关于抓包的碎碎念

查看原文

其他

关于抓包的碎碎念

ChenSem 看雪学院 2021-03-06

本文为看雪论坛优秀文章

看雪论坛作者ID：ChenSem

抓包是作为apk分析的首要切入点，获取apk的通信协议的必要手段。常见的抓包手段是基于中间人攻击来进行的，还有另外一种抓包手段是基于手机VPN进行的。这里将罗列常见的抓包手段，以及SSL Pinning手段的对抗。

基于中间人攻击的抓包

比较常规的抓包手段，常用的抓包工具有Burpsuite、Charles、Fiddler、Mitmproxy等等。通常在手机端安装工具的证书，如若抓取的手机客户端未做SSL pinning便可直接进行抓包。

手机App不走代理

通常有些App为了防止被抓包，会设置App默认不走代理，在分析的时候你会发现即使你设置了App代理，也不影响App的正常通信。通过tcpdump抓取网络报文可以发现App直接和服务器建立了连接而没有和代理建立连接。对应Java代码如下：

OkHttpClient client = new OkHttpClient().newBuilder().proxy(Proxy.NO_PROXY).build（）;

这种情况下可以通过建立VPN服务，直接将流量导向我们的抓包工具。当然也有现成的工具，如SocksDroid直接将流量导向抓包工具，Burpsuite是不支持socks5代理的，可以使用Charles设置Socks5代理，然后设置Charles的上游代理到Burpsuite。

还有的检测手段就是检测代理状态，如果设置代理了就拒绝通信，这种情况下也可以使用SocksDroid工具直接转发流量，这种情况下检测不到代理，另外的方法就是将检测的代码Bypass掉。

之前遇到过用Flutter写的应用，这种应用默认不走系统代理，所以也使用SocksDroid进行流量转发，然后需要注意的是需要将抓包证书安装在System Level而不是User Level。因为在User level的证书，应用是不信任的。

【安装系统证书】https://blog.ropnop.com/configuring-burp-suite-with-android-nougat/

证书绑定（单向绑定）

证书绑定的安全策略在目前的App开发中是越来越常见了，其根本策略就是检测客户端发来的证书是否合法，一般在App中会硬编码合法的服务端证书信息，然后进行对比。

笔者见的比较多的是OkHttp3中的一些SSL Pinning策略，而且很多App也是使用的OKHttp3框架进行流量通信，比较常见的就是实现 HostnameVerifier接口中的verify函数，其verify函数中实现检测逻辑，返回值是boolean类型，常见的bypass策略就是Hook verify函数使其返回true。

那么如何找到verify函数呢？下面将列举常见的方法：

1. frida-trace

frida-trace -U \ -F \ --runtime=v8 \ -j '*!verify/iu'

可以看到的确调用了verify函数，上图是我在没有设置代理的情况下返回的是true。

2. frida Java.enumerateMethods

前不久frida提供了枚举Methods的接口，这样就比以前更易于操作了，不然之前得枚举类然后得到方法。使用以下脚本便可：

const groups = Java.enumerateMethods('*!verify/u')// console.log(JSON.stringify(groups, null, 2));var classes = null;for(var i in groups){ var classes = groups[i]['classes']

for(var i in classes){ Java.use(classes[i]['name']) .verify .overload('java.lang.String', 'javax.net.ssl.SSLSession') .implementation = function(){ console.log("[+] invoke verify"); return true } }}

3. 找到verify函数，直接Hook

此方法不能实现通用脚本。

4. 上述情况是针对okhttp3的情况说明的，如遇到其他框架请采用网上集成的bypass脚本。

https://raw.githubusercontent.com/WooyunDota/DroidSSLUnpinning/master/ObjectionUnpinningPlus/hooks.js

证书绑定（双向绑定）

双向绑定即客户端验证服务端证书，服务端验证客户端证书。要实现抓包需要绕过客户端对服务端的校验，以及服务端对客户端的证书校验，首先绕过客户端对服务端的校验一般采用以上方法即可。

绕过服务端的校验一般需要提取嵌入在客户端中的证书，有的开发者将此加密了，有的可以在assets目录中找到，以及raw目录中。对于加密的证书提取，可以Hook Keystore的load方法：

