2022年1月6日01:13:34评论187 views字数 5129阅读17分5秒阅读模式

平常在进行APP测试的时候发现存在了很多问题，现在总结记录一下对应的知识，都在这遍文章下记录更新，老规矩先放一张图

抓包

校验服务端HTTPS证书

导入Burp证书

导出之后使用

adb push xxx.cer sdard

然后在手机设置中找到安全，选择从SD卡安装证书

也可以开启代理，手机访问 ip:port 手动下载

HTTPS证书绑定

只认定特定的HTTPS证书，其他证书全部拒绝连接

ROOT设备安装Xposed后安装JustTurstMe

网上文章比较多可以自己搜索

eg:https://zhuanlan.zhihu.com/p/36538699

非ROOT设备使用VirtualXposed安装JustTrustMe

网上文章比较多可以自己搜索

eg：

VirtualXposed ：https://nsapps.cn/index.php/archives/23/

太极：https://bbs.pediy.com/thread-258036.htm

HTTPS双向证书绑定

HOOK对应的证书加载函数，导入burp进行抓包

KeyStore.load.overload('java.security.KeyStore$LoadStoreParameter').implementation = function (arg0) 
KeyStore.load.overload('java.io.InputStream', '[C').implementation = function (arg0, arg1)

可以看到成功hook到证书和密码，保存并导入User options-TLS-Client TLS Certificates即可

检测代理

很多APP中会设置如下检测：

String property = System.getProperty("https.proxyHost");
String property = System.getProperty("https.proxyPort");
if(!TextUtils.isEmpty(property)){
	return new Proxy(Proxy,Type.HTTP, new InetSockerAddress(Property, Integer.parseInt(property2)))
}

安装ProxyDroid

下载地址：https://proxydroid.cn.uptodown.com/android

打开之后授予root权限

1). 对ProxyDroid进⾏配置（基本配置）

Auto Setting不勾选，我们⼿动进⾏配置。

Host：输⼊代理服务器IP。

Port：输⼊代理服务器端⼝。

Proxy Type选择代理服务器提供服务类型：我们这⾥选择HTTP。

Auto Connect为当2G/3G/WIFI⽹络开启时，⾃动开启代理服务。不勾选，我们⼿动启动，以获取最⼤灵活性。

Bypass Addresses：相当于⿊名单列表，选择排除代理的IP范围，有需要的可以⾃⼰⼿动设置。

2). 认证信息配置：

Enable Authentication：如果代理服务器需要账户、密码认证，勾选。

User：认证账户名。

Password：认证密码。

NTLM Authentication：NTLM/ NTLM2，Windows早期的⼀种认证⽅式，不⽤勾选。

3). 特征设置：

Global Proxy：⼀定要勾选，即为全局代理，代理所有App

Individual Proxy：单独代理所选App，勾选了第⼀条的不⽤管。

Bypass Mode：勾选了代表第⼆条中所选App不代理，勾选了第⼀条的不⽤管。

DNS Proxy：开启DNS代理。

4). 通知设置：

Ringtone：选择通知铃声。

Vibrate：

5). 都设置完成后，开启Proxy Switch即可。注意：如果使⽤ProxyDroid，⽆需在系统wifi处设置代理。

同理的

使用Burp透明代理模式

我们使用Burp的透明代理模式，在BurpSuite中监听80和443这两个端口，并且将其设置为透明代理模式：

手机连接电脑，以下命令：

adb shell
su
iptables -t nat -A OUTPUT -d 0.0.0.0/0 -p tcp -j DNAT --to 172.20.10.3

逆向检测代理位置，Patch或者HOOK等

流量不通过代理

使用ProxyDroid或者Postern

ProxyDroid上文已经介绍Postern配置如下

使用Proxifier进行绕过

此方法适用于被分析应用程序正常运行于模拟器中，整体思路如下：

安卓模拟器网络进程 --Proxifier代理 --Burpsuite

在Proxifier中添加proxy

对于Mac下的MuMu的配置如下：

对于Mac下的夜神配置如下：

其他模拟器思路类似

使用传输层协议

使用TCP或UDP

解决方法：WireShark

1). tcpdump 是⼀个运⾏在 Linux 平台的可执⾏ ELF ⽂件 https://www.androidtcpdump.com/android-tcpdump/downloads 下载⼆进制⽂件

2). 由于依赖adb，⾸先在 macOS 安装adb，命令如下：

$ brew cask install android-platform-tools

3).拥有设备root权限

$ adb push tcpdump /data/local/tmp
# adb shell
# su
# chmod 755 tcpdump
# ./tcpdump -i any -p -s 0 -w /sdcard/capture.pcap
$ adb pull /sdcard/capture.pcap /pcpath
使⽤Wireshark打开 pcap⽂件
$ wireshark /pcpath/capture.pcap

