【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包

admin 2025年5月5日22:53:41评论1 views字数 2368阅读7分53秒阅读模式
【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包

声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢

文章有疑问的,可以公众号发消息问我,或者留言。我每天都会看的。

【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包

字数 494,阅读大约需 3 分钟

前言

之前写了一篇frida在linux上执行的.

tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包

但有师傅反馈在Windows上不行。我之前在测试的时候,看了源码,其实在Windows上是可以的,只不过可能没办法一键完成。

Windows上执行frida-analykit

项目地址:https://github.com/ZSA233/frida-analykit

pip install -r requirements.txt

在frida-analykit同级目录下执行

python frida-analykit/gen.py dev

会报错:

【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包
c771ac2e74eddfbf2addf0c5a0315194.png

这是因为原项目用到了依赖linux的包,但其实不用管,我们可以手动执行。

在frida-analykit同级目录下执行

npm install

配置config.yml

app: com.frida_analykit.ssl_log_secretjsfile: _agent.jsserver:  servername: /data/local/tmp/frida-server  host: 192.168.1.9:27123  device:agent:  datadir: ./data/  stdout: ./logs/outerr.log  stderr: ./logs/outerr.logscript:  nettools:    # 要输出sslkey.log文件的路径    ssl_log_secret: ./data/nettools/sslkey/

启动frida-compile文件监听编译

# 执行下面命令行来监听index.ts脚本的修改变动以实时编译生成_agent.jsnpm run watch

启动frida-server服务

./fs1625 -l 0.0.0.0:27123 &

脚本直接运行

python frida-analykit/main.py spawn

出现如下页面

【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包
814ad6d7fc50d94cafe8c72e31db311d.png

准备hook,执行命令如下

# 获取js层的全局变量:Process>>> proc = script.jsh('Process')# 获取js层的全局变量:SSLTools>>> ssltools = script.jsh('SSLTools')>>> ssltools.attachLibsslKeylogFunc()
【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包
df8cadfc46f96f18ca23fdf7cc67db4a.png

此时,在data目录下,成功生成文件sslkey.log

【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包
30fe44a23dcf45d1879ed0af2f5fe7b8.png
【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包
c8414d93ac93251b4eaeadd0116c2cb0.png

配置wireshark

编辑——》首选项——》protocols——》tls

【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包
c3b245fd2db48631fa18d14ad0fbee30.png

android上

# tcpdump 将80端口和443端口的请求发送到11111端口,如果https是其他端口,则修改下面的443tcpdump -i wlan0 -s0 'tcp port 80 or tcp port 443' -w -  | nc -l -p 11111

wireshark所在的机器

因为是Windows,默认没有nc,需要我们下载。

Windows版本的nc:https://eternallybored.org/misc/netcat/下载后,杀毒软件会报毒。毕竟是ncat。用不用,或者从别的地方下载都可以。出了事情,我不负责。

微步的报告放这个了:https://s.threatbook.com/report/file/49e16999db7bb33a58f949ef605020c52de4722582e83871481e7ad80ee19b86

【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包
a22ba5d59eddc21d96b89047c0f6602c.png

如果你的wireshark能直接抓包apk的包,完全不需要这一步nc。

# adb 端口转发adb forward tcp:11111 tcp:11111# wireshark的本地路径nc localhost 11111 | "C:Program FilesWiresharkWireshark.exe" -k -S -i -

wireshark结果

【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包
bbac2f4d9a57ad247ee10322ca3887a2.png
【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包
b472089bafa24039e4b51eda6e6662fa.png

参考资料

  • Wireshark分析https流量 https://blog.csdn.net/hacode/article/details/126828569
  • frida-analykit wireshark 流量抓包(上)- 初探libssl体验wireshark无视证书校验的实时https抓包 https://bbs.kanxue.com/thread-286510.htm
  • frida-analykit wireshark 流量抓包(下)- 通杀flutter和webview等常规静态链接boringssl的tls流量解密 https://bbs.kanxue.com/thread-286620.htm

原文始发于微信公众号(进击的HACK):【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月5日22:53:41
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包https://cn-sec.com/archives/4030735.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息