2022年6月30日01:38:33已关闭评论194 views字数 2215阅读7分23秒阅读模式

双向认证APP自吐密码

在许多业务非常聚焦比如行业应用、银行、公共交通、游戏等行业，C/S架构中服务器高度集中，对应用的版本控制非常严格，这时候就会在服务器上部署对app内置证书的校验代码。
抓包出现如下提示时，我们确定出此APP为服务器校验app客户端证书

Frida自吐证书密码
对于此类APP抓包而言通常需要完成两项内容：

找到证书文件找到证书密码

服务器对客户端进行校验过程中，客户端将证书公钥发送给服务器，以及从服务器获取session和私钥解密过程中，需要API进行操作，API存在于java层框架内，所以hook框架层代码java.security.KeyStore`，使密码自吐

```

frida -U -f cn.soulapp.android -l ssl.js --no-pause

```

Frida自吐证书密码
密码}%2R+\OSsjpP!w%X
然后首先使用常规方式解压搜索app包里的证书文件。一般apk进行解包，直接过滤搜索后缀名为p12的文件即可，一般常用的命令为tree -NCfhl |grep -i p12，直接打印出p12文件的路径.

Frida自吐证书密码
如果在安装包内找不到证书的话，也可以进行hook `java.io.File

```

android hooking watch class_method java.io.File.$

init
```

Frida自吐证书密码
通过hook也可以找到该证书文件。

```

objection -g cn.soulapp.android explore --startup-command "android hooking watch class_method java.io.File.$init --dump-args"

```

使用抓包工具点击导入证书

Frida自吐证书密码
密码随意设置
**然后进去之后导入p12证书和密码（自吐出的密码），host和port输入

*可以看到可以成功抓到了数据包

Frida自吐证书密码

hook抓包

1、首先确定使用的框架，主流框架okhttp、HttpURLconnection
使用objection打印内存中所有的类

```

android hooking list classes

```

然后搜索过滤类文件中值得怀疑的框架

.objection # cat objection.log |grep -i volley .objection # cat objection.log |grep -i okhttp .objection # cat objection.log |grep -i

Frida自吐证书密码

Frida自吐证书密码
找到APP使用的框架后，最后通过frida加载js脚本来进行绕过。

ZenTracer

批量hook查看调用轨迹的工具ZenTracer

```

git clone https://github.com/hluwa/ZenTracer

```

点击Action之后，会出现匹配模板（Match RegEx）和过滤模板（Black RegEx）,将 M:java.net.HttpURLConnection填入后会将该类的所有方法进行hook并运行

Frida自吐证书密码
同时手机点击登录、注册等功能模块时，发现经过了该方法 java.net.HttpURLConnection.getFollowRedirects()：

Frida自吐证书密码
然后使用 objectionhook该方法

```

android hooking watch class_method java.net.HttpURLConnection.getFollowRedirects --dump

-args --dump-return --dump-backtrace
```

Frida自吐证书密码
根据打印出的 `com.cz.babySister.c.a.a(HttpClients.java:22)
直接定位到了收发包函数的地址，然后查看收发包的内容如下：

```

android hooking watch class_method com.cz.babySister.c.a.a --dump-args --dump-backtrace --dump-return

```

Frida自吐证书密码

强混淆APP

使用工具OkHttpLogger-Frida
1、首先将okhttpfind.dex 拷贝到手机 /data/local/tmp/目录下

```

adb push okhttpfind.dex /data/local/tmp/

chmod 777 *

```

2、执行命令启动frida -U -l okhttp_poker.js -f com.example.demo --no-pause 可追加 -o [output filepath]保存到文件

```

frida -U -l okhttp_poker.js -f org.sfjboldyvukzzlpp --no-pause

```

Frida自吐证书密码
然后复制被混淆后的类名，粘贴到okhttp_poker.js文件中，重新运行后运行 hold()开启hook拦截，然后操作App后，会出现拦截的内容如下

```

nano okhttp_poker.js

```

Frida自吐证书密码
当然除了ZenTracer，也可以直接使用objection工具进行批量hook，
首先将怀疑的类复制保存到文件中，并在保存内容前加上 android hooking watch class

```

android hooking list classes

objection -g com.cz.babySister explore -c "/root/Desktop/2.txt"

```

参考资料

https://www.anquanke.com/post/id/197657
https://bbs.pediy.com/thread-258776.html

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

Frida自吐证书密码

双向认证APP自吐密码

frida -U -f cn.soulapp.android -l ssl.js --no-pause

android hooking watch class_method java.io.File.$

objection -g cn.soulapp.android explore --startup-command "android hooking watch class_method java.io.File.$init --dump-args"

hook抓包

android hooking list classes

ZenTracer

git clone https://github.com/hluwa/ZenTracer

android hooking watch class_method java.net.HttpURLConnection.getFollowRedirects --dump

android hooking watch class_method com.cz.babySister.c.a.a --dump-args --dump-backtrace --dump-return

强混淆APP

adb push okhttpfind.dex /data/local/tmp/

chmod 777 *

frida -U -l okhttp_poker.js -f org.sfjboldyvukzzlpp --no-pause

nano okhttp_poker.js

android hooking list classes

objection -g com.cz.babySister explore -c "/root/Desktop/2.txt"

参考资料

Android 内核历险记：深入了解编译、定制和应用程序分析

安卓逆向2025 Frida学习之ollvm分析（三）

安卓壳学习记录（上）

安卓逆向2025 Frida学习之ollvm分析（一）

某银行员工维修APP渗透测试总结

Android13 安装 yakit 证书

安卓逆向某app signature参数分析

安卓逆向 unidbg 0.9.8 解决java高版本anjuke示例代码空指针异常问题

一次惊险又有趣的APP漏洞挖掘

绕过检测终极指南:KernelSU环境下的Frida Hook与eCapture全协议抓包

在线咨询

微信