某音短视频APP 最新版(21.8)SSL PINNING 绕过

已于 2023-07-31 14:20:59 修改
阅读量9.9k 收藏 78
点赞数 36
分类专栏: python 文章标签: https ssl http fiddler 逆向
于 2022-05-12 23:55:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jx_ZhangZhaoxuan/article/details/124742871
版权

本文主要讲解在短视频APP上逆向抓包遇到的坑,通过本文方法可以顺利使用抓包工具抓到数据包,也可以通过文中介绍的获取proto文件的方法,使用编程语言解析数据包中的内容。

文末还会提供编译好的proto类,可以直接解析response。

客户端抓包

一般抓包都是采用中间人的方式,即在客户端用户与网站服务器中间,安插一个代理。所有客户端发送的包与服务器返回的包都经过这个中间人代理转发。

对于https的应用,需要伪造信任证书,对客户端充当服务器,对服务器充当客户端。

初次尝试

开始下载了5.0版的安卓模拟器,下载了比较旧的某音APP 17.3版本,发现是可以抓到包的,但是无法登陆,提示版本过低。所以只能升级APP版本,但升级到最新版发现之前的抓包工具无法抓到包了,提示 SSL Handshake Failed。

SSL Pinning

[SSL Pinning]分为两种:

  • Certificate Pinning(证书锁定)证书锁定即APP仅接受指定域名的证书,而不接受其他任何证书。
  • Public Key Pinning(公钥锁定)公钥锁定则是提取证书中的公钥并内置到移动端APP中,通过与服务器对比公钥值来验证连接的合法性。

在Android N(Android 7.0 API 24)及以后版本,由CA权威机构签发的证书,其根证书都内置在最新的[Android操作系统]中,因此默认情况下可不进行SSL证书锁定。因此该版本之前的安全性设置仍然需要使用证书锁定方法,即自建证书在客户端强制判断,以达到防止中间人攻击(MITM)的目的。

突破ssl pinning

客户端在收到服务器的证书后,对该证书进行强校验,验证该证书是不是客户端承认的证书,如果不是,则直接断开连接。所以会出现 SSL Handshake Failed 的情况。想破解客户端证书锁定有以下几种方式:

  1. 将证书安装到系统证书中
  2. xposed(virtualxposed) 及其插件 [JustTrustMe]
  3. 修改app中的证书判断源码
  4. 使用动态插桩框架如Frida、Unidbg

系统证书

如果是安卓7以上,因为有系统功能限制,可以尝试将mitm证书安装到系统目录。

系统证书的目录是:/system/etc/security/cacerts/

每个证书的命名规则为:<Certificate_Hash>.<Number>

<Certificate_Hash> 表示证书文件的 hash 值, 是为了防止证书文件的 hash 值一致而增加的后缀;

证书的 hash 值可以由命令计算出来,在终端输入 openssl x509 -subject_hash_old -in <Certificate_File>,其中 <Certificate_File> 为证书路径,将证书重命名为 hash.0 放入系统证书目录,之后你就可以正常抓包了。

抖音是使用自建证书,此方法无效

Xposed

Xposed框架是一套开源的、在Android root模式下运行的框架,它可以在不修改APP源码的情况下通过Hook方式去影响程序的运行。

JustTrustMe 是一个用来禁用、绕过 SSL 证书检查的基于 Xposed 模块。JustTrustMe 是将 APK 中所有已知用于校验 SSL 证书的 API 都进行了 Hook,从而绕过证书检查。

