-------------------------------------------------------
0x00 前言
勾选Zygisk选项,勾选之后手机会要求重启。
这个时候去到LSPosed的Github仓库下载新版本的zip安装包。需要选择zygisk版本的。
下载完成之后将zip包push到手机的/sdcard/Download目录下
按照之前安装Magisk模块的方式安装该模块即可。
直接选择该模块并安装。
安装好之后手机会需要重启。重启完成,手机下拉通知栏的话就会看到LSPosed已加载。之后我们找到LSP也是从这里找到,首次点击进入的话会提示新建一个桌面图标,之后可以在桌面找到LSP了就。
安装JustTrustMe模块
在Github仓库中下载:https://github.com/Fuzion24/JustTrustMe
现在我的LSP模块中还是空的,没有一个模块。
来尝试对一个APP进行抓包,但是可以看到这一串提示,包括charles中的一个红色的报错,以及手机上会显示“网络不给力”或者无网络等等的其他提示。都可以判断是存在SSLPinning的。
将我们要抓包的APP在模块中勾选上。
重新抓包即可抓取到数据包,不会提示无网络。
0x02 frida绕过
但是对于存在Root检测的APP来说,常用的绕过root检测的方式就是配置排除列表。一般来说在排除列表中的APP就不会检测到手机已经root了。但是这种方式有弊端就是配置了排除列表之后APP就不能使用LSP模块了。
可以看到这里会提示“在排除列表内”
这种情况就可以使用frida来进行绕过,那么有两种方式,一种是objection使用、一种是使用frida脚本。
使用objection
frida环境配置
在frida的官方仓库中。下载好frida-server
/data/local/tmp目录下
使用adb shell进入安卓手机,之后为其添加执行权限并执行
这样frida的服务端就配置好了。之后需要配置PC端
pip3install fridapip3install frida-tools
执行完这两条执行安装好frida之后运行frida --version看看是否安装成功。注意这里的版本号,PC端跟安卓端一定要对应。
安装objection的话可以使用pip3来安装一下
pip3 install objection执行objection version可以看到如下输出即是安装成功
那么在手机端将frida-server启动,然后执行
objection -g com.xxx(APP包名) explore
frida-ps -Ua。将要注入的APP运行起来,然后执行命令。根据APP的名字可以找到对应的包名。
在使用完objection注入之后,执行android sslpinning disable就可以直接尝试进行抓包了。
使用frida脚本
使用脚本https://github.com/scopion/frida-ssl-pinning
这里我们需要将charles的证书下载下来,具体的下载证书的方法就不赘述了百度上有很多种,然后将下载的证书修改名称后放置到android测试机的/data/local/tmp/cert.crt。
然后开始注入脚本即可
这个时候就可以愉快的进行抓包了。
0x03 后记
后续简单介绍下使用frida进行动态Hook,以及解密数据的Hook。
关注我们
原文始发于微信公众号(ElysiumSec):Android安全-绕过证书绑定篇
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论