2024年网络安全最全如何解决APP抓包问题【网络安全】_app 防止抓包

于 2024-05-03 20:10:20 发布
阅读量1k 收藏 16
点赞数 16
分类专栏: 程序员 文章标签: web安全 数据库 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84302796/article/details/138423509
版权

openssl genrsa -out key.pem 3072 -nodes
openssl req -new -x509 -key key.pem -sha256 -config openssl.cnf -out cert.pem -days 730 -subj “/C=JP/ST=/L=/O=m4bln/CN=MY CA”
openssl pkcs12 -export -inkey key.pem -in cert.pem -out cert_and_key.pfx
把cert_and_key.pfx导入burp

复制代码


目前还没遇到过这种情况,但是如果遇到了这种问题要知道怎么解决。



> 
> 以上两种方法都是仅依靠了系统校验证书的方式进行抓包,APP在整个请求HTTPS的请求过程时还并未进行证书校验,和在普通的浏览器中访问并无区别,只是要将想要被信任的证书放入系统证书路径内。
> 
> 
> 


### 4.SSLPinning


对于像ttt.com这种自签名的免费证书,不需要CA权威认证的证书,大多数APP开发商都会使用。那么如果在安卓开发的过程中,将证书的验证逻辑放在APP内部,与系统和浏览器毫无相关,这时再想将burp证书导入系统受信任路径下也于事无补了。


APP自己校验证书,分为两种,一种是将验证逻辑也在代码中,一种是写在安卓7.0之后才有的`network-security-config`中。


验证是方式也有两种,一种是验证证书公钥的hash值,一种是直接验证证书的公钥文件。


这种通过APP自身的验证方式就叫做证书绑定(也叫`Certificate Pinning`或`SSL Pinning`)。


那么如何去判断一个APP是否使用了证书绑定呢?首先拿到apk文件,用apktool工具进行反编译,查看敏感文件

apktool d -s <file.apk> -o

复制代码


开发人员经常会将网络配置的相关文件保存到指定位置,如下图就指定在了xml目录下。 ![image.png](https://img-blog.csdnimg.cn/img_convert/1c8ee16ea5fce11819b61a25c027fb53.webp?x-oss-process=image/format,png)


所以在反编译后的res/xml目录下会有一个`network_security_config.xml`文件,打开看到标签,说明使用了证书绑定机制。


![image.png](https://img-blog.csdnimg.cn/img_convert/4cf4eb9cfc5b6b06abd62202348d00f5.webp?x-oss-process=image/format,png)


#### 在配置文件中检验的两种方法




<!--证书校验-->
<domain-config>
    <domain includeSubdomains="true">www.ttt.com</domain>
    <trust-anchors>
        <certificates src="@raw/ttt"/>
    </trust-anchors>
</domain-config>

<!--公钥校验-->
<domain-config cleartextTrafficPermitted="true">
    <domain includeSubdomains="true">ttt.com</domain>
    <!--利用xml校验证书公钥的hash值-->
    <pin-set expiration="2099-01-01"
        tools:ignore="MissingBackupPin">
        <pin digest="SHA-256">7VMdvZE3PGbxb0Pgf1PlCp+MI8KZ2ZC5psM8TIylNDA=</pin>
    </pin-set>
    <!--利用xml校验证书的公钥文件-->
    <trust-anchors>
        <certificates src="@raw/ttt"/>
    </trust-anchors>
</domain-config>

复制代码


这两种校验机制出现一种即可,从代码中可以看出,ttt.com就是安卓自己要校验绑定的域名。


如果只是在这个文件进行校验,有两种解决方案:一是直接将文件中校验的部分或注释掉,再重新打包和签名即可,但是这过程又有些麻烦,并不是上上策,如果遇到了不能重打包的apk就尴尬了。。。二是最常用的也是最好用的frida来hook关键函数进行绕过,后面会讲解。当然有些人会直接在真机或者模拟器上安装xposed模块,但是我个人觉得每次使用都要软重启,可能还会造成卡机,所以感觉还是使用frida最方便。


#### 在代码中检验的两种方法


1.利用代码校验证书的公钥hash

String hostname = “www.ttt.com”;
CertificatePinner certificatePinner = new CertificatePinner.Builder()
.add(hostname, “sha256/7VMdvZE3PGbxb0Pgf1PlCp+MI8KZ2ZC5psM8TIylNDA=”)
.build();
OkHttpClient client = new OkHttpClient.Builder()
.certificatePinner(certificatePinner)
.hostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
return true;
}
}).build();

复制代码


2.利用代码校验证书的公钥证书文件

// 获取证书输入流
InputStream openRawResource = getApplicationContext().getResources().openRawResource(R.raw.ttt);
Certificate ca = CertificateFactory.getInstance(“X.509”).generateCertificate(openRawResource);
// 创建 Keystore 包含我们的证书
KeyStore keyStore = KeyStore.getInstance(KeyStore.getDefaultType());
keyStore.load(null, null);
keyStore.setCertificateEntry(“ca”, ca);
// 创建一个 TrustManager 仅把 Keystore 中的证书 作为信任的锚点
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm()); // 建议不要使用自己实现的X509TrustManager,而是使用默认的X509TrustManager
trustManagerFactory.init(keyStore);
// 用 TrustManager 初始化一个 SSLContext
sslContext = SSLContext.getInstance(“TLS”); //定义:public static SSLContext sslContext = null;
sslContext.init(null, trustManagerFactory.getTrustManagers(), new SecureRandom());

