服务器校验客户端证书分析及代码

最新推荐文章于 2024-05-18 13:56:01 发布
最新推荐文章于 2024-05-18 13:56:01 发布
阅读量8.1k 收藏 20
点赞数 8
分类专栏: 安全分析 文章标签: app逆向
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dieTicket/article/details/84076835
版权

当前app安全越来越受到重视,很多app采取了HTTPS的协议,但是一般app都不会对证书进行校验,一些app只是客户端对服务端证书进行了强校验,也就是通常呢,抓包的时候app提示无网络连接或者网络连接错误,这种情况就是app发现证书是伪造的,并不是服务器的证书,因此中断了通讯。这个时候可以通过逆向app,找到校验的代码,过掉即可,偷懒的话可以尝试justTustMe模块来过掉。今天我们的重点是如何在服务器强校验客户端证书的情况下,抓到数据包,相关内容在网上很少见,以下仅仅抛砖引玉做个简单的示范,不涉及高级逆向。

可能大家遇到过这种情况,在抓包的时候,

fiddler提示:服务器请求客户端证书。

相关访问返回内容为:

<html>

<head><title>400 No required SSL certificate was sent</title></head>

<body bgcolor="white">

<center><h1>400 Bad Request</h1></center>

<center>No required SSL certificate was sent</center>

<hr><center>nginx</center>

</body>

</html>

这种情况是由于客户端内置了客户端证书。常规条件下,客户端在与服务器进行通讯的时候,会将自己的证书发送给服务器,服务器校验证书的合法性,当我们采用fiddler代理的时候,默认使用的是fiddler的证书,当然对方服务器不认可fiddler的证书,所以会提示错误。

这种情况怎么办?

这儿我们以翼健康app为例进行说明。

使用的工具:

Fiddler,抓数据包

JEB,反编译app

安装好xposed的雷电模拟器

Eclipse,编写xposed模块

...

以上工具均可以百度到,所以这儿不放链接了。

 

首先,随便抓一条数据包:

可以看到,对于数据包的内容,我们是可以清楚的看到的,但是服务器返回错误。

 

我们直接解压app,在./assets目录下,发现客户端证书client.pfx

当我们进行双击安装证书的时候发现需要密码,这个时候没有办法,我们只能尝试逆向app。

 

我们在manifest文件中可以看到,app包名是com.gdhbgh.activity,入口是com.telecom.vhealth.ui.activities.WelcomeActivity,那么在逆向app的时候,要重点关注telecom下的http的相关类或者方法,这个是常规思路,证书操作肯定会和通讯类放在一起。

 

使用JEB逆向app,果然发现了有com.telecom.vhealth.http.utils.HttpUtils类。这儿给大家解释一下我为什么第一时间找到这个类,首先根据入口定位到了com.telecom.vhealth。App一般代码都是模块化,集成化。所以我们需要第一时间关注相关http包,在包里面我们重点关注工具类或者服务类。当然了,如果比较难找,我们也可以采取别的思路,比如直接搜索证书的名字,定位关键位置,或者搜索网页访问的地址,我们定位一下http访问的类,在进入到类里面看看是怎么样设置证书的等等,方法有很多,大家需要发挥一下,不要拘泥于一种方法。

言归正传,运气很好,在HttpUtils类里面我们发现了getSocketFactory获取连接工厂这个函数。不管是从方法名还是具体的代码,我们都基本确定关键函数就在这儿了。

摘录其中关键语句给出注释:

InputStream v3 = arg7.getAssets().open("client.pfx");  // 读入证书文件

KeyStore v4 = KeyStore.getInstance("PKCS12");  // Key存储器初始化

v4.load(v3, v0_1);  // Key存储器载入客户端证书文件,参数一为证书,参数二为密码

我们向上找找v0_1是从哪儿蹦出来的,发现关键语句:

char[] v0_1 = EncryptUtils.getHttpSign(arg7).toCharArray();

进入EncryptUtils类,发现是两个native函数,相关代码在so里面,

分析so还是比较麻烦的,直接省略分析so文件,我们使用xposed来hook这个参数。这儿呢,我选择hook了KeyStore的load的方法。原因呢,我个人认为容错性比较高,省的来回写代码。

相关xposed的入门教程请大家百度。Xposed还是很容易入门以及上手的。

贴出代码:

运行模块,成功拿到证书密码:vhealth2016

拿到密码,我们转到电脑端,首先双击client.pfx,将证书文件安装进电脑,然后本地在证书管理里面将证书导出为base64编码的cer证书文件或者百度证书转换工具,将pfx证书转换为pem文件,pem文件包含了公钥和私钥,我们手动提取出公钥数据新建一个cer文件就ok,觉得不够严谨可以使用openssl命令来转换。Cer文件是用于存储公钥证书的文件格式。

