声明:文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用,任何人不得将其用于非法用途给予盈利等目的,否则后果自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
文章有疑问的,可以公众号发消息问我,或者留言。我每天都会看的。
字数 494,阅读大约需 3 分钟
前言
之前写了一篇frida在linux上执行的.
tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包
但有师傅反馈在Windows上不行。我之前在测试的时候,看了源码,其实在Windows上是可以的,只不过可能没办法一键完成。
Windows上执行frida-analykit
项目地址:https://github.com/ZSA233/frida-analykit
pip install -r requirements.txt
在frida-analykit同级目录下执行
python frida-analykit/gen.py dev
会报错:
这是因为原项目用到了依赖linux的包,但其实不用管,我们可以手动执行。
在frida-analykit同级目录下执行
npm install
配置config.yml
app: com.frida_analykit.ssl_log_secretjsfile: _agent.jsserver: servername: /data/local/tmp/frida-server host: 192.168.1.9:27123 device:agent: datadir: ./data/ stdout: ./logs/outerr.log stderr: ./logs/outerr.logscript: nettools: # 要输出sslkey.log文件的路径 ssl_log_secret: ./data/nettools/sslkey/
启动frida-compile文件监听编译
# 执行下面命令行来监听index.ts脚本的修改变动以实时编译生成_agent.jsnpm run watch
启动frida-server服务
./fs1625 -l 0.0.0.0:27123 &
脚本直接运行
python frida-analykit/main.py spawn
出现如下页面
准备hook,执行命令如下
# 获取js层的全局变量:Process>>> proc = script.jsh('Process')# 获取js层的全局变量:SSLTools>>> ssltools = script.jsh('SSLTools')>>> ssltools.attachLibsslKeylogFunc()
此时,在data目录下,成功生成文件sslkey.log
配置wireshark
编辑——》首选项——》protocols——》tls
android上
# tcpdump 将80端口和443端口的请求发送到11111端口,如果https是其他端口,则修改下面的443tcpdump -i wlan0 -s0 'tcp port 80 or tcp port 443' -w - | nc -l -p 11111
wireshark所在的机器
因为是Windows,默认没有nc,需要我们下载。
Windows版本的nc:https://eternallybored.org/misc/netcat/下载后,杀毒软件会报毒。毕竟是ncat。用不用,或者从别的地方下载都可以。出了事情,我不负责。
微步的报告放这个了:https://s.threatbook.com/report/file/49e16999db7bb33a58f949ef605020c52de4722582e83871481e7ad80ee19b86
如果你的wireshark能直接抓包apk的包,完全不需要这一步nc。
# adb 端口转发adb forward tcp:11111 tcp:11111# wireshark的本地路径nc localhost 11111 | "C:Program FilesWiresharkWireshark.exe" -k -S -i -
wireshark结果
参考资料
-
Wireshark分析https流量 https://blog.csdn.net/hacode/article/details/126828569 -
frida-analykit wireshark 流量抓包(上)- 初探libssl体验wireshark无视证书校验的实时https抓包 https://bbs.kanxue.com/thread-286510.htm -
frida-analykit wireshark 流量抓包(下)- 通杀flutter和webview等常规静态链接boringssl的tls流量解密 https://bbs.kanxue.com/thread-286620.htm
原文始发于微信公众号(进击的HACK):【Windows版】tcpdump + wireshark 联动 frida,实现APP无感抓取HTTPS数据包
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论