OkHttpClient client = new OkHttpClient.Builder()
.sslSocketFactory(sslContext.getSocketFactory(),
(X509TrustManager) trustManagerFactory.getTrustManagers()[0] )
.hostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
return true;
}
}).build();

复制代码


通过frida进行hook,这种绕过的脚本也很多,比较熟悉的有JustTrustMe和`DroidSSLUnpinning`,他们的底层原理都是一样的,通过hook关键的验证函数,进行逻辑绕过。


frida的安装过程就不详细讲解了,网上很多教程。这里我使用的是`frida 12.8.0 + frida-tools=5.3.0`


这里我使用的hook.js的脚本如下:

/* Android ssl certificate pinning bypass script for various methods
by Maurizio Siddu modify by Ch3nYe

Run with:
frida -U -f [APP_ID] -l frida_multiple_unpinning.js --no-pause
*/
setTimeout(function() {
Java.perform(function () {
console.log(‘’);
console.log(‘‘);
console.log(’[#] Android Bypass for various Certificate Pinning methods [#]‘);
console.log(’’);

var X509TrustManager = Java.use(‘javax.net.ssl.X509TrustManager’);
var SSLContext = Java.use(‘javax.net.ssl.SSLContext’);

// TrustManager (Android < 7) //

var TrustManager = Java.registerClass({
// Implement a custom TrustManager
name: ‘dev.asd.test.TrustManager’,
implements: [X509TrustManager],
methods: {
checkClientTrusted: function (chain, authType) {},
checkServerTrusted: function (chain, authType) {},
getAcceptedIssuers: function () {return []; }
}
});
// Prepare the TrustManager array to pass to SSLContext.init()
var TrustManagers = [TrustManager.$new()];
// Get a handle on the init() on the SSLContext class
var SSLContext_init = SSLContext.init.overload(
‘[Ljavax.net.ssl.KeyManager;’, ‘[Ljavax.net.ssl.TrustManager;’, ‘java.security.SecureRandom’);
try {
// Override the init method, specifying the custom TrustManager
SSLContext_init.implementation = function(keyManager, trustManager, secureRandom) {
console.log(‘[+] Bypassing Trustmanager (Android < 7) request’);
SSLContext_init.call(this, keyManager, TrustManagers, secureRandom);
};
} catch (err) {
console.log(‘[-] TrustManager (Android < 7) pinner not found’);
//console.log(err);
}

// OkHTTPv3 (quadruple bypass) //
/
try {
// Bypass OkHTTPv3 {1}
var okhttp3_Activity_1 = Java.use(‘okhttp3.CertificatePinner’);
okhttp3_Activity_1.check.overload(‘java.lang.String’, ‘java.util.List’).implementation = function (a, b) {
console.log(‘[+] Bypassing OkHTTPv3 {1}: ’ + a);
return true;
};
} catch (err) {
console.log(’[-] OkHTTPv3 {1} pinner not found’);
//console.log(err);
}
try {
// Bypass OkHTTPv3 {2}
// This method of CertificatePinner.check could be found in some old Android app
var okhttp3_Activity_2 = Java.use(‘okhttp3.CertificatePinner’);
okhttp3_Activity_2.check.overload(‘java.lang.String’, ‘java.security.cert.Certificate’).implementation = function (a, b) {
console.log(‘[+] Bypassing OkHTTPv3 {2}: ’ + a);
return true;
};
} catch (err) {
console.log(’[-] OkHTTPv3 {2} pinner not found’);
//console.log(err);
}
try {
// Bypass OkHTTPv3 {3}
var okhttp3_Activity_3 = Java.use(‘okhttp3.CertificatePinner’);
okhttp3_Activity_3.check.overload(‘java.lang.String’, ‘[Ljava.security.cert.Certificate;’).implementation = function (a, b) {
console.log(‘[+] Bypassing OkHTTPv3 {3}: ’ + a);
return true;
};
} catch(err) {
console.log(’[-] OkHTTPv3 {3} pinner not found’);
//console.log(err);
}
try {
// Bypass OkHTTPv3 {4}
var okhttp3_Activity_4 = Java.use(‘okhttp3.CertificatePinner’);
okhttp3_Activity_4[‘’].implementation = function (a, b) {
console.log(‘[+] Bypassing OkHTTPv3 {4}: ’ + a);
};
} catch(err) {
console.log(’[-] OkHTTPv3 {4} pinner not found’);
//console.log(err);
}

