通过修改根证书绕过rustls的证书固定机制,抓包解密ssl流量

已于 2023-05-09 08:16:12 修改
阅读量1.2k 收藏
点赞数
文章标签: ssl rust https
于 2023-05-08 17:54:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fjh1997/article/details/130556233
版权

例子,cloudflare的warp-svc.exe。抓包获取密钥。
用proxifier尝试了一下强行代理,无效,因为proxifier是通过Hook Socket函数方式实现的,但这个程序可能没有用Socket函数进行通信。
之后发现通过nekoray基于gvisor的VPN白名单模式全局路由可以强制代理。但发现MITMproxy抓不了包而且在Event Log返回sslv3 alert bad certificate。
在这里插入图片描述
这说明warp-svc.exe在和MITMproxy 进行ssl握手的时候发现MITMproxy 的证书不对,然后就向MITMproxy发送sslv3 alert 信息然后中断连接。问题是,我已经将MITMproxy 的证书存储到windows的根证书目录里面,但仍然出现这种情况,说明warp-svc.exe内部固定了证书发行机构。

尝试了google的ssl_log,无效,ssl_log的原理是hook openssl库,可能这个程序没有用openssl库来处理tls。
过IDA pro查看发现有很多cargo的字样,猜测是rust写的。进一步搜索alert 发现一个字符串"Sending warning alert",网上一查发现是rustls库里的字符串,那么就从rustls入手。
先从bad certificate开始搜索rustls的源码,由于bad certificate在ssl握手里的序号是42,
在这里插入图片描述
42是0x2a,先搜索0x2a
在这里插入图片描述
发现是个枚举类型,接着搜索BadCertificate发现有三种类型对应这个alertBadEncoding | UnhandledCriticalExtension | NotValidForName

在这里插入图片描述
前面两个错误不太可能发生,那么NotValidForName最可能,接着搜索发现在pkierror里面:
在这里插入图片描述
接着搜索pki_error
在这里插入图片描述
发现确实有固定证书的情况,就是self.roots的这个变量。发现确实内部固定了根证书:

在这里插入图片描述

接着搜索RootCertStore,发现在anchors命名空间里

在这里插入图片描述

去anchors命名空间里翻找发现结构体RootCertStore是OwnedTrustAnchor类型是vector数组
在这里插入图片描述
接着搜索OwnedTrustAnchor找到它的结构体
在这里插入图片描述
那么RootCertStore 是从哪里赋值的呢?代码里没搜到,通过readme可以看到,example里面有个tlsclient-mio.rs,应该是调用rustls的例子:在这里插入图片描述
从里面可以看到RootCertStore 被webpki_roots::TLS_SERVER_ROOTS所赋值,于是去寻找webpki_roots发现确实有这样一个项目,这个项目里面有个脚本build.py,生成了src/lib.rs文件,进入这个文件一看:
在这里插入图片描述
发现根证书的存储方式是存储subject和spki,这两个值通过src/bin
/process_cert.rs这个程序处理证书然后生成,通过cargo build之后在target文件夹里面生成的process_cert.exe文件。

其中每个证书的spki大小都只有几种,而subject大小不一样。去IDA里面搜索subject代表的二进制数值,果然搜到了。

在这里插入图片描述

之后的思路就简单了,直接用openssl生成一个相同大小subject和spki的的证书然后使用process_cert.exe提取出来,再使用010editor替换目标程序warp-svc.exe里面的字节串即可。一个简单的方法是使用与你的目标域名的签发机构根证书相同的生成信息,比如api.cloudflareclient.com的根证书是Baltimore CyberTrust Root,提取出来后使用命令

 openssl x509 -in '.\Baltimore CyberTrust Root.crt' -noout -text

得到它的subject:

 Subject: C = IE, O = Baltimore, OU = CyberTrust, CN = Baltimore CyberTrust Root

然后使用openssl生成subject一模一样的证书

openssl genrsa -out ca.key 2048
openssl req -new -x509 -key ca.key -out ca.crt
#按照之前提取的信息填写
cat ca.key ca.crt >mitmproxy-ca.pem

最后用process_cert.exe处理这个证书提取出二进制格式的subject和spki并使用010editor替换目标程序warp-svc.exe里面的字节串。

