首页
论坛
课程
招聘
雪    币: 2984
活跃值: 活跃值 (285)
能力值: ( LV12,RANK:204 )
在线值:
发帖
回帖
粉丝

[原创] 关于抓包的碎碎念

2020-7-27 16:25 3638

[原创] 关于抓包的碎碎念

2020-7-27 16:25
3638

0x01

抓包是作为apk分析的首要切入点,获取apk的通信协议的必要手段。常见的抓包手段是基于中间人攻击来进行的,还有另外一种抓包手段是基于手机VPN进行的。这里将罗列常见的抓包手段,以及SSL Pinning手段的对抗。

正文

基于中间人攻击的抓包

比较常规的抓包手段,常用的抓包工具有Burpsuite、Charles、Fiddler、Mitmproxy等等。通常在手机端安装工具的证书,如若抓取的手机客户端未做SSL pinning便可直接进行抓包。

手机APP不走代理

通常有些APP为了防止被抓包,会设置APP默认不走代理,在分析的时候你会发现即使你设置了APP代理,也不影响APP的正常通信。通过tcpdump抓取网络报文可以发现app直接和服务器建立了连接而没有和代理建立连接。对应Java代码如下。

OkHttpClient client = new OkHttpClient().newBuilder().proxy(Proxy.NO_PROXY).build();

这种情况下可以通过建立VPN服务,直接将流量导向我们的抓包工具。当然也有现成的工具,如SocksDroid直接将流量导向抓包工具,Burpsuite是不支持socks5代理的,可以使用Charles设置Socks5代理,然后设置Charles的上游代理到Burpsuite。
还有的检测手段就是检测代理状态,如果设置代理了就拒绝通信,这种情况下也可以使用SocksDroid工具直接转发流量,这种情况下检测不到代理,另外的方法就是将检测的代码Bypass掉。
之前遇到过用Flutter写的应用,这种应用默认不走系统代理,所以也使用SocksDroid进行流量转发,然后需要注意的是需要将抓包证书安装在System Level而不是User Level。因为在User level的证书,应用是不信任的。

 

[安装系统证书] https://blog.ropnop.com/configuring-burp-suite-with-android-nougat/

证书绑定(单向绑定)

证书绑定的安全策略在目前的APP开发中是越来越常见了,其根本策略就是检测客户端发来的证书是否合法,一般在APP中会硬编码合法的服务端证书信息,然后进行对比,笔者见的比较多的是OkHttp3中的一些SSL Pinning策略,而且很多APP也是使用的OKHttp3框架进行流量通信,比较常见的就是实现 HostnameVerifier接口中的verify函数,其verify函数中实现检测逻辑,返回值是boolean类型,常见的bypass策略就是Hook verify函数使其返回true。那么如何找到verify函数呢?下面将列举常见的方法:

  1. frida-trace

    frida-trace
     -U \
     -F \
     --runtime=v8 \
     -j '*!verify/iu'
    

    图片描述
    可以看到的确调用了verify函数,上图是我在没有设置代理的情况下返回的是true。

  2. frida Java.enumerateMethods
    前不久frida提供了枚举Methods的接口,这样就比以前更易于操作了,不然之前得枚举类然后得到方法。使用以下脚本便可

    const groups = Java.enumerateMethods('*!verify/u')
    // console.log(JSON.stringify(groups, null, 2));
    var classes = null;
    for(var i in groups){
     var classes = groups[i]['classes']
    
     for(var i in classes){
         Java.use(classes[i]['name'])
         .verify
         .overload('java.lang.String', 'javax.net.ssl.SSLSession')
         .implementation = function(){
             console.log("[+] invoke verify");
             return true
         }
     }
    }
    
  3. 找到verify函数,直接Hook
    此方法不能实现通用脚本

  4. 上述情况是针对okhttp3的情况说明的,如遇到其他框架请采用网上集成的bypass脚本。

https://raw.githubusercontent.com/WooyunDota/DroidSSLUnpinning/master/ObjectionUnpinningPlus/hooks.js

证书绑定(双向绑定)

双向绑定即客户端验证服务端证书,服务端验证客户端证书。要实现抓包需要绕过客户端对服务端的校验,以及服务端对客户端的证书校验,首先绕过客户端对服务端的校验一般采用以上方法即可。绕过服务端的校验一般需要提取嵌入在客户端中的证书,有的开发者将此加密了,有的可以在assets目录中找到,以及raw目录中。对于加密的证书提取,可以Hook Keystore的load方法

Java.perform(function () {
    var StringClass = Java.use("java.lang.String");
    var KeyStore = Java.use("java.security.KeyStore");
    KeyStore.load.overload('java.security.KeyStore$LoadStoreParameter').implementation = function (arg0) {
        console.log("KeyStore.load1:", arg0);
        this.load(arg0);
    };
    KeyStore.load.overload('java.io.InputStream', '[C').implementation = function (arg0, arg1) {
        send(arg0)
        console.log("KeyStore.load2:", arg0, arg1 ? StringClass.$new(arg1) : null);
        this.load(arg0, arg1);
    };
});

图片描述
比如上述策略,证书是经过加密保存在apk中的,取出来先进行解密,然后使用Keystore进行加载,这时候可以通过Hook load方法得到证书以及证书的密钥,然后将证书导入到Burpsuite中,便可抓取报文。