// Trustkit (triple bypass) //
//
try {
// Bypass Trustkit {1}
var trustkit_Activity_1 = Java.use(‘com.datatheorem.android.trustkit.pinning.OkHostnameVerifier’);
trustkit_Activity_1.verify.overload(‘java.lang.String’, ‘javax.net.ssl.SSLSession’).implementation = function (a, b) {
console.log(‘[+] Bypassing Trustkit {1}: ’ + a);
return true;
};
} catch (err) {
console.log(’[-] Trustkit {1} pinner not found’);
//console.log(err);
}
try {
// Bypass Trustkit {2}
var trustkit_Activity_2 = Java.use(‘com.datatheorem.android.trustkit.pinning.OkHostnameVerifier’);
trustkit_Activity_2.verify.overload(‘java.lang.String’, ‘java.security.cert.X509Certificate’).implementation = function (a, b) {
console.log(‘[+] Bypassing Trustkit {2}: ’ + a);
return true;
};
} catch (err) {
console.log(’[-] Trustkit {2} pinner not found’);
//console.log(err);
}
try {
// Bypass Trustkit {3}
var trustkit_PinningTrustManager = Java.use(‘com.datatheorem.android.trustkit.pinning.PinningTrustManager’);
trustkit_PinningTrustManager.checkServerTrusted.implementation = function () {
console.log(‘[+] Bypassing Trustkit {3}’);
};
} catch (err) {
console.log(‘[-] Trustkit {3} pinner not found’);
//console.log(err);
}

// TrustManagerImpl (Android > 7) //

try {
var TrustManagerImpl = Java.use(‘com.android.org.conscrypt.TrustManagerImpl’);
TrustManagerImpl.verifyChain.implementation = function (untrustedChain, trustAnchorChain, host, clientAuth, ocspData, tlsSctData) {
console.log(‘[+] Bypassing TrustManagerImpl (Android > 7): ’ + host);
return untrustedChain;
};
} catch (err) {
console.log(’[-] TrustManagerImpl (Android > 7) pinner not found’);
//console.log(err);
}

// Appcelerator Titanium //
///
try {
var appcelerator_PinningTrustManager = Java.use(‘appcelerator.https.PinningTrustManager’);
appcelerator_PinningTrustManager.checkServerTrusted.implementation = function () {
console.log(‘[+] Bypassing Appcelerator PinningTrustManager’);
};
} catch (err) {
console.log(‘[-] Appcelerator PinningTrustManager pinner not found’);
//console.log(err);
}

// OpenSSLSocketImpl Conscrypt //
/
try {
var OpenSSLSocketImpl = Java.use(‘com.android.org.conscrypt.OpenSSLSocketImpl’);
OpenSSLSocketImpl.verifyCertificateChain.implementation = function (certRefs, JavaObject, authMethod) {
console.log(‘[+] Bypassing OpenSSLSocketImpl Conscrypt’);
};
} catch (err) {
console.log(‘[-] OpenSSLSocketImpl Conscrypt pinner not found’);
//console.log(err);
}

// OpenSSLEngineSocketImpl Conscrypt //
///
try {
var OpenSSLEngineSocketImpl_Activity = Java.use(‘com.android.org.conscrypt.OpenSSLEngineSocketImpl’);
OpenSSLSocketImpl_Activity.verifyCertificateChain.overload(‘[Ljava.lang.Long;’, ‘java.lang.String’).implementation = function (a, b) {
console.log(‘[+] Bypassing OpenSSLEngineSocketImpl Conscrypt: ’ + b);
};
} catch (err) {
console.log(’[-] OpenSSLEngineSocketImpl Conscrypt pinner not found’);
//console.log(err);
}

// OpenSSLSocketImpl Apache Harmony //
//
try {
var OpenSSLSocketImpl_Harmony = Java.use(‘org.apache.harmony.xnet.provider.jsse.OpenSSLSocketImpl’);
OpenSSLSocketImpl_Harmony.verifyCertificateChain.implementation = function (asn1DerEncodedCertificateChain, authMethod) {
console.log(‘[+] Bypassing OpenSSLSocketImpl Apache Harmony’);
};
} catch (err) {
console.log(‘[-] OpenSSLSocketImpl Apache Harmony pinner not found’);
//console.log(err);
}

// PhoneGap sslCertificateChecker (https://github.com/EddyVerbruggen/SSLCertificateChecker-PhoneGap-Plugin) //
//
try {
var phonegap_Activity = Java.use(‘nl.xservices.plugins.sslCertificateChecker’);
phonegap_Activity.execute.overload(‘java.lang.String’, ‘org.json.JSONArray’, ‘org.apache.cordova.CallbackContext’).implementation = function (a, b, c) {
console.log(‘[+] Bypassing PhoneGap sslCertificateChecker: ’ + a);
return true;
};
} catch (err) {
console.log(’[-] PhoneGap sslCertificateChecker pinner not found’);
//console.log(err);
}