将这个证书安装到系统根证书目录以及mitmproxy的根证书目录C:\Users\用户名\.mitmproxy之后就能抓包解密流量了,需要注意的是如果抓不到包,则可能是因为域名解析的地址是ipv6的因为nekoray里的ipv6vpn有些bug。

fjh1997
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Rust SSL error 怎么解决
tomcat的专栏
12-19 2366
Rust SSL error 怎么解决 Rust 官方给的建议是配置 net.git-fetch-with-cli = true,实际测试发现问题仍然在 正确的解决办法: sudo yum install openssl 重启再次执行即可!
证书配置以及抓包过程
2301_80627612的博客
10-30 289
证书下载成功并且出现在burp suite的同级目录中。在搜索栏输入www.baidu.com回车键出现下图。给证书起名为cacert.der 然后点击next。点击完4后出现以下框点击第一个然后next。打开burp 点击proxy然后点击橙键。找到刚才下载好的证书点击打开就成功了。打开火狐浏览器点击右上角然后点击设置。点击repeater然后点击send。在设置中搜索证书,然后查看证书。出现下图后点击render。
Android平台HTTPS抓包全方案,理解透彻
最新发布
2401_84152911的博客
04-07 679
比如上面的例子,抓包工具用内置的CA证书,创建了域名的公钥证书发给Client,系统校验此证书时发现是用户CA证书签发的,sorry。。。那么,我们如果绕过这种限制呢?已知有以下四种方式(低于7.0的系统请忽略)。
linux下加密解密初探
weixin_34413357的博客
08-26 88
加密:明文-------密文————————》密文 解密encryptiondecryption加密是让数据从明文变成密文,传输过程中是密文,传送过去之后对方接收到的也是密文。可以理解为密文就是乱码,看不出内在的任何意义,通常也都是逐位对应的。在接收方接收到密文之后只有把它还原为原来的样子才可以理解对方说的具体是什么,此过程就叫做解密。加密解密的特性,加密解密方使用的加密解密...
抓包的三种方法
难搞定做的博客
07-08 7570
小程序我们无法直接通过浏览器进行访问,所以我们抓取手机(模拟器)的流量来对小程序进行抓包,这里借助夜神模拟器来进行演示。是一款常用的网络抓包工具,通过将自己设置成系统的网络访问代理服务器,用于调试与服务器端的网络通讯协议,除了常见的。等,我们往往会使用不同的抓包方案来完成我们测试,以下便是笔者本人在不同场景下使用的三套抓包方案。天免费使用权限,试用期过后,未付费的用户仍然可以继续使用过,但每次使用时间不能超过。以下版本,不管微信任意版本,都会信任系统提供的证书。由于微信的更新,太高版本的微信可能抓不到。
mitmproxy的介绍以及配置过程中的问题
编辑编辑器
08-16 2817
提示:以下是本篇文章正文内容,下面案例可供参考。
手机抓包证书
12-03
手机爬虫必备,iOS用邮箱发送到手机打开安装,安卓系统直接拷贝安装,
Android 7.0+抓包https突破ssl-pinning方案抓包插件.zip
03-17
Android 7.0+ 抓包https方案,突破ssl-pinning 使用方法:https://blog.csdn.net/u014644574/article/details/104930877
在Serv-U中使用SSL证书增强FTP服务器安全性图文设置方法
01-10
虽然Serv-U 在安装之时就已经自动生成了一个SSL证书,但这个默认生成的SSL证书在所有的Serv-U服务器中都是一样的,非常不安全,所以我们需要手工创建一个新的SSL证书。 以Serv-U6.0汉化版为例,在“Serv-U管理员”...
安卓手机抓包神器 ssl抓包神器_VIP.apk
03-12
【软件名字】:SSL抓包神器 【软件版本】:V1.1.0 【软件语言】:中文 【软件大小】:3.11MB 【支持系统】:安卓2.2之上 【软件简介】:安卓最牛抓包神器,N多技术达人的最爱,此版本为破解专业版,强烈推荐一波。
Instagram_SSL_Pinning:在Instagram Android应用中绕过SSL固定
02-25
弃用:使用Facebook白帽设置Instagram_SSL_Pinning 绕过Instagram SSL锁定ARM and X86 注意:延迟一分钟后可能会显示第一个请求警告:使用此补丁后,任何人都可以拦截您的请求方法: 从Apkmirror下载Instagram APK...
CloudFlare防护下的破绽:寻找真实IP的几条途径
热门推荐
陈建慧程序人生
01-20 1万+
