绕过 Android SSL Pinning

已于 2024-01-16 16:26:12 修改
阅读量1.3k 收藏 29
点赞数 19
文章标签: android ssl 网络协议
于 2023-12-28 10:15:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/A_991128a/article/details/135230707
版权

转载请注明出处。请前往 Tiga on Tech 查看原文以及更多有趣的技术文章。

SSL Pinning 指的是,对于 target sdk version > 23 的 Android App,App 默认指信任系统的根证书或 App 内指定的证书,而不信任用户添加的第三方证书。这会导致我们在对 App 做逆向分析的时候,使用 Charles 无法抓 https 包(如图):

针对 SSL Pinning,常见的绕过方法有两种:

1.重打包 APK,修改 AndroidManifest 的配置:优点是一次重打包永久有效,在其他手机/电脑上抓包时不需要重复搭建环境,而且也不需要手机有 root 权限。缺点是因为重打包后 APK 签名被改了,容易被检测出来,可能需要进一步绕过签名校验。
2.使用 injection + hook 的办法绕过 client 端的证书校验,常见的 native 注入框架 xposed, frida 和 objection 都有相关的工具:优缺点和重打包恰好相反。

重打包

重打包是绕过 SSL Pinning 比较常见且实用的办法。因为在 APK 的 target sdk version <= 23 时,默认是信任用户添加的第三方证书的,因此我们的目标是修改 AndroidManifest 里的 target sdk version 为 23(APK 当前设置的是 29)。

1. 使用 apktool 直接重打包

  • 第一步:解包。因为我们只需要修改 AndroidManifest 的配置,因此不需要 decode source,只需要 decode resource,因此使用的命令是:apktool d -s origin.apk
  • 第二步:修改 AndroidManifest 的 targetSdkVersion
  • 第三步:重打包。命令 apktool b <decode output directory>

在对某个 App 做实验的时候,第三步重打包时出现了以下 error。搜索了一下,大概知道是 apktool 编译资源文件时的问题,并且没有找到相应的解决办法。

2. 只 decode AndroidManifest

因为重新编译资源的时候会失败,那我们可否不 deocde 资源文件而只 decode AndroidManifest?然而 apktool 目前也不支持这个功能,官方的回答 (github.com/iBotPeaches…%25E6%2598%25AF “https://github.com/iBotPeaches/Apktool/issues/1135)%E6%98%AF”) AndroidManifest 也会依赖其他资源(如 strings, drawable 等),如果只 decode AndroidManifest 的 effort 会很大。

3. 直接修改 AndroidManifest 的 binary

因为我们对 AndroidManifest 只需要做很小的修改,既然不能 decode 资源文件,我们可以直接修改 AndroidManifest 的 binary。上述解包的命令变为 apktool d -r -s origin.apk。然后参考这个博客文章 (juejin.cn/post/684490…%E7%90%86%E6%B8%85%E6%A5%9A “https://juejin.cn/post/6844903747169026061)%E7%90%86%E6%B8%85%E6%A5%9A”) AndroidManifest 文件的 binary 格式,加上 010 editor 的 AndroidManifest 模板,即可轻松实现修改。修改后用命令 apktool b 重打包,然后用 apksigner 进行重签名即可得到重打包完成后的 APK。签名的命令为 apksigner sign --ks spykey.keystore --out signed.apk --ks-pass pass:spykey --ks-key-alias spykey --key-pass pass:spykey --v2-signing-enabled true rebuilt.apk 。其中 spykey.keystore 可以在 AndroidStudio 或其他工具生成。

安装重打包后的 APK,APK 可以正常打开,然而在点击同意使用条款之后 APP 就 crash 了。看 logcat 并没有明显的 log 指示错误原因,但能大概猜想到是 APP 里做了 APK 签名校验。因为 logcat 没有明显的线索,需要绕过签名校验可能需要较大的 effort。因此到此决定放弃重打包的办法。

Injection + Hook

如果 App 在 Android 11 的 x86 模拟器上能正常运行,因此有很好的 root 环境,很方便做 Injection 和 Hook。Objection 框架提供了现成的 SSL Pinning Bypassing 功能,因此我们采用了该框架:github.com/sensepost/o… 。具体的原理和操作步骤可以参考这个博客文章:www.hackingarticles.in/android-hoo…

这里简单记录一下各个步骤:

  • 第一步:Mac 上安装 objection:pip3 install objection
  • 第二步:下载 Frida server for Android 并且 push 到手机 /data/local/tmp 上,root 权限下把 frida server 运行起来。下载地址是 github.com/frida/frida… ,x86 Android 模拟器下载的是 frida-server-14.2.13-android-x86.xz (github.com/frida/frida…) 。Mac 端需要执行的命令 adb push frida-server-14.2.13-android-x86 /data/local/tmp 。手机端进入 adb shell 并进入 su 后,需要执行的命令:chmod 0755 /data/local/tmp/frida-server-14.2.13-android-x86 && /data/local/tmp/frida-server-14.2.13-android-x86
  • 第三步:启动 App
  • 第四步:注入 App 进程,Mac 上执行命令:objection -g <app package name>
  • 第五步:第四步命令执行后会进入一个 objection 的 shell,执行命令 android sslpinning disable 即可 disable APP 的 SSL Pinning。

上述步骤执行完之后,这时再用 Charles 即可顺利抓 https 包:

rk:4536:0:0:0.image" style=“margin: auto” />

## 网络安全工程师(白帽子)企业级学习路线

第一阶段:安全基础(入门)

img

第二阶段:Web渗透(初级网安工程师)

img

第三阶段:进阶部分(中级网络安全工程师)