// IBM MobileFirst pinTrustedCertificatePublicKey (double bypass) //

try {
// Bypass IBM MobileFirst {1}
var WLClient_Activity_1 = Java.use(‘com.worklight.wlclient.api.WLClient’);
WLClient_Activity_1.getInstance().pinTrustedCertificatePublicKey.overload(‘java.lang.String’).implementation = function (cert) {
console.log(‘[+] Bypassing IBM MobileFirst pinTrustedCertificatePublicKey {1}: ’ + cert);
return;
};
} catch (err) {
console.log(’[-] IBM MobileFirst pinTrustedCertificatePublicKey {1} pinner not found’);
//console.log(err);
}
try {
// Bypass IBM MobileFirst {2}
var WLClient_Activity_2 = Java.use(‘com.worklight.wlclient.api.WLClient’);
WLClient_Activity_2.getInstance().pinTrustedCertificatePublicKey.overload(‘[Ljava.lang.String;’).implementation = function (cert) {
console.log(‘[+] Bypassing IBM MobileFirst pinTrustedCertificatePublicKey {2}: ’ + cert);
return;
};
} catch (err) {
console.log(’[-] IBM MobileFirst pinTrustedCertificatePublicKey {2} pinner not found’);
//console.log(err);
}

// IBM WorkLight (ancestor of MobileFirst) HostNameVerifierWithCertificatePinning (quadruple bypass) //
///
try {
// Bypass IBM WorkLight {1}
var worklight_Activity_1 = Java.use(‘com.worklight.wlclient.certificatepinning.HostNameVerifierWithCertificatePinning’);
worklight_Activity_1.verify.overload(‘java.lang.String’, ‘javax.net.ssl.SSLSocket’).implementation = function (a, b) {
console.log(‘[+] Bypassing IBM WorkLight HostNameVerifierWithCertificatePinning {1}: ’ + a);
return;
};
} catch (err) {
console.log(’[-] IBM WorkLight HostNameVerifierWithCertificatePinning {1} pinner not found’);
//console.log(err);
}
try {
// Bypass IBM WorkLight {2}
var worklight_Activity_2 = Java.use(‘com.worklight.wlclient.certificatepinning.HostNameVerifierWithCertificatePinning’);
worklight_Activity_2.verify.overload(‘java.lang.String’, ‘java.security.cert.X509Certificate’).implementation = function (a, b) {
console.log(‘[+] Bypassing IBM WorkLight HostNameVerifierWithCertificatePinning {2}: ’ + a);
return;
};
} catch (err) {
console.log(’[-] IBM WorkLight HostNameVerifierWithCertificatePinning {2} pinner not found’);
//console.log(err);
}
try {
// Bypass IBM WorkLight {3}
var worklight_Activity_3 = Java.use(‘com.worklight.wlclient.certificatepinning.HostNameVerifierWithCertificatePinning’);
worklight_Activity_3.verify.overload(‘java.lang.String’, ‘[Ljava.lang.String;’, ‘[Ljava.lang.String;’).implementation = function (a, b) {
console.log(‘[+] Bypassing IBM WorkLight HostNameVerifierWithCertificatePinning {3}: ’ + a);
return;
};
} catch (err) {
console.log(’[-] IBM WorkLight HostNameVerifierWithCertificatePinning {3} pinner not found’);
//console.log(err);
}
try {
// Bypass IBM WorkLight {4}
var worklight_Activity_4 = Java.use(‘com.worklight.wlclient.certificatepinning.HostNameVerifierWithCertificatePinning’);
worklight_Activity_4.verify.overload(‘java.lang.String’, ‘javax.net.ssl.SSLSession’).implementation = function (a, b) {
console.log(‘[+] Bypassing IBM WorkLight HostNameVerifierWithCertificatePinning {4}: ’ + a);
return true;
};
} catch (err) {
console.log(’[-] IBM WorkLight HostNameVerifierWithCertificatePinning {4} pinner not found’);
//console.log(err);
}

// Conscrypt CertPinManager //
//
try {
var conscrypt_CertPinManager_Activity = Java.use(‘com.android.org.conscrypt.CertPinManager’);
conscrypt_CertPinManager_Activity.isChainValid.overload(‘java.lang.String’, ‘java.util.List’).implementation = function (a, b) {
console.log(‘[+] Bypassing Conscrypt CertPinManager: ’ + a);
return true;
};
} catch (err) {
console.log(’[-] Conscrypt CertPinManager pinner not found’);
//console.log(err);
}

// CWAC-Netsecurity (unofficial back-port pinner for Android<4.2) CertPinManager //
///
try {
var cwac_CertPinManager_Activity = Java.use(‘com.commonsware.cwac.netsecurity.conscrypt.CertPinManager’);
cwac_CertPinManager_Activity.isChainValid.overload(‘java.lang.String’, ‘java.util.List’).implementation = function (a, b) {
console.log(‘[+] Bypassing CWAC-Netsecurity CertPinManager: ’ + a);
return true;
};
} catch (err) {
console.log(’[-] CWAC-Netsecurity CertPinManager pinner not found’);
//console.log(err);
}