安装xposed需要root手机,且安装繁琐,启动APP时需要同时启动该框架。

但是抖音是采用自建证书来实现,JustTrustMe内置方法无法匹配到关键函数名。

修改用于证书校验的native层

使用IDA PRO打开so文件,通过搜索cert等关键字,一顿搜索之后发现。看返回值是1,但是经过查阅发现 返回值为0的时候才是 ssl_verify_ok

所以我们动下小手给他改成0,然后apply patchs,将so文件保存。

在这里插入图片描述

然后把修改过的so复制到你的安卓手机上,这种方案,手机必须ROOT,因为我们要替换lib下面的libsscronet.so,修改一下文件权限重启APP即可抓包

替换so文件

联想模拟器:adb connect 127.0.0.1:11509
mumu模拟器:adb connect 127.0.0.1:7555

adb connect 127.0.0.1:11509
adb push ./libsscronet20.7.so /data/app/com.ss.android.ugc.aweme-1/lib/arm

adb shell 
rm -rf /data/app/com.ss.android.ugc.aweme-1/lib/arm/libsscronet.so

mv /data/app/com.ss.android.ugc.aweme-1/lib/arm/libsscronet20.7.so /data/app/com.ss.android.ugc.aweme-1/lib/arm/libsscronet.so 

chmod 777 /data/app/com.ss.android.ugc.aweme-1/lib/arm/libsscronet.so

protobuf

拿到数据包之后发现里面文字显示都不正常,通过请求头发现,原来使用的谷歌的protobuf协议,类似json和xml用于两端数据传输,因为protobuf更节省空间,传输过程中将变量名省略,变量名都以文件的方式存储在服务器和客户端上,所以我们需要使用Python的
blackboxprotobuf库来解析。

import blackboxprotobuf

with open('./douyin_.txt', 'rb') as f:
    print(blackboxprotobuf.protobuf_to_json(f.read()))

或者也可以使用官方protoc解析。需要先下载[protoc]

import subprocess


def decodes(data):
    """
    如果上传到linux线上服务器,需要chmod+x protoc赋予权限。
    """
    process = subprocess.Popen([r'protoc', '--decode_raw'],
                               stdin=subprocess.PIPE, stdout=subprocess.PIPE, stderr=subprocess.PIPE)

    output = error = None
    try:
        output, error = process.communicate(data)
    except OSError as e:
        pass
    finally:
        if process.poll() != 0:
            process.wait()
    return output

with open('./douyin_.txt', 'rb') as f:
    data = str(decodes(f.read()), encoding='utf8')
    print(data)

但是以上方法均不能拿到对应键值,取数据时比较麻烦。

逆向获取proto

方法来源于这个帖子[抖音直播间弹幕protocbuf分析]

首先用jadx反编译apk包。因为某音最新版(21.8)安装包较大。本人的16G机器hold不住。所以本人用的是低版本的apk包(之后借用了公司服务器,将反编译代码下载下来了,这里可以提供下载地址)。反编译后通过搜索抓包抓到的接口地址。

在这里插入图片描述

之后查看这个类,需要的字段以及类型都在这里了。13.9版本的proto文件都在这个文件夹里,提取会很方便 。

在这里插入图片描述

后来拥有了大内存的机器,又尝试反编译了一下21.8版本的,大概需要使用40g的内存才能反编译完成。可以搜索encodeWithTag来找到encode()函数,我们发现proto文件分散到各个文件夹中了。寻找起来可能有点麻烦,但是提取的方法还是一样,没有变化。

在这里插入图片描述

之后就是通过该proto文件生成对应语言的版本。我这里用的是Python,于是使用该命令生成Python文件

protoc ./Sajor.proto --python_out=./

然后使用该文件解析请求返回的数据。

import json

from google.protobuf.json_format import MessageToDict

from proto import sajor_pb2

with open('./douyin.txt', 'rb') as f:
    a = f.read()

info = sajor_pb2.aweme_v2_feed_response()
info.ParseFromString(a)
print(json.dumps(MessageToDict(info, preserving_proto_field_name=True), ensure_ascii=False))

proto与blackboxprotobuf

blackboxprotobuf是个不错的开源库,但是解析的速度与可靠性有些问题,通过对同一个文件的解析,做个对比。

blackboxprotobuf

在这里插入图片描述

proto

在这里插入图片描述

那是因为 blackboxprotobuf 在内部是使用递归的方式,逐步猜测要解析数据的类型格式。一不小心就会陷入循环中。。

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WnOUzD7i-1653361476515)(media/16520626552663/16533597992474.jpg)]

