服务器校验客户端证书分析及代码

最新推荐文章于 2024-05-25 22:07:18 发布
最新推荐文章于 2024-05-25 22:07:18 发布
阅读量8.1k 收藏 20
点赞数 8
分类专栏: 安全分析 文章标签: app逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dieTicket/article/details/84076835
版权

当前app安全越来越受到重视,很多app采取了HTTPS的协议,但是一般app都不会对证书进行校验,一些app只是客户端对服务端证书进行了强校验,也就是通常呢,抓包的时候app提示无网络连接或者网络连接错误,这种情况就是app发现证书是伪造的,并不是服务器的证书,因此中断了通讯。这个时候可以通过逆向app,找到校验的代码,过掉即可,偷懒的话可以尝试justTustMe模块来过掉。今天我们的重点是如何在服务器强校验客户端证书的情况下,抓到数据包,相关内容在网上很少见,以下仅仅抛砖引玉做个简单的示范,不涉及高级逆向。

可能大家遇到过这种情况,在抓包的时候,

fiddler提示:服务器请求客户端证书。

相关访问返回内容为:

<html>

<head><title>400 No required SSL certificate was sent</title></head>

<body bgcolor="white">

<center><h1>400 Bad Request</h1></center>

<center>No required SSL certificate was sent</center>

<hr><center>nginx</center>

</body>

</html>

这种情况是由于客户端内置了客户端证书。常规条件下,客户端在与服务器进行通讯的时候,会将自己的证书发送给服务器,服务器校验证书的合法性,当我们采用fiddler代理的时候,默认使用的是fiddler的证书,当然对方服务器不认可fiddler的证书,所以会提示错误。

这种情况怎么办?

这儿我们以翼健康app为例进行说明。

使用的工具:

Fiddler,抓数据包

JEB,反编译app

安装好xposed的雷电模拟器

Eclipse,编写xposed模块

...

以上工具均可以百度到,所以这儿不放链接了。

 

首先,随便抓一条数据包:

可以看到,对于数据包的内容,我们是可以清楚的看到的,但是服务器返回错误。

 

我们直接解压app,在./assets目录下,发现客户端证书client.pfx

当我们进行双击安装证书的时候发现需要密码,这个时候没有办法,我们只能尝试逆向app。

 

我们在manifest文件中可以看到,app包名是com.gdhbgh.activity,入口是com.telecom.vhealth.ui.activities.WelcomeActivity,那么在逆向app的时候,要重点关注telecom下的http的相关类或者方法,这个是常规思路,证书操作肯定会和通讯类放在一起。

 

使用JEB逆向app,果然发现了有com.telecom.vhealth.http.utils.HttpUtils类。这儿给大家解释一下我为什么第一时间找到这个类,首先根据入口定位到了com.telecom.vhealth。App一般代码都是模块化,集成化。所以我们需要第一时间关注相关http包,在包里面我们重点关注工具类或者服务类。当然了,如果比较难找,我们也可以采取别的思路,比如直接搜索证书的名字,定位关键位置,或者搜索网页访问的地址,我们定位一下http访问的类,在进入到类里面看看是怎么样设置证书的等等,方法有很多,大家需要发挥一下,不要拘泥于一种方法。

言归正传,运气很好,在HttpUtils类里面我们发现了getSocketFactory获取连接工厂这个函数。不管是从方法名还是具体的代码,我们都基本确定关键函数就在这儿了。

摘录其中关键语句给出注释:

InputStream v3 = arg7.getAssets().open("client.pfx");  // 读入证书文件

KeyStore v4 = KeyStore.getInstance("PKCS12");  // Key存储器初始化

v4.load(v3, v0_1);  // Key存储器载入客户端证书文件,参数一为证书,参数二为密码

我们向上找找v0_1是从哪儿蹦出来的,发现关键语句:

char[] v0_1 = EncryptUtils.getHttpSign(arg7).toCharArray();

进入EncryptUtils类,发现是两个native函数,相关代码在so里面,

分析so还是比较麻烦的,直接省略分析so文件,我们使用xposed来hook这个参数。这儿呢,我选择hook了KeyStore的load的方法。原因呢,我个人认为容错性比较高,省的来回写代码。

相关xposed的入门教程请大家百度。Xposed还是很容易入门以及上手的。

贴出代码:

运行模块,成功拿到证书密码:vhealth2016

拿到密码,我们转到电脑端,首先双击client.pfx,将证书文件安装进电脑,然后本地在证书管理里面将证书导出为base64编码的cer证书文件或者百度证书转换工具,将pfx证书转换为pem文件,pem文件包含了公钥和私钥,我们手动提取出公钥数据新建一个cer文件就ok,觉得不够严谨可以使用openssl命令来转换。Cer文件是用于存储公钥证书的文件格式。

 