// Worklight Androidgap WLCertificatePinningPlugin //
/
try {
var androidgap_WLCertificatePinningPlugin_Activity = Java.use(‘com.worklight.androidgap.plugin.WLCertificatePinningPlugin’);
androidgap_WLCertificatePinningPlugin_Activity.execute.overload(‘java.lang.String’, ‘org.json.JSONArray’, ‘org.apache.cordova.CallbackContext’).implementation = function (a, b, c) {
console.log(‘[+] Bypassing Worklight Androidgap WLCertificatePinningPlugin: ’ + a);
return true;
};
} catch (err) {
console.log(’[-] Worklight Androidgap WLCertificatePinningPlugin pinner not found’);
//console.log(err);
}

// Netty FingerprintTrustManagerFactory //
//
try {
var netty_FingerprintTrustManagerFactory = Java.use(‘io.netty.handler.ssl.util.FingerprintTrustManagerFactory’);
//NOTE: sometimes this below implementation could be useful
//var netty_FingerprintTrustManagerFactory = Java.use(‘org.jboss.netty.handler.ssl.util.FingerprintTrustManagerFactory’);
netty_FingerprintTrustManagerFactory.checkTrusted.implementation = function (type, chain) {
console.log(‘[+] Bypassing Netty FingerprintTrustManagerFactory’);
};
} catch (err) {
console.log(‘[-] Netty FingerprintTrustManagerFactory pinner not found’);
//console.log(err);
}

// Squareup CertificatePinner [OkHTTP<v3] (double bypass) //

try {
// Bypass Squareup CertificatePinner {1}
var Squareup_CertificatePinner_Activity_1 = Java.use(‘com.squareup.okhttp.CertificatePinner’);
Squareup_CertificatePinner_Activity_1.check.overload(‘java.lang.String’, ‘java.security.cert.Certificate’).implementation = function (a, b) {
console.log(‘[+] Bypassing Squareup CertificatePinner {1}: ’ + a);
return;
};
} catch (err) {
console.log(’[-] Squareup CertificatePinner {1} pinner not found’);
//console.log(err);
}
try {
// Bypass Squareup CertificatePinner {2}
var Squareup_CertificatePinner_Activity_2 = Java.use(‘com.squareup.okhttp.CertificatePinner’);
Squareup_CertificatePinner_Activity_2.check.overload(‘java.lang.String’, ‘java.util.List’).implementation = function (a, b) {
console.log(‘[+] Bypassing Squareup CertificatePinner {2}: ’ + a);
return;
};
} catch (err) {
console.log(’[-] Squareup CertificatePinner {2} pinner not found’);
//console.log(err);
}

// Squareup OkHostnameVerifier [OkHTTP v3] (double bypass) //
/
try {
// Bypass Squareup OkHostnameVerifier {1}
var Squareup_OkHostnameVerifier_Activity_1 = Java.use(‘com.squareup.okhttp.internal.tls.OkHostnameVerifier’);
Squareup_OkHostnameVerifier_Activity_1.verify.overload(‘java.lang.String’, ‘java.security.cert.X509Certificate’).implementation = function (a, b) {
console.log(‘[+] Bypassing Squareup OkHostnameVerifier {1}: ’ + a);
return true;
};
} catch (err) {
console.log(’[-] Squareup OkHostnameVerifier pinner not found’);
//console.log(err);
}
try {
// Bypass Squareup OkHostnameVerifier {2}
var Squareup_OkHostnameVerifier_Activity_2 = Java.use(‘com.squareup.okhttp.internal.tls.OkHostnameVerifier’);
Squareup_OkHostnameVerifier_Activity_2.verify.overload(‘java.lang.String’, ‘javax.net.ssl.SSLSession’).implementation = function (a, b) {
console.log(‘[+] Bypassing Squareup OkHostnameVerifier {2}: ’ + a);
return true;
};
} catch (err) {
console.log(’[-] Squareup OkHostnameVerifier pinner not found’);
//console.log(err);
}

// Android WebViewClient (double bypass) //
///
try {
// Bypass WebViewClient {1} (deprecated from Android 6)
var AndroidWebViewClient_Activity_1 = Java.use(‘android.webkit.WebViewClient’);
AndroidWebViewClient_Activity_1.onReceivedSslError.overload(‘android.webkit.WebView’, ‘android.webkit.SslErrorHandler’, ‘android.net.http.SslError’).implementation = function (obj1, obj2, obj3) {
console.log(‘[+] Bypassing Android WebViewClient {1}’);
};
} catch (err) {
console.log(‘[-] Android WebViewClient {1} pinner not found’);
//console.log(err)
}
try {
// Bypass WebViewClient {2}
var AndroidWebViewClient_Activity_2 = Java.use(‘android.webkit.WebViewClient’);
AndroidWebViewClient_Activity_2.onReceivedSslError.overload(‘android.webkit.WebView’, ‘android.webkit.WebResourceRequest’, ‘android.webkit.WebResourceError’).implementation = function (obj1, obj2, obj3) {
console.log(‘[+] Bypassing Android WebViewClient {2}’);
};
} catch (err) {
console.log(‘[-] Android WebViewClient {2} pinner not found’);
//console.log(err)
}

