(ConnectInterceptor.java:45)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:92)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:67)
    at okhttp3.internal.cache.CacheInterceptor.intercept(CacheInterceptor.java:93)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:92)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:67)
    at okhttp3.internal.http.BridgeInterceptor.intercept(BridgeInterceptor.java:93)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:92)
    at okhttp3.internal.http.RetryAndFollowUpInterceptor.intercept(RetryAndFollowUpInterceptor.java:120)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:92)
    at okhttp3.internal.http.RealInterceptorChain.proceed(RealInterceptorChain.java:67)
    at okhttp3.RealCall.getResponseWithInterceptorChain(RealCall.java:185)
    at okhttp3.RealCall.execute(RealCall.java:69)
    at com.virjar.ratel.demoapp.SocketMonitorTest.doTest(SocketMonitorTest.java:51)
    at com.virjar.ratel.demoapp.SocketMonitorTest.access$000(SocketMonitorTest.java:16)
    at com.virjar.ratel.demoapp.SocketMonitorTest$1.run(SocketMonitorTest.java:25)
 
 
HTTP/1.1 200
Server: nginx
Date: Tue, 22 Oct 2019 15:39:04 GMT
Content-Type: application/json;charset=UTF-8
Transfer-Encoding: chunked
Connection: keep-alive
 
{"status":0,"message":null,"data":[],"clientId":null,"ok":true}
 
sailfish:/data/data/com.virjar.ratel.demoapp/app_ratel_env_mock/default_0/data/app_socket_monitor #


>>>>

备注


本项目收录在ratel项目中,并不是一个独立项目,你可以在他基础上自己改造。所以生产可用还需要二次加工。

还不支持http2.0 做之前大概抓了一下charles的包,然后弄好才发现被charles忽悠了。

考虑http2.0 报文可以无序发送的问题,本项目机制可能还需要一些修改才能适配。这个项目里面可能不会做了。有兴趣的可以自己看看。


github地址: 
https://github.com/virjar/socket-moitor





- End -







看雪ID:virjar

https://bbs.pediy.com/user-791488.htm 


*本文由看雪论坛  virjar  原创,转载请注明来自看雪社区







推荐文章++++

动态过DSE代码以及原理

ollvm源码分析 - Pass之SplitBaiscBlocks

Linux内核驱动调试遇到的一些坑以及解决方法(新手必看指南)

记一起 kthroltlds 挖矿蠕虫变种分析

Metasploit后门以及跨平台后门生成





进阶安全圈,不得不读的一本书










“阅读原文”一起来充电吧!

    您可能也对以下帖子感兴趣

    文章有问题?点此查看未经处理的缓存