我们把生成的ClientCertificate.cer文件放入fiddler的文件目录下。然后重启fiddler,就可以发现成功抓包:

对于数据中的sign,我们也可以顺便分析一下:

以下是跟踪路径,自己分析就好,我列的代码可直接忽略:

((Map)v4).put("sign", HttpUtils.getHttpSign());

接下来:

public static String getHttpSign() {

        UnifiedUserInfo v1 = c.c();

        String v0 = "";

        if(v1 != null) {

            v0 = v1.getPhoneNumber();

        }



        return HttpUtils.getSign("|", new String[]{String.valueOf(System.currentTimeMillis()), v0});

}

接下来:

public static String getSign(String arg3, String[] arg4) {

        StringBuilder v1 = new StringBuilder();

        int v0;

        for(v0 = 0; v0 < arg4.length; ++v0) {

            v1.append(arg4[v0]);

            if(!TextUtils.isEmpty(((CharSequence)arg3)) && v0 < arg4.length - 1) {

                v1.append(arg3);

            }

        }



        return HttpUtils.encryptByPk(v1.toString());

}



最后定位到:

private static String encryptByPk(String arg5) {

        String v0_2;

        String v1 = null;

        try {

            Object v0_1 = new ObjectInputStream(YjkApplication.getContext().getAssets().open("public.ppk")).readObject();

            byte[] v2 = arg5.getBytes("utf-8");

            Cipher v3 = Cipher.getInstance("RSA/ECB/PKCS1Padding");

            v3.init(1, ((Key)v0_1));

            v0_2 = f.a(v3.doFinal(v2));

        }

        catch(Exception v0) {

            s.a(((Throwable)v0));

            v0_2 = v1;

        }



        return v0_2;

}

发现sign是采用了assets目录下的public.ppk文件作为公钥,RSA/ECB/PKCS1Padding为加密方式。我们顺便在xposed代码hook一下相关地方,瞅瞅加密前数据是什么,加密后的数据是什么,密钥是什么。

贴出完整xposed代码:

import java.io.InputStream;



import de.robv.android.xposed.IXposedHookLoadPackage;

import de.robv.android.xposed.XC_MethodHook;

import de.robv.android.xposed.XposedBridge;

import de.robv.android.xposed.XposedHelpers;

import de.robv.android.xposed.callbacks.XC_LoadPackage;



import java.security.Key;



public class Hook implements IXposedHookLoadPackage {



    private static String package_name = "com.gdhbgh.activity";



    //byte[]转16进制

    final protected static char[] hexArray = "0123456789ABCDEF".toCharArray();

    public static String bytesToHex(byte[] bytes) {

        char[] hexChars = new char[bytes.length * 2];

        for ( int j = 0; j < bytes.length; j++ ) {

            int v = bytes[j] & 0xFF;

            hexChars[j * 2] = hexArray[v >>> 4];

            hexChars[j * 2 + 1] = hexArray[v & 0x0F];

        }

        return new String(hexChars);

    }

    

    @Override

    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {



        if (!loadPackageParam.packageName.equals(package_name)) {

         return;

        }

        XposedBridge.log(loadPackageParam.packageName +" -> load");

        

        //通过hook密钥加载函数来得到证书密钥

        final Class<?> clazz = XposedHelpers.findClass("java.security.KeyStore", loadPackageParam.classLoader);

        XposedHelpers.findAndHookMethod(clazz,"load", InputStream.class,char[].class,new XC_MethodHook(){

         @Override

         protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

         if((char[])param.args[1]==null) return;

         String s = new String((char[])param.args[1]);

         if(s==null) return;

         XposedBridge.log("java.security.KeyStore.load param1: " + s);

            }

        });

        

        //hook加密方法瞅瞅加密前数据是个啥玩意儿

        XposedHelpers.findAndHookMethod("com.telecom.vhealth.http.utils.HttpUtils",loadPackageParam.classLoader,"encryptByPk", String.class,new XC_MethodHook(){

         @Override

         protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

         XposedBridge.log("com.telecom.vhealth.http.utils.HttpUtils.encryptByPk param0:" + (String)param.args[0]);

            }

         @Override

         protected void afterHookedMethod(MethodHookParam param) throws Throwable {

         XposedBridge.log("com.telecom.vhealth.http.utils.HttpUtils.encryptByPk result: " + (String)param.getResult());

            }

        });

        

        //hook一下RSA的公钥数据

        XposedHelpers.findAndHookMethod("javax.crypto.Cipher",loadPackageParam.classLoader,"init", int.class,Key.class,new XC_MethodHook(){

         @Override

         protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

         Key key1=(Key)param.args[1];

         byte[] keyBytes=key1.getEncoded();

         XposedBridge.log("javax.crypto.Cipher.init param1:" + bytesToHex(keyBytes));

            }

        });

        

        //hook一下加密前后的数据

        XposedHelpers.findAndHookMethod("javax.crypto.Cipher",loadPackageParam.classLoader,"doFinal", byte[].class,new XC_MethodHook(){

         @Override

         protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

         byte[] data=(byte[])param.args[0];

         XposedBridge.log("javax.crypto.Cipher.doFinal param0:" + bytesToHex(data));

            }

         @Override

         protected void afterHookedMethod(MethodHookParam param) throws Throwable {

         byte[] data=(byte[])param.getResult();

         XposedBridge.log("javax.crypto.Cipher.doFinal result:" + bytesToHex(data));

            }

        });

        

    }

}

 

分析完毕!