// Apache Cordova WebViewClient //
//
try {
var CordovaWebViewClient_Activity = Java.use(‘org.apache.cordova.CordovaWebViewClient’);
CordovaWebViewClient_Activity.onReceivedSslError.overload(‘android.webkit.WebView’, ‘android.webkit.SslErrorHandler’, ‘android.net.http.SslError’).implementation = function (obj1, obj2, obj3) {
console.log(‘[+] Bypassing Apache Cordova WebViewClient’);
obj3.proceed();
};
} catch (err) {
console.log(‘[-] Apache Cordova WebViewClient pinner not found’);
//console.log(err);
}

// Boye AbstractVerifier //
///
try {
var boye_AbstractVerifier = Java.use(‘ch.boye.httpclientandroidlib.conn.ssl.AbstractVerifier’);
boye_AbstractVerifier.verify.implementation = function (host, ssl) {
console.log(‘[+] Bypassing Boye AbstractVerifier: ’ + host);
};
} catch (err) {
console.log(’[-] Boye AbstractVerifier pinner not found’);
//console.log(err);
}

});

}, 0);

复制代码


启动frida进行hook指定APP的包名

frida -U -f com.example.safehttps -l hook.js --no-pause

复制代码


![image.png](https://img-blog.csdnimg.cn/img_convert/7d1a316e9a051a8d1fb5b92c449d1bb0.webp?x-oss-process=image/format,png)


可以看到开启burp抓包成功。


### 5.开启双向校验


双向校验顾名思义也就是服务器也要对客户端进行证书校验,在刚才客户端校验服务端的基础上添加一直被校验的逻辑在里面。


首先ttt.com所在的nginx服务器要开启双向认证 ![image.png](https://img-blog.csdnimg.cn/img_convert/f07c15486e0b4b176fda65eb56eb4832.webp?x-oss-process=image/format,png)


开启客户端的校验后,在浏览器进行访问,会发现返回400,没有被请求的SSL证书发送,是因为浏览器正常请求不会携带证书信息去请求ttt.com ![image.png](https://img-blog.csdnimg.cn/img_convert/10255f0bf793b79dda629156743fe904.webp?x-oss-process=image/format,png)


那么如何携带客户端的证书,就要利用burp来操作,将ttt.com的证书添加到TLS客户证书 ![image.png](https://img-blog.csdnimg.cn/img_convert/733c600c418a383fde47b42d246b2749.webp?x-oss-process=image/format,png)


这时再访问 ![image.png](https://img-blog.csdnimg.cn/img_convert/42e044b1f66c4ec331f5d7cc91fae961.webp?x-oss-process=image/format,png)


在APP中进行绑定客户端的证书文件,一般是p12格式文件,会放在assets目录下或者raw目录下,client.p12会有一个密钥内置在代码中,需要找到才能添加进burp中。 ![image.png](https://img-blog.csdnimg.cn/img_convert/569a6427484aa91bd6f4d70876e8f284.webp?x-oss-process=image/format,png)


这个在反编译后的目录下也能找到,通常在assets或者res/raw目录下查找,但是再导入burp这一步是需要证书密码的,比如上图能明显看到密码是123456,但是找不到证书密码怎么办,可以看一下目录下是否存在lib文件夹,如果存在的话极大可能是将密码写进so层了,这就需要你会IDA反汇编获取证书密钥了,这部分在此不详细阐述,感兴趣的朋友可以先去研究一下。 ![image.png](https://img-blog.csdnimg.cn/img_convert/e52377fdc623630c450b501454dafae3.webp?x-oss-process=image/format,png)


#### APP双向校验验证


服务器校验客户端的证书ClientSSLSocketFactory,服务端将客户端的证书进行绑定。

TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init((KeyStore) null);
TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {
throw new IllegalStateException(“Unexpected default trust managers:” + Arrays.toString(trustManagers));
}
trustManager = (X509TrustManager) trustManagers[0];

OkHttpClient client = new OkHttpClient.Builder()
.sslSocketFactory(Objects.requireNonNull(ClientSSLSocketFactory.getSocketFactory(getApplicationContext())), Objects.requireNonNull(trustManager))
.hostnameVerifier(new HostnameVerifier() {
@Override
public boolean verify(String hostname, SSLSession session) {
//强行返回true 即验证成功
return true;
}
}).build();

复制代码

public class ClientSSLSocketFactory {
private static final String KEY_STORE_PASSWORD = “123456”; // 证书密码
private static InputStream client_input;

public static SSLSocketFactory getSocketFactory(Context context) {
    try {
        //客户端证书
        client_input = context.getResources().getAssets().open("client.p12");
        SSLContext sslContext = SSLContext.getInstance("TLS");
        KeyStore keyStore = KeyStore.getInstance("PKCS12");
        keyStore.load(client_input, KEY_STORE_PASSWORD.toCharArray());
        KeyManagerFactory keyManagerFactory = KeyManagerFactory.getInstance(KeyManagerFactory.getDefaultAlgorithm());
        keyManagerFactory.init(keyStore, KEY_STORE_PASSWORD.toCharArray());
        sslContext.init(keyManagerFactory.getKeyManagers(), null, new SecureRandom());
        return sslContext.getSocketFactory();
    } catch (Exception e) {
        e.printStackTrace();
    } finally {
        try {
            client_input.close();
        } catch (IOException e) {
            e.printStackTrace();

还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!