奇淫技巧抓包

0x01 Hook SSL_write SSL_read
var ssl_write = Module.getExportByName(null,"SSL_write");
var ssl_read = Module.getExportByName(null,"SSL_read");
Interceptor.attach(ssl_write,
{
    onEnter: function (args)
    {
      send(,Memory.readByteArray(args[1], parseInt(args[2])));
    },
    onLeave: function (retval){
}
Interceptor.attach(ssl_read,
{
    onEnter: function (args)
    {
      send(,Memory.readByteArray(args[1], parseInt(args[2])));
    },
    onLeave: function (retval){
 }

https://sec.mrfan.xyz/2019/12/16/%E5%AE%89%E5%8D%93%E6%B5%8B%E8%AF%95%E4%B9%8BHook%20SSL_read%E5%92%8CSSL_write/
https://github.com/fanxs-t/Android-SSL_read-write-Hook/blob/master/frida-hook.py
这种方式抓取的是未经加密的报文,经测试,有的场景下无效。

0x02 SSL key logger

这种技巧相当于PC上运行chrome设置SSLLOGFILE环境变量记录SSL协商的密钥,在android上,默认未设置需要通过Hook进行设置

frida -U -f com.realcloud.loochadroid.college -l hook.js --no-pause -o key

 

抓出来是这样的格式
图片描述

function startTLSKeyLogger(SSL_CTX_new, SSL_CTX_set_keylog_callback) {
    function keyLogger(ssl, line) {
        console.log(new NativePointer(line).readCString());
    }
    const keyLogCallback = new NativeCallback(keyLogger, 'void', ['pointer', 'pointer']);

    Interceptor.attach(SSL_CTX_new, {
        onLeave: function(retval) {
            const ssl = new NativePointer(retval);
            const SSL_CTX_set_keylog_callbackFn = new NativeFunction(SSL_CTX_set_keylog_callback, 'void', ['pointer', 'pointer']);
            SSL_CTX_set_keylog_callbackFn(ssl, keyLogCallback);
        }
    });
}
startTLSKeyLogger(
    Module.findExportByName('libssl.so', 'SSL_CTX_new'),
    Module.findExportByName('libssl.so', 'SSL_CTX_set_keylog_callback')
)

使用方法,在程序spwan前使用tcpdump dump流量。然后wireshark设置TLS Logfile的位置
图片描述
图片描述
参考链接:https://codeshare.frida.re/@k0nserv/tls-keylogger/

0x03 CE扫描内存

这种方式是实在没有办法采用的方法,通过扫描关键字如HTTP、接口信息搜出http报文。

总结

获取HTTPS报文的方式多种多样,下面是此篇文章参考的文章
https://hackmag.com/security/ssl-sniffing/ 这是一篇讲通用SSL Pinning Bypass的方法
http://www.moserware.com/2009/06/first-few-milliseconds-of-https.html SSL建立流程



HWS计划·2020安全精英夏令营来了!我们在华为松山湖欧洲小镇等你

最后于 2020-7-27 16:30 被ChenSem编辑 ,原因:
最新回复 (10)
雪    币: 280
活跃值: 活跃值 (191)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
darbra 活跃值 2020-7-27 17:09
2
0
感谢大佬分享 大佬优秀
雪    币: 10
活跃值: 活跃值 (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
bluegatar 活跃值 2020-7-27 18:17
3
0
博大精深
雪    币:
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
wx_ Kevin Chou 活跃值 2020-7-28 07:43
4
0
果斷先讚再看~ 寫的很詳細....
雪    币: 1280
活跃值: 活跃值 (48)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
愤怒的平头哥 活跃值 2020-7-28 09:39
5
0
感谢大佬分享
雪    币: 4797
活跃值: 活跃值 (2735)
能力值: (RANK:65 )
在线值:
发帖
回帖
粉丝
Editor 活跃值 2020-7-28 13:29
6
0
感谢分享啊!
雪    币: 567
活跃值: 活跃值 (5466)
能力值: ( LV9,RANK:166 )
在线值:
发帖
回帖
粉丝
0x指纹 活跃值 3 2020-7-28 15:46
7
0
感谢分享!
雪    币: 602
活跃值: 活跃值 (71)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
Loopher 活跃值 2020-7-29 14:09
8
0
感谢分享!
雪    币: 222
能力值: ( LV1,RANK:0 )
在线值:
发帖
回帖
粉丝
Lateautumn4 活跃值 2020-8-3 11:31
9
0
收藏收藏
雪    币: 36
活跃值: 活跃值 (13)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
木鲤鱼 活跃值 2020-8-3 16:56
10
0
有啥 方式 可以对抗hook 的呢?
雪    币: 2984
活跃值: 活跃值 (285)
能力值: ( LV12,RANK:204 )
在线值:
发帖
回帖
粉丝
ChenSem 活跃值 1 2020-8-3 17:00
11
0
木鲤鱼 有啥 方式 可以对抗hook 的呢?
对抗Hook,那就对抗Hook之类的工具呗。判断是否存在Hook工具运行啥的。
游客
登录 | 注册 方可回帖
返回