看Twitter发现CloudFlare总裁什么的最近很高调,北京、香港的跑着参加会议、发表演说什么的,CloudFlare似乎也没那么牛逼吧。前段就关注过比较火热的CloudFlare如何抵御住大流量的攻击。政治跟咱没毛线关系,但你说你那么牛,这就有点不太合适了吧。 目前大部分的网站都基于虚拟化部署,说的高大上一点就是云技术和CDN技术。在闲暇之余也关注过这个事情,毕竟是比较先进的技术,以前传
Rust日报】2022-11-29 Wirefish:基于 Tauri 的跨平台数据包嗅探器
Rust语言学习交流
11-29 564
Wirefish:基于 Tauri 的跨平台数据包嗅探器作者 stefanodevenuto 通过 Rust + Tauri 实现,构建了一个类似 Wireshark 的跨平台数据包嗅探器。这个应用离生产阶段当然还很远,功能和页面上还有很多改善的空间,但是代码组织良好,并有完善的文档记录,对 Rust 跨平台应用和网络数据包技术感兴趣的小伙伴,不妨通过这个项目学习一下,也欢迎贡献。代码仓库链接:...
【WAX云钱包】Cloudflare反爬虫突破(SSL指纹识别)
软件架构农
02-27 1万+
WAX云钱包 在之前的多篇文章中,我们使用【Python】+【Selenium】来实现WAX链游脚本,主要是因为很多玩家一开始都是用WAX云钱包注册的账号,而WAX云钱包的私钥托管在云端,我们没法拿到私钥放到【eosjs】中去直接调用智能合约,所以最终的脚本需要借助【Selenium】和【Chrome】浏览器来运行,因为我们需要在【Chrome】中注入javascript去调用WAX云钱包提供的SDK【waxjs】,这个【waxjs】有一个l【login】方法和一个【api.transact】,调用的时候会
某些app无法抓包问题(续)
chilly
03-08 5014
1. 如果你的android 版本是7.0及其以上, 你安装的证书都是默认安装在用户目录下,而不是安装在系统目录下, 系统不信任你安装的证书,证书无效,导致charls, fiddle这类抓包工具无法抓包. 解决方法是将charls证书移动到系统路径下,这个过程需要手机root, 我个人是通过Magisk的插件Move Certificates , 该插件每次开机会将用户证书移动到系统证书下. 或者通过adb命令手动将证书放置在系统证书目录下, https://my.oschina.net/u/408.
Android平台HTTPS抓包全方案
CHAMPION8888的博客
11-26 957
前言 HTTP协议发展至今已经有二十多年的历史,整个发展的趋势主要是两个方向:效率和安全。效率方面,从HTTP1.0的一次请求一个连接,到HTTP1.1的连接复用,到SPDY/HTTP2的多路复用,到QUIC/HTTP3的基于UDP传输,在效率方面越来越高效。安全方面,从HTTP的明文,到HTTP2强制使用TLSv1.2,到QUIC/HTTP3强制使用TLSv1.3,越来越注重数据传输的安全性。总而言之,HTTP协议的发展对用户是友好的,但是对开发者而言却不那么友善。 抓包是每个程序员的必修技能之一,.
Android平台HTTPS抓包全方案,framework源码
m0_55956883的博客
09-09 994
<?xml version="1.0" encoding="utf-8"?> <manifest … > <application android:networkSecurityConfig="@xml/network_security_config" ... > ... </application> <?xml version="1.0" encoding="utf-8"?> <network-securi.
OpenSSL源码之erro定位两种方法
村中少年的专栏
05-07 6938
看了openssl的erro模块,简单聊一聊该模块的一些事情。
启黄鸟抓包安装证书ssl
12-18
启黄鸟是一款用于网络抓包的工具,可以用于分析网络请求和响应数据,帮助开发者进行网络调试和安全测试。要在启黄鸟中安装SSL证书,可以按照以下步骤进行操作: 首先,我们需要下载SSL证书。可以在启黄鸟官方网站或其他可信的渠道上获取证书文件,通常以.pem或.crt为后缀。 然后,打开启黄鸟应用,进入“设置”选项。在设置页面中,找到“证书安装”或类似选项。点击该选项,可以看到已安装的证书列表。 接下来,点击“添加证书”或“导入证书”按钮。在弹出的文件浏览器中,选择我们之前下载的SSL证书文件。 完成上述步骤后,启黄鸟会自动安装该证书。在安装过程中可能会要求输入设备的解锁密码或其他安全验证信息。 安装完成后,我们可以在启黄鸟的证书列表中看到刚才安装的SSL证书。确保该证书的状态为“已安装”。 最后,启动启黄鸟的抓包功能,即可开始抓取网络流量。在抓包过程中,启黄鸟会自动对使用安装的SSL证书HTTPS请求进行解密,方便我们进行网络分析。 需要注意的是,在使用启黄鸟进行抓包时,需要确保遵守法律法规和道德规范。同时,由于抓包会涉及到敏感数据的传输,所以在使用启黄鸟进行抓包时,应该保证其在安全的环境下进行,避免数据泄露和滥用的风险。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值