王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。

对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!

【完整版领取方式在文末!!】

93道网络安全面试题

内容实在太多,不一一截图了

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话,可以联系领取~

1️⃣零基础入门
① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

image

② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

image-20231025112050764

2️⃣视频配套工具&国内外网安书籍、文档
① 工具

② 视频

image1

③ 书籍

image2

资源较为敏感,未展示全面,需要的最下面获取

在这里插入图片描述在这里插入图片描述

② 简历模板

在这里插入图片描述

因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84302796
关注
  • 16
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
无Root安卓手机抓包HTTPS(可破解HTTPS双向验证)
05-22
无Root安卓手机抓包HTTPS(可破解HTTPS双向验证) 解压密码 qq810285810
利用burp进行对APP抓包教程
11-04
使用burpsuite对移动app抓包分析 阅读更多 测试移动APP的联网请求,需要获取路径或者参数的时候,使用该工具burpsuite非常方便! 要求: 移动终端和PC处于同一个wlan环境下
如何解决APP抓包问题网络安全】_app 防止抓包
最新发布
2401_84254418的博客
04-27 323
还有一种情况是,导入到系统证书仍抓不到包,并且浏览器会报错误。原因是chrome从2018开始只信任有效期少于825天(27个月)的证书,而burp证书有效期过长。解决方案是自己做一个低于27个月的root证书导入burp,再通过burp重新导出证书并放入到系统证书路径下。目前还没遇到过这种情况,但是如果遇到了这种问题要知道怎么解决
Android App 防止抓包
luoshufeng1234的博客
04-20 6115
这篇文章谈谈如何防止 App抓包 首先我们要知道常用的抓包方式有 Charles 和 Fiddler。他们通过在手机网络中添加代理的方式,拿到 App 的请求。 如果是 Https 连接的话,我们要先在手机中添加 Charles或Fiddler 的证书,然后Charles通过修改服务器发送证书链,让手机信任Charles 的证书,从而拿到 App 的请求。 下面是一些对策: 一、使用无代理 Proxy.NO_PROXY charles 和 fiddler 都使用代理来进行抓包,对网络客户端使用
App抓包的四种绕过方法(详细)
热门推荐
希望我的博客,能帮上你解决学习中工作中所遇到的问题
03-02 1万+
平时做app渗透的适合,是不是经常会遇到burp抓不到包的问题,本文梳理了一些APP抓不到包的解决思路
漫画:App-防止-Fiddler-抓包小技巧!
2401_84122826的博客
04-07 520
如果你看到了这里,觉得文章写得不错就给个赞呗?如果你觉得那里值得改进的,请给我留言。一定会认真查询,修正不足。最后针对Android程序员,我这边给大家整理了一些资料,包括不限于高级UI、性能优化、移动架构师、NDK、混合式开发(ReactNative+Weex)微信小程序、Flutter等全方面的Android进阶实践技术;希望能帮助到大家,也节省大家在网上搜索资料的时间来学习,也可以分享动态给身边好友一起学习!
APP抓包( 过二次校验思路)
01-08
过双向校验的,得先去APP里面找到证书,然后导入到抓包工具里面,因为在向前面所述博客文章,去伪造证书已经不管用了,我们先去找找特征。 比如 搜索 运气好的话能搜索到证书,但是一般都有密码。。 我这里这个APP...
旧版APP抓包教程.rar
04-13
本教程聚焦于“旧版APP抓包教程”,旨在帮助你理解如何对旧版本的应用程序进行网络流量捕获,以便分析其通信行为、调试问题或检测潜在的安全漏洞。以下是一些关键知识点: 1. **抓包工具**:抓包工具如Wireshark、...
httpCarry-app快速抓包软件
12-23
HttpCanary黄鸟抓包工具是专为安卓用户打造的手机软件,可以对手机进行实时监控,防止有恶意软件篡改手机系统,使用又安全。这款强大的抓包工具,还带有分析工具,可以当做是一个移动端的Fiddler或者Charles。在手机...
网络截包Sniff软件源代码.zip_app源代码是什么意思
12-27
4. 安全隐患:网络截包也与网络安全密切相关,未经授权的截包可能导致敏感信息泄露,因此了解截包原理也有助于提升网络安全意识。 5. 软件开发:通过分析Sniff软件源代码,开发者可以学习到如何在程序中集成数据包...