完整的项目文件,样本文件,相关工具请大家自己动手完成。

袁赛因不花
关注
  • 8
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【异常】客户端发起HTTPS请求报错,服务端返回400 Bad Request ,并且提示No required SSL certificate was sent
本本本添哥
04-22 1万+
HTTP响应码400表示客户端发送了一个无效的请求。这可能是由于请求中缺少必需的参数或格式不正确等原因导致的。服务器无法处理此请求并返回400响应码。如果您正在编写Web应用程序,建议在处理请求时检查请求的有效性,并在必要时返回400响应码以指示客户端请求无效。
【Day11】Nginx实战训练营
张森纳的博客
02-10 337
41 配置Nginx单向SSL 42 配置Nginx双向SSL 43 Nginx错误日志 44 Nginx访问日志-日志格式
https客户端、服务端代码样例
08-09
NULL 博文链接:https://missuforever.iteye.com/blog/2176041
Nginx配置ssl_client_certificate客户端认证问题
qq_34823218的博客
11-17 8483
问题1:ssl_client_certificate配置的CA证书格式错误 参考Minitutorialforconfiguringclient-sideSSLcertificates和ClientSideCertificateAuthinNginx配置客户端证书认证,配置好后,在浏览器使用证书认证报400错误 400BadRequest NorequiredSSLcertificatewassent 按照教程,生成相关证书都没有问题,在配置nginx的...
SpringBoot中如何在服务器进行校验
最新发布
qq_58341172的博客
05-25 744
数据校验就是数据的合法性检查,在服务器端也可以对数据进行校验,一般使用JSR303校验JSR303是Java为Bean数据合法性校验提供的标准框架,是一种声明式校验JSR303通过在Bean属性上标注类似于@NotNull、@Max等注解来指定校验规则,并通过标准的验证接口对Bean进行验证JSR303的扩展: Hibernate Validator扩展注解Hibernate Validator是JSR303的一个参考实现,除支持所有标准的校验注解外,它还支持以下的扩展注解。
微信小程序-微信支付退款
dong_chl的专栏
06-08 3681
微信小程序-微信支付退款 官方接口文档及相关附件 申请退款 SDK 错误集锦 调用该https://api.mch.weixin.qq.com/secapi/pay/refund接口需要应程序安装API证书才可以,否则会提示以下错误: <head><title>400 No required SSL certificate was sent</title></head> <body bgcolor="white"> <center>
HTTP请求报错:400 Bad Request解决方法!!(终极整理)
热门推荐
good_good_xiu的博客
04-03 36万+
问题场景:当项目的前端页面使用ajax请求访问后端时,出现该错误。 我这里是测试接口时,发生了错误。 原因一:请求参数个数不对。 后端接口上明确规定了请求参数的个数。比如:接口(方法)中的值中使用了requestparam注解,requestparam注解中有个require属性,默认为true,意思则是,必须要传该参数的值(该参数不可为空)。 解决办法: 1.如果该参数是可传可不传的,修改require属性为false。 2.检查前端js文件中对应的ajax请求中的请求数据是否为空,或者是否有该参数。
nginx 根证书 服务器证书,Nginx双向证书校验服务器验证客户端证书
weixin_35730840的博客
07-30 3805
1、创建Root CA私钥openssl genrsa -out root-ca.key 10242、创建Root CA证书请求openssl req -new -out root-ca.csr -key root-ca.key3、签发Root CA根证书openssl x509 -req -in root-ca.csr -out root-ca.crt -signkey root-ca.key ...
curl 校验服务器证书代码
03-09
在给定的`curl 校验服务器证书代码`场景中,开发者使用了`libcurl`库,这是一个强大的客户端URL传输库,支持多种协议,包括HTTPS。`libcurl`提供了一种方式来扩展其默认的SSL行为,允许用户自定义证书验证过程。这...
httpclient 绕开HTTPS证书校验
07-05
这时,`httpclient`库提供了一种解决方案,允许我们以非标准方式配置客户端,从而忽略证书校验错误。 `httpclient`是一个强大的Java库,用于执行HTTP请求,支持多种协议,包括HTTPS。在`httpclient-4.2.5.jar`这个...
socket安全策略,服务器与AS3客户端源码
11-11
本主题将深入探讨如何在服务器与AS3(ActionScript 3)客户端之间实施安全的Socket连接,以及如何通过C#实现服务器端的代码。 首先,让我们了解Socket的基本概念。Socket是网络通信中的一个接口,它允许两个网络...
SSL双向认证SSL双向认证
03-02
SSL双向认证SSL双向认证
SpringBoot 整合 TrueLicense 实现 License 的授权与服务器许可1
08-03
接下来,我们需要编写代码来获取服务器的这些硬件信息。对于Linux系统,可以使用命令行工具获取;对于Windows系统,可能需要调用相应的API。这些信息将用于比较许可文件中的允许值,确保许可的有效性。 在创建许可...