 

我们把生成的ClientCertificate.cer文件放入fiddler的文件目录下。然后重启fiddler,就可以发现成功抓包:

对于数据中的sign,我们也可以顺便分析一下:

以下是跟踪路径,自己分析就好,我列的代码可直接忽略:

((Map)v4).put("sign", HttpUtils.getHttpSign());

接下来:

public static String getHttpSign() {

        UnifiedUserInfo v1 = c.c();

        String v0 = "";

        if(v1 != null) {

            v0 = v1.getPhoneNumber();

        }



        return HttpUtils.getSign("|", new String[]{String.valueOf(System.currentTimeMillis()), v0});

}

接下来:

public static String getSign(String arg3, String[] arg4) {

        StringBuilder v1 = new StringBuilder();

        int v0;

        for(v0 = 0; v0 < arg4.length; ++v0) {

            v1.append(arg4[v0]);

            if(!TextUtils.isEmpty(((CharSequence)arg3)) && v0 < arg4.length - 1) {

                v1.append(arg3);

            }

        }



        return HttpUtils.encryptByPk(v1.toString());

}



最后定位到:

private static String encryptByPk(String arg5) {

        String v0_2;

        String v1 = null;

        try {

            Object v0_1 = new ObjectInputStream(YjkApplication.getContext().getAssets().open("public.ppk")).readObject();

            byte[] v2 = arg5.getBytes("utf-8");

            Cipher v3 = Cipher.getInstance("RSA/ECB/PKCS1Padding");

            v3.init(1, ((Key)v0_1));

            v0_2 = f.a(v3.doFinal(v2));

        }

        catch(Exception v0) {

            s.a(((Throwable)v0));

            v0_2 = v1;

        }



        return v0_2;

}

发现sign是采用了assets目录下的public.ppk文件作为公钥,RSA/ECB/PKCS1Padding为加密方式。我们顺便在xposed代码hook一下相关地方,瞅瞅加密前数据是什么,加密后的数据是什么,密钥是什么。

贴出完整xposed代码:

import java.io.InputStream;



import de.robv.android.xposed.IXposedHookLoadPackage;

import de.robv.android.xposed.XC_MethodHook;

import de.robv.android.xposed.XposedBridge;

import de.robv.android.xposed.XposedHelpers;

import de.robv.android.xposed.callbacks.XC_LoadPackage;



import java.security.Key;



public class Hook implements IXposedHookLoadPackage {



    private static String package_name = "com.gdhbgh.activity";



    //byte[]转16进制

    final protected static char[] hexArray = "0123456789ABCDEF".toCharArray();

    public static String bytesToHex(byte[] bytes) {

        char[] hexChars = new char[bytes.length * 2];

        for ( int j = 0; j < bytes.length; j++ ) {

            int v = bytes[j] & 0xFF;

            hexChars[j * 2] = hexArray[v >>> 4];

            hexChars[j * 2 + 1] = hexArray[v & 0x0F];

        }

        return new String(hexChars);

    }

    

    @Override

    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam loadPackageParam) throws Throwable {



        if (!loadPackageParam.packageName.equals(package_name)) {

         return;

        }

        XposedBridge.log(loadPackageParam.packageName +" -> load");

        

        //通过hook密钥加载函数来得到证书密钥

        final Class<?> clazz = XposedHelpers.findClass("java.security.KeyStore", loadPackageParam.classLoader);

        XposedHelpers.findAndHookMethod(clazz,"load", InputStream.class,char[].class,new XC_MethodHook(){

         @Override

         protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

         if((char[])param.args[1]==null) return;

         String s = new String((char[])param.args[1]);

         if(s==null) return;

         XposedBridge.log("java.security.KeyStore.load param1: " + s);

            }

        });

        

        //hook加密方法瞅瞅加密前数据是个啥玩意儿

        XposedHelpers.findAndHookMethod("com.telecom.vhealth.http.utils.HttpUtils",loadPackageParam.classLoader,"encryptByPk", String.class,new XC_MethodHook(){

         @Override

         protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

         XposedBridge.log("com.telecom.vhealth.http.utils.HttpUtils.encryptByPk param0:" + (String)param.args[0]);

            }

         @Override

         protected void afterHookedMethod(MethodHookParam param) throws Throwable {

         XposedBridge.log("com.telecom.vhealth.http.utils.HttpUtils.encryptByPk result: " + (String)param.getResult());

            }

        });

        

        //hook一下RSA的公钥数据

        XposedHelpers.findAndHookMethod("javax.crypto.Cipher",loadPackageParam.classLoader,"init", int.class,Key.class,new XC_MethodHook(){

         @Override

         protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

         Key key1=(Key)param.args[1];

         byte[] keyBytes=key1.getEncoded();