不需抓包跑字典!卡王BT10软件破解WAP2密码图文详解
12-05
不需抓包跑字典!卡王BT10软件破解WAP2密码图文详解
安卓逆向 -- 抓包破解(JustTrustMe)
weixin_41489908的博客
08-01 1万+
一、问题背景 Fiddler可以抓手机浏览器的包但是不能抓某apk的包,说明环境问题,我们需要xposed模块帮助抓包 二、安装xposed框架(公众号后台回复:20210727) 1、逍遥模拟器,搜索xposed,点击下载安装 2、提示框架未安装 3、访问下面网址,下载SDK22对应的x86内容 https://dl-xda.xposed.info/framework/ 4、解压后还需要用到一个sh文件(后台回复20210727),我已经打包好了 创建文
抓包】Xposed+JustTrustMe关闭SSL证书验证
qq284489030的博客
11-11 1201
【破解APP抓包限制】Xposed+JustTrustMe关闭SSL证书验证! 转载:https://www.jianshu.com/p/310d930dd62f 1 前言 这篇文章主要想解决问题是,在对安卓手机APP抓包时,出现的HTTPS报文通过MITM代理后证书不被信任的问题。(工作中在抓取12306请求时就遇到了这个问题) 之前的推送讲过,通常要抓取HTTPS加密的数据包,一般使用Charles或者Fiddler4代理HTTP请求,配置证书信任后,便可拿到明文报文。但是由于Charles证
移动端抓包实践
Dream It Possible
01-13 1559
通讯安全App安全检测过程中非常重要的一项针对该项的主要检测手段就是使用中间人代理机制对网络传输数据进行抓包、拦截和篡改,以检验App在核心链路上是否有安全漏洞。保证数据安全通过charles等工具可以对app的网络请求进行抓包,这样这些信息就会被清除的提取出来,会被不法分子进行利用。不想被竞争对手逆向抓包不想自身App的数据被别人轻而易举地抓包获取到,从而进行类似业务或数据分析、爬虫或网络攻击等破坏性行为。
安卓逆向之APP抓包
ZZHMMD957
01-11 3253
市面上的抓包工具很多,其中最主要的两款就是Charles以及Fiddler,下面按照步骤讲一下Fiddler抓包工具的配置以及使用过程! 1.Fiddler软件的下载 到如下网址下载Fiddler:https://www.telerik.com/download/fiddler/fiddler4 或者自行百度下载Fiddler 2.配置Fiddler 2.1打开Fiddler:Tool ...
Android 过反抓包总结入门篇
小小白哈喽的博客
11-02 1903
做协议分析少不了抓包,但是对于新入门我们来说,这是一大难题,网上各种各样的工具不少。但是如果遇到反抓包,那就芭比Q了。但是一些简单的反抓包机制还是很好过的。只是个人见解释,有一部分个人理解的不通透,希望大佬多多指点,对于反抓包,个人感觉第一步应该做的是反抓包的形式,而不是第一个想到的是用这个工具可以不可以抓,用那个可以不可以。分析到反抓包的形式,自然而然问题就迎刃而解了。
APP抓包-代理转发绕过反代理+Xposed绕过证书校验
xiaoheizi的博客
07-23 3936
而这里的牛牛不止设置了反代理还设置了证书校验,一闪而过的三个数据包就是在校验证书。而proxifier工具的转发机制获取的是网络接口出口数据,相当于是在网络接口设代理。这个时候就可以在夜神打开牛牛开始抓包了,打开牛牛可以看到proxifier有夜神流量通过。关闭代理之后牛牛就正常了,可恶的牛牛啊,这样我没办法抓包啊,怎么办啊。模拟器开启代理,burp开启监听。打开牛牛app,牛牛不在报错。牛牛app检测的是系统代理,也就是在模拟器或手机上设置的代理。再在浏览器下载两个模块,在夜神安装,用来屏蔽证书校验。
APP抓包-资产获取+Frida反代理绕过和证书校验绕过
xiaoheizi的博客
07-22 3759
有时候明明配置没问题,为什么抓不到app数据包呢? 1.目标没走http/s协议 解决方案:抓取目标使用的协议或者全局(全协议)抓包 2.目标设置了反虚拟机 解决方案:使用手机配合抓包即可 3.目标设置了反代理或证书校验的检测—抓包机制
有比Fiddler更厉害的抓包工具吗?可以截获app的网络请求
05-17
除了 Fiddler,还有很多其他强大的抓包工具可以截获 app 的网络请求,以下是一些常用的抓包工具: 1. Charles Proxy:一款功能强大的跨平台抓包工具,支持截获 HTTPS 请求,并且可以模拟不同的网络环境。 2. Wireshark:一款开源的网络协议分析工具,可以截获网络数据包,分析协议,识别网络流量。 3. mitmproxy:一款支持 HTTP 和 HTTPS 的中间人代理工具,可以截获 app 的网络请求,并且支持对请求进行修改和重放。 4. Burp Suite:一款综合性的渗透测试工具,除了支持抓包外,还可以进行漏洞扫描、攻击模拟等。 这些工具都有各自的特点和优势,可以根据实际需求进行选择。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值