使用VPN

需要具体分析

通信数据加解密/签名

Frida

Httpdecrypt

httpdecrypt

Hook

Inspeckage

在看源码等待更新

Hook HTTP/HTTPS

使用系统中SSL库

xposed

java

java.androidVersion > 8
	ConscryptFileDescriptorSocket
		解释：
			基于OpenSSLSocketlmpl的实现
		路径：
			http://aosp.opersys.com/xref/android-10.0.0_r47/xref/external/conscrypt/repackaged/common/src/main/java/com/android/org/conscrypt/ConscryptFileDescriptorSocket.java#123
		理解：
			android中openssl的实现，存在数据加解密的读写接口
		com.android.org.conscrypt.ConscryptFileDescriptorScoket$SSLOutputStream.write('[B','int','int')
		com.android.org.conscrypt.ConscryptFileDescriptorScoket$SSLIntputStream.read('[B','int','int')

java.androidVersion <= 8
    OpenSSLSocketlmpl
        解释：
            OpenSSL实现
        路径：
            http://aosp.opersys.com/xref/android-8.0.0_r51/xref/external/conscrypt/common/src/main/java/org/conscrypt/OpenSSLSocketImpl.java
        理解：
            android中openssl的实现，存在数据加解密的读写接口

        com.android.org.conscrypt.ConscryptFileDescriptorSocket$SSLOutputStream.write('[B','int','int')
        com.android.org.conscrypt.ConscryptFileDescriptorSocket$SSLInputStream.read('[B','int','int')

native

/system/lib/libssl.so库中的SSL_read()和SSL_write()
说明：
	Java中的SSLOutputSteam.write()和SSLInputStream.read()实际上就是对libssl.so库的SSL_write()和SSL_read()包装调用

frida

java

java.use("com.android.org.conscrypt.ConscryptFileDescriptorSocket$SSLOutputStream").write.overload('[B','int','int').implementation
java.use("com.android.org.conscrypt.ConscryptFileDescriptorSocket$SSLInputStream").read.overload('[B','int','int').implementation
java.use("com.android.org.conscrypt.OpenSSLSocketImpl$SSLOutputStream").write.overload('[B'，'int','int').implementation
java.use("com.android.org.conscrypt.OpenSSLSocketImpl$SSLInputStream").Read.overload('[B'，'int','int').implementation

native

Interceptor.attach(address['SSL_read'])
Interceptor.attach(address['SSL_write'])

协议使用了自我集成的SSL类库

举出一些常用的例子

1.Chrome

Android L & M libchrome.so
Android N, O & P libmonochrome.so

2.系统内置webview

使用(pm path com.google.android.webview)得到webview的路径

3.浏览器APP的webviewer

OPPO
	libheytapwebview.so
华为
	libhwwebviewchromium.so
小米
	libmiui_chromium.so
vivo
	libwebviewchromium_vivo.so

4.基于Chromium的第三方浏览器内核

腾讯系的APP
	libmttwebview.so x5内核
阿里系的APP
	libwebviewuc.so UC的U4内核
各种小程序
	libxwalkcore.so CrossWalk内核

5.微信(使用多内核的APP)

有些APP回使用多个内核，以微信为例，同时使用了X5和CrossWalk内核
	x5
	com.tencent.mm.tools进程
聊天界面点开的webview、支付里的页面(长按下啦提示使用x5内核的都可以)
	CrossWalk
		长按下拉未提示x5
	com.tencent.mm:toolsmp进程
		公众号文章、搜一搜
	com.tencent.mm:appbrand进程
		小程序

native

1.对于native库，写脚本定位APP自带的SSL_read和SSL_write的偏移量，工程性质问题
	https://mabin004.github.io/2020/07/24/自动定位webview中的SLL-read和SSL-write/
	https://nytrosecurity.com/2018/02/26/hooking-chromes-ssl-functions/

FROM :ol4three.com | Author:ol4three

免责声明:文章中涉及的程序(方法)可能带有攻击性，仅供安全研究与教学之用，读者将其信息做其他用途，由读者承担全部法律及连带责任，本站不承担任何法律及连带责任；如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截，联系方式见首页)，望知悉。

左青龙
微信扫一扫

右白虎
微信扫一扫

抓包

校验服务端HTTPS证书

导入Burp证书

HTTPS证书绑定

ROOT设备安装Xposed后安装JustTurstMe

非ROOT设备使用VirtualXposed安装JustTrustMe

HTTPS双向证书绑定

检测代理

安装ProxyDroid

使用Burp透明代理模式

逆向检测代理位置，Patch或者HOOK等

流量不通过代理

使用ProxyDroid或者Postern

使用Proxifier进行绕过

使用传输层协议

使用VPN

通信数据加解密/签名

Frida

Httpdecrypt

Hook

Inspeckage

Hook HTTP/HTTPS

使用系统中SSL库

xposed

java

native

frida

java

native

协议使用了自我集成的SSL类库

native

发表评论

在线咨询

微信