Java.perform(function () { var StringClass = Java.use("java.lang.String"); var KeyStore = Java.use("java.security.KeyStore"); KeyStore.load.overload('java.security.KeyStore$LoadStoreParameter').implementation = function (arg0) { console.log("KeyStore.load1:", arg0); this.load(arg0); }; KeyStore.load.overload('java.io.InputStream', '[C').implementation = function (arg0, arg1) { send(arg0) console.log("KeyStore.load2:", arg0, arg1 ? StringClass.$new(arg1) : null); this.load(arg0, arg1); };});

比如上述策略，证书是经过加密保存在apk中的，取出来先进行解密，然后使用Keystore进行加载，这时候可以通过Hook load方法得到证书以及证书的密钥，然后将证书导入到Burpsuite中，便可抓取报文。

奇淫技巧抓包

0x01 Hook SSL_write SSL_read

var ssl_write = Module.getExportByName(null,"SSL_write");var ssl_read = Module.getExportByName(null,"SSL_read");Interceptor.attach(ssl_write,{ onEnter: function (args){ send(,Memory.readByteArray(args[1], parseInt(args[2]))); }, onLeave: function (retval){}Interceptor.attach(ssl_read,{ onEnter: function (args){ send(,Memory.readByteArray(args[1], parseInt(args[2]))); }, onLeave: function (retval){ }

https://sec.mrfan.xyz/2019/12/16/%E5%AE%89%E5%8D%93%E6%B5%8B%E8%AF%95%E4%B9%8BHook%20SSL_read%E5%92%8CSSL_write/

https://github.com/fanxs-t/Android-SSL_read-write-Hook/blob/master/frida-hook.py

这种方式抓取的是未经加密的报文，经测试，有的场景下无效。

0x02 SSL key logger

这种技巧相当于PC上运行Chrome设置SSLLOGFILE环境变量记录SSL协商的密钥，在Android上，默认未设置需要通过Hook进行设置。

frida -U -f com.realcloud.loochadroid.college -l hook.js --no-pause -o key

抓出来是这样的格式：

function startTLSKeyLogger(SSL_CTX_new, SSL_CTX_set_keylog_callback) { function keyLogger(ssl, line) { console.log(new NativePointer(line).readCString()); } const keyLogCallback = new NativeCallback(keyLogger, 'void', ['pointer', 'pointer']); Interceptor.attach(SSL_CTX_new, { onLeave: function(retval) { const ssl = new NativePointer(retval);

            const SSL_CTX_set_keylog_callbackFn = new NativeFunction(SSL_CTX_set_keylog_callback, 'void', ['pointer', 'pointer']);

SSL_CTX_set_keylog_callbackFn(ssl, keyLogCallback); } });}startTLSKeyLogger( Module.findExportByName('libssl.so', 'SSL_CTX_new'), Module.findExportByName('libssl.so', 'SSL_CTX_set_keylog_callback'))

使用方法，在程序spwan前使用tcpdump dump流量。然后wireshark设置TLS Logfile的位置。

参考链接：https://codeshare.frida.re/@k0nserv/tls-keylogger/

0x03 CE扫描内存

这种方式是实在没有办法采用的方法，通过扫描关键字如HTTP、接口信息搜

出HTTP报文。

总结

获取HTTPS报文的方式多种多样，下面是此篇文章参考的文章：

https://hackmag.com/security/ssl-sniffing/ ，这是一篇讲通用SSL Pinning Bypass的方法。

http://www.moserware.com/2009/06/first-few-milliseconds-of-https.html SSL建立流程。

- End -

看雪ID：ChenSem

https://bbs.pediy.com/user-771450.htm

*本文由看雪论坛 ChenSem 原创，转载请注明来自看雪社区。

警察殴打打人学生，舆论撕裂的背后

你手放哪呢，出生啊

薅广电羊毛！100元话费实付94.6元，还有电费96.9充100元！招团长~

疯传！广州地铁突发！警方介入

妹子穿小一号的牛仔裤，老司机看完也收不住