img

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

学习资源分享

教IT的小王A
关注
  • 19
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[车联网安全自学篇] Android安全之绕过SSL Pinning抓HTTPS数据
橙留香Park的博客
05-13 1041
随着移动应用的发展和推广,APP应用安全越来越受到重视。在APP中各类防抓包的机制的出现,让测试无法正常进行分析分析APP时都免不了抓包这一环节,想要抓到包就要看APP用的是什么通信协议。由于HTTP存在不安全性,当前大部分的APP基本采用HTTPS通信协议。...
如何使用Xposed+JustTrustMe来突破SSL Pinning
热门推荐
iqiqiya的博客
05-07 2万+
如何使用Xposed+JustTrustMe来突破SSL Pinning 本文由看雪论坛 etlpom 原创,原文链接:https://bbs.pediy.com/thread-226435.htm0x00 前面      如果你是一干Web安全的,当你在测试目前大多数的手机APP应用程序时,你一定遇到过burpsuite无法抓到数据包的情况,开始你以为只是https的问题,但是当你使用了burp...
(APP测试三板斧)第二板:frida+一键hook脚本绕过SSL Pining
ggzhifeng的博客
07-27 3843
一、优缺点 优点: 比xp框架适用范围广,大部分软件都没有检测frida,能绕过绝大部分单向证书绑定。 缺点: 还是不适用双向证书,还是需要分析app包逆向分析证书密码。 二、步骤: 1.安装frida 客户端(PC) pip install frida pip install frida-tools 服务端(安卓手机) 在https://github.com/frida/frida/releases下载对应平台的服务端 然后解压,移动到Android设备 adb p..
探秘Instagram SSL Pinning Bypass:网络安全的新工具
最新发布
gitblog_00089的博客
06-10 258
探秘Instagram SSL Pinning Bypass:网络安全的新工具 项目地址:https://gitcode.com/Eltion/Instagram-SSL-Pinning-Bypass 在数字时代,网络隐私和安全成为我们日常生活中至关重要的问题。对于Instagram这样的社交媒体巨头而言,SSL(Secure Socket Layer)加密和Pinning技术被广泛用于保护用户的...
绕过sslpinning
flygle~的博客
06-10 422
sslpinning
【网络安全】https与证书原理 | SSL Pinning及其绕过
Juruo@Security
08-05 7726
SSL Pinning | https协议与证书原理
安卓渗透指南(二)-Kitsune Mask模块 绕ssl pinning,绕root检测,绕system动态分区
a2542447400的博客
03-15 2592
安装magic_overlayfs、LSPosed、JustTrustMe、TrustMeAlready模块和绕过root检测、绕ssl pinning、绕system动态分区方法,让抓包不在困难。
Instagram_SSL_Pinning:在Instagram Android应用中绕过SSL固定
02-25
弃用:使用Facebook白帽设置Instagram_SSL_Pinning 绕过Instagram SSL锁定ARM and X86 注意:延迟一分钟后可能会显示第一个请求警告:使用此补丁后,任何人都可以拦截您的请求根方法: 从Apkmirror下载Instagram APK...
配置Frida+BurpSuite+Genymotion 绕过Android
03-31
配置Frida+BurpSuite+Genymotion, 绕过Android SSL Pinning-Configuring Frida with BurpSuite and Genymotion to bypass SSL Pinning
android渗透测试指导及其工具
03-26
对于Android,特定的漏洞类型还包括数据泄露(例如通过日志记录或未加密通信)、组件滥用(如Intent过滤器不安全配置)和证书验证绕过。 4. **攻击实施**:一旦找到漏洞,测试者会模拟攻击者行为,尝试利用这些漏洞...
Android 7.0+抓包https突破ssl-pinning方案抓包插件.zip
03-17
Android 7.0+ 抓包https方案,突破ssl-pinning 使用方法:https://blog.csdn.net/u014644574/article/details/104930877
Android-SSL-Pinning-WebViews:一个简单的演示应用程序,演示了Android WebViews中的证书固定和schemedomain白名单
05-13
Android WebView中的证书固定和方案/域白名单 一个简单的演示应用程序,演示: Android WebViews中的证书固定 Android WebView中的方案和域白名单 使用OkHttp在网络级别实现固定和白名单。 然后,通过扩展WebViewClient并使用OkHttp进行请求来保护WebView。 该解决方案具有性能缺陷:通过扩展WebViewClient并覆盖shouldInterceptRequest ,所有请求将按顺序执行,这会缩短加载时间。 请让我知道是否有解决方案。
sslunpinning_latest.rar
12-09
然而,SSL卸载技术绕过了这一安全机制,可能会被用于合法但有争议的用途,如网络安全监控,或者被恶意利用来窃取数据。 SSL卸载的主要风险在于,它可能导致安全漏洞,使得攻击者有机会在用户不知情的情况下监视或...
Android应用源码之手机抓包相关工具.zip
10-14
开发者可以利用如Frida等工具绕过SSL Pinning,以便于调试和测试。 七、mitmproxy mitmproxy是一个交互式的、命令行的HTTP/HTTPS代理,可用于Android抓包。通过设置设备的HTTP代理,mitmproxy可以捕获并显示所有...
180724 安卓-SSLPinning及反制
whklhhhh的博客
07-25 4700
简介 SSL Pinning,即HTTPS的证书校验 作用 具体解释要从HTTPS的诞生说起了 HTTP是明文传输的协议,在C/S不自行做加密处理的情况下,所有数据都是以明文形式在网络中传输的。 而在目前的庞大互联网中,大多数情况下从Client到Server要经过十几级网关转发。 而这中间,小到自己家的路由器、大到运营商的区域转发都是可以任意查看通信数据甚至篡改通信数据的。 这...
SSLPinning简介,使用Xposed+JustTrustMe来突破SSL Pinning
weixin_30251587的博客
09-21 569
0x00 前面 如果你是一干Web安全的,当你在测试目前大多数的手机APP应用程序时,你一定遇到过burpsuite无法抓到数据包的情况,开始你以为只是https的问题,但是当你使用了burpsuite伪证书也无法抓取到时,你心里除了有句“MMP……”外,你一定也在思考这其中的蹊跷。 为什么https的网站使用伪证书可以抓到,而在app里面同样的方法就抓不到?答案是:app启用了SSL ...
某音短视频APP 最新版(21.8)SSL PINNING 绕过
Sajor的博客
05-12 9829
某音短视频APP 最新版 21.8 抓包方案
绕过Facebook SSL Pinning反抓包
旺旺xwy
02-12 918
什么是SSL Pinning,Facebook如何绕过SSL Pinning
so层修改sslpinning
07-27
SO层修改SSL pinning是指在操作系统的系统调用层面对SSL pinning进行修改。SSL pinning是一种安全机制,用于保护网络通信的安全性。 在SO层修改SSL pinning可以通过修改系统库或者Hook相关API来实现。一种常见的方法是通过Hook函数来修改SSL pinning的检查逻辑,绕过证书校验,从而绕过SSL pinning的保护。 具体实现的步骤如下: 1. 定位到SSL pinning相关的检查函数,常见的包括SSL_CTX_set_verify、SSL_get_verify_result等函数。 2. 使用Hook技术,在函数调用之前或之后注入自定义的代码逻辑。 3. 在Hook的代码逻辑中,可以修改函数的返回值或者控制流程,绕过SSL pinning的检查,实现信任任意证书。 4. 重新编译并替换系统库,或者使用LD_PRELOAD等机制加载修改后的共享库。 需要注意的是,修改SSL pinning可能会导致网络通信的不安全性,可能会使应用程序容易受到中间人攻击。因此,修改SSL pinning应该谨慎并且仅在合法的测试环境中使用。 总结来说,SO层修改SSL pinning是一种通过在系统调用层面修改相关API的实现方式,来绕过SSL pinning保护。但需要注意潜在的安全风险,并在合适的场景下使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值