         XposedBridge.log("javax.crypto.Cipher.init param1:" + bytesToHex(keyBytes));

            }

        });

        

        //hook一下加密前后的数据

        XposedHelpers.findAndHookMethod("javax.crypto.Cipher",loadPackageParam.classLoader,"doFinal", byte[].class,new XC_MethodHook(){

         @Override

         protected void beforeHookedMethod(MethodHookParam param) throws Throwable {

         byte[] data=(byte[])param.args[0];

         XposedBridge.log("javax.crypto.Cipher.doFinal param0:" + bytesToHex(data));

            }

         @Override

         protected void afterHookedMethod(MethodHookParam param) throws Throwable {

         byte[] data=(byte[])param.getResult();

         XposedBridge.log("javax.crypto.Cipher.doFinal result:" + bytesToHex(data));

            }

        });

        

    }

}

 

分析完毕!

完整的项目文件,样本文件,相关工具请大家自己动手完成。

袁赛因不花
关注
  • 8
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【异常】客户端发起HTTPS请求报错,服务端返回400 Bad Request ,并且提示No required SSL certificate was sent
本本本添哥
04-22 1万+
HTTP响应码400表示客户端发送了一个无效的请求。这可能是由于请求中缺少必需的参数或格式不正确等原因导致的。服务器无法处理此请求并返回400响应码。如果您正在编写Web应用程序,建议在处理请求时检查请求的有效性,并在必要时返回400响应码以指示客户端请求无效。
curl 校验服务器证书代码
03-09
在给定的`curl 校验服务器证书代码`场景中,开发者使用了`libcurl`库,这是一个强大的客户端URL传输库,支持多种协议,包括HTTPS。`libcurl`提供了一种方式来扩展其默认的SSL行为,允许用户自定义证书验证过程。这...
微信小程序-微信支付退款
dong_chl的专栏
06-08 3652
微信小程序-微信支付退款 官方接口文档及相关附件 申请退款 SDK 错误集锦 调用该https://api.mch.weixin.qq.com/secapi/pay/refund接口需要应程序安装API证书才可以,否则会提示以下错误: <head><title>400 No required SSL certificate was sent</title></head> <body bgcolor="white"> <center>
客户端验证 证书解析
最新发布
m0_66993332的博客
05-18 889
关于数字证书和CA机构的一些介绍和个人理解
Nginx配置客户端SSL双向认证
yazhiye的专栏
12-10 3602
转自:https://www.cnblogs.com/qiumingcheng/p/13282145.html 对于 NGINX 的 HTTPS 配置,通常情况下我们只需要实现服务端认证就行,因为浏览器内置了一些受信任的证书颁发机构(CA),服务器端只需要拿到这些机构颁发的证书并配置好,浏览器会自己校验证书的可用性并通过 SSL 进行通讯加密。 但特殊情况下我们也需要对客户端进行验证,只有受信任的客户端才能使用服务接口,此时我们就需要启用双向认证来达到这个目的,只有当客户端请求带了可用的证书才能调通服.
【异常】调用SpringBoot接口时提示错误400 Bad Request No required SSL certificate was sent
本本本添哥
03-29 3966
双向认证是指客户端和服务端互相验证对方身份的过程,确保通信双方的安全性。
记一次帮朋友处理nginx报错400 Bad Request No required SSL certificate was sent
踏上征程
12-19 2645
nginx配置了双向认证,客户端也开启了https认证,但是证书并没有提供客户端ssl证书,禁用了客户端证书验证成功解决。还有一种更直接的解决方法,直接禁用client证书认证。
SSL双向认证(高清版)
Linvo's blog
06-26 1万+
上一篇介绍了SSL双向认证的一些基本问题,以及使用Nginx+PHP基于它搭建https的Webservice。 之前的方式只是实现1:1的模式,昨天同事继续实现了n:1的模式,这里我再整理记录下。 由于nginx的ssl_client_certificate参数只能指定一个客户端公钥,如果增加一个客户端进行通信就要重新配一个server。 n:1的模式是通过CA的级联证书模式实现的,首先自
httpclient 绕开HTTPS证书校验
07-05