curl报错400 网站却能正常访问(原因)详解
qq_35151346的博客
08-15 8941
一、问题   1.我们在浏览器中输入url地址,能正常访问网页,但是当我们使用curl "地址"时返回400错误 二、原因 1.如果该请求是属于post请求,我们在浏览器中输入"http://dsdd?name=dssd";是可以访问的   2.但是在curl命令中,默认使用的get方式请求,所以需要我们手动设置一下。 -X 参数:后面接请求方式  ...
java p12证书验证_authentication - 使用.p12证书验证Selenium WebDriver(Java) - SO中文参考 - www.soinside.com...
weixin_33837846的博客
02-28 411
我找到了部分解决方案。在其他情况下,它可能是我所需要的全部,但是,由于我将在最后描述的原因,这里是不够的。这个问题有两个方面。首先,我需要设置Selenium来接受服务器证书。其次,我需要让Selenium将.p12证书提供给服务器。要接受服务器证书,我做了类似以下的事情:DesiredCapabilities capabilities = DesiredCapabilities.firefo...
java 客户端 证书_Java不发送客户端证书
weixin_42509833的博客
02-21 443
我在Java 1.7上使用HttpClient 4.2.3连接到由nginx托管的远程服务器 . 我的组织广泛使用PKI,远程和客户端都拥有由公共CA颁发的证书 .服务器有一个如下所示的签名链:CN=Server 123, OU=Servers, OU=My Division, O=My Org, C=USCN=My Division CA, OU=My Division, O=My Org, C...
Nginx配置SSL
baidu_39267608的博客
09-02 480
Nginx配置示例(单向) cp /etc/pki/ca_test/server/server.* /usr/local/nginx/conf/ { listen 443 ssl; server_name www.lsylinux.com; index index.html index.php; root /data/wwwroot/lsylinux.com; ...
Linux机器安装Nginx配置并实现双向认证
杰孑的博客
12-15 2026
Linux机器上安装Nginx配置环境并实现双向证书认证详细实现过程总结。
okhttp 忽略https的证书校验
09-03
在使用OkHttp时,如果我们想要忽略HTTPS的证书校验,可以通过自定义一个用于信任所有证书的信任管理器来实现。 首先,我们需要创建一个TrustManager的实现类,该类用于信任所有的证书。可以通过重写checkClientTrusted和checkServerTrusted方法来实现,这两个方法在验证客户端服务器证书时被调用,我们可以在这里不进行任何校验直接返回一个空的链表。 接下来,我们需要创建一个SSLContext对象,并使用我们自定义的TrustManager进行初始化。然后,使用这个SSLContext对象创建一个SSLSocketFactory对象。 最后,我们将这个SSLSocketFactory对象设置到OkHttpClient中的SSL socket factory中,这样OkHttp在发起HTTPS请求时就会忽略证书校验了。 下面是一个示例代码: ```java // 创建信任所有证书的TrustManager X509TrustManager trustManager = new X509TrustManager() { @Override public void checkClientTrusted(X509Certificate[] chain, String authType) throws CertificateException { // 可以不进行任何校验直接返回 } @Override public void checkServerTrusted(X509Certificate[] chain, String authType) throws CertificateException { // 可以不进行任何校验直接返回 } @Override public X509Certificate[] getAcceptedIssuers() { return new X509Certificate[0]; } }; try { // 创建一个SSLContext并使用我们的TrustManager初始化 SSLContext sslContext = SSLContext.getInstance("TLS"); sslContext.init(null, new TrustManager[]{trustManager}, null); // 创建SSLSocketFactory SSLSocketFactory sslSocketFactory = sslContext.getSocketFactory(); OkHttpClient client = new OkHttpClient.Builder() .sslSocketFactory(sslSocketFactory, trustManager) .build(); // 使用client发起HTTPS请求 // ... } catch (Exception e) { e.printStackTrace(); } ``` 需要注意的是,忽略HTTPS的证书校验存在一定的安全风险,因此建议仅在开发环境中使用,并在正式环境中使用正规的证书进行校验

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值