这时,`httpclient`库提供了一种解决方案,允许我们以非标准方式配置客户端,从而忽略证书校验错误。 `httpclient`是一个强大的Java库,用于执行HTTP请求,支持多种协议,包括HTTPS。在`httpclient-4.2.5.jar`这个...
https客户端、服务端代码样例
08-09
在实际开发中,为保证安全性,应使用标准的CA签发的证书,并且在客户端代码中正确处理证书验证,避免信任所有证书。 总结一下,HTTPS的客户端和服务端代码涉及到SSL/TLS协议的实现,包括证书的管理和配置。服务端...
socket安全策略,服务器与AS3客户端源码
11-11
本主题将深入探讨如何在服务器与AS3(ActionScript 3)客户端之间实施安全的Socket连接,以及如何通过C#实现服务器端的代码。 首先,让我们了解Socket的基本概念。Socket是网络通信中的一个接口,它允许两个网络...
SpringBoot 整合 TrueLicense 实现 License 的授权与服务器许可1
08-03
接下来,我们需要编写代码来获取服务器的这些硬件信息。对于Linux系统,可以使用命令行工具获取;对于Windows系统,可能需要调用相应的API。这些信息将用于比较许可文件中的允许值,确保许可的有效性。 在创建许可...
http状态码(二)400报错
wzj_110的博客
12-17 4333
nginx是如何解析http。nginx常见400报错。
Nginx配置ssl_client_certificate客户端认证问题
qq_34823218的博客
11-17 8422
问题1:ssl_client_certificate配置的CA证书格式错误 参考Minitutorialforconfiguringclient-sideSSLcertificates和ClientSideCertificateAuthinNginx配置客户端证书认证,配置好后,在浏览器使用证书认证报400错误 400BadRequest NorequiredSSLcertificatewassent 按照教程,生成相关证书都没有问题,在配置nginx的...
一个ssl双向认证教程
qq_34823218的博客
11-17 844
介绍了SSL双向认证的一些基本问题,以及使用Nginx+PHP基于它搭建https的Webservice。 之前的方式只是实现1:1的模式,昨天同事继续实现了n:1的模式,这里我再整理记录下。 由于nginx的ssl_client_certificate参数只能指定一个客户端公钥,如果增加一个客户端进行通信就要重新配一个server。 n:1的模式是通过CA的级联证书模式实现的,首先自己生成一套CA根级证书,再借助其生成二级证书作为client证书。 此时client私钥签名不仅可以通过对应的cli
网站ssl证书出现错误如何解决
蔚可云的博客
09-16 1159
电脑是我们现在生活中不可缺少的工具了,使用时我们常常会遇到各种问题,所以现在小编就来给大家说一下,显示https证书错误怎么办?希望大家能够看到以后,就能够知道他的解决办法。 一、显示https证书错误怎么办 在使用电脑的时候显示https证书错误怎么办?我们首先要打开电脑自带的le浏览器,点击右上角的齿轮图标,然后弹出对话框。在内容选项卡点击证书按钮在点击左下方的导入选项,在弹出对话框中有下一步,然后导入相关网站的证书就可以解决,显示https证书错误怎么办的这个问题,我们了解了解决办法然后我们再
用jmeter通过ssl验证访问https
热门推荐
fvafuc的专栏
11-10 1万+
找了一个支付宝的网站尝试。https://memberprod.alipay.com/account/reg/index.htm 我用的是chrome,点这个小锁 如果是IE也可以在网页上右键,属性,高级,证书 看到如下画面,点击copy to file导出证书 把导出的证书打成.store 设置访问密码
某社交App cs签名算法解析(一) SSL双向认证
fenfei331的博客
05-24 786
一、目标 奋飞: 老板,咱们得招几个妹子呀,咱们公司男女比例太失衡了。 李老板: 你去这个App上晃晃,据说上面妹子很多。 我去,包都抓不到,耍个毛线呀。 TIP: 新鲜热乎的 v3.83.0 二、步骤 SSL双向认证 问了下谷歌,有不少同道都遇到了返回值是 400 No required SSL certificate was sent 这种情况。 他们一致认为,是遇到了SSL双向认证。 不过谷歌传来的消息是,搞SSL双向认证很简单,把客户端证书,搞出来,然后再导入到 Charles,就大功告成了。 c
OPENSSL s_client 实例测试- SSL连接双向验证
wk59121的专栏
11-06 3819
在特殊情况下,我们需要使用TLS的双向认证,大部分网站都是支持双向认证的,但是并不是强制的。 在连接网站时,我们只关注这个网站是不是经过认证的网站,而不是钓鱼网站。但很少有网站要求,客户端必须是我允许的,经过我认证的,才可以连接。 在此我们对双向验证做个测试,使用的公司必须进行双向认证的服务器。 测试分为三个: 1、不带证书,连接服务器 2、带错误证书,连接服务器 3、带正确证书连接服务器 测试准备 操作工具:OPENSSL 可自行下载安装。 自签名证书,自签名证书的私钥 ...
okhttp 忽略https的证书校验
09-03
可以通过重写checkClientTrusted和checkServerTrusted方法来实现,这两个方法在验证客户端服务器证书时被调用,我们可以在这里不进行任何校验直接返回一个空的链表。 接下来,我们需要创建一个SSLContext对象,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值