至此,可以成功采集并解析数据包了。

解析类

这里放我生成好的proto解析代码,直接导入项目即可使用
在这里插入图片描述

Sajor_
关注
  • 36
    点赞
  • 78
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 17
    评论
专栏目录
SSL Pinning 绕过、Web 应用程序黑客攻击、漏洞查找和执行 VAPT | 详细 VAPT 方法、在渗透测试中绕过CSP、账户接管漏洞
代码讲故事
11-21 573
SSL Pinning 绕过、Web 应用程序黑客攻击、漏洞查找和执行 VAPT | 详细 VAPT 方法、在渗透测试中绕过CSP、账户接管漏洞。
抖音24.1.0版SSLpinning修改libsscronet.so抓包成功
zxc979647835的专栏
02-06 9366
抖音sslpinning机制,有效防止抓包,查阅相关资料后得知关键文件是:libsscronet.so。第二步:将抖音的apk文件改成.zip后缀,把lib目录下面的libsscronet.so拖出来放在桌面。第三步:再打开IDA7.5 32位版本,将libsscronet.so丢进去,等待几分钟让IDA加载完毕。最后一步:将修改好的so文件,丢到手机端的如下目录替换掉,并给上777权限,接着重启app就能抓到包了。第四步:在IDA界面打开字符串搜索窗口,快捷键为:Shift + F12。
APP开启SSLPinning后导致不能抓包解决方案
daiyu__zz的博客
04-26 1万+
什么是SSLPinningSSL Pinning是一种防止中间人攻击(MITM)的技术,主要机制是在客户端发起请求–>收到服务器发来的证书进行校验,如果收到的证书不被客户端信任,就直接断开连接不继续求情。 所以在遇到对关键请求开启SSL PinningAPP时,我们抓包就只能看到APP上提示无法连接网络或者请求失败之类的提示;而在抓包工具上面,要么就只能看到一排 CONNECT 请求,...
探秘Poodle PoC:破解SSLv3安全漏洞的神器
最新发布
gitblog_00013的博客
05-27 256
探秘Poodle PoC:破解SSLv3安全漏洞的神器 项目地址:https://gitcode.com/mpgn/poodle-PoC 项目简介 Poodle PoC 是一个开源项目,用于模拟和演示 Padding Oracle On Downgraded Legacy Encryption(Poodle 攻击)。这种攻击利用了客户端与服务器之间回退到SSLv3协议时的安全弱点,允许攻击者在某些...
抖音新版抓包方案,绕过sslpinning 直接修改so 抓https数据包
android_so的博客
05-03 1万+
前言 一般需要抓取https的数据包,只需要电脑安装抓包工具例如fiddler、charles 。然后手机上配置代理,保证手机跟电脑在同一网络下,然后手机安装抓包工具的证书,基本都可以抓到https的数据包。(安卓版本控制在6.0想下兼容,高于6.0就无法抓到https的包,因为google在Android N (24)和其之上的一个安全行为变更,系统默认不再信任用户app或者系统自定义添加的证书)。 当你把这些需要的环境都准备好以后,发现新版某音apk用了SSLPinning, 又当你写完frida脚
最新版抖音app或者其他app抓包情况分析
guozehui123的博客
10-30 2万+
从今年初开始抖音更新后,抖音app就无法普通的通过配置fiddler抓包了,经过百度发现原来是用了ssl pinning技术,对ssl pinning技术的了解可以参考:https://www.jianshu.com/p/22b56d977825 我只用了安卓端,步骤如下: 1.安装夜神模拟器 2.打开夜神多开器—>添加模拟器—>全新模拟器-Android5.1.1—>进入模拟器...
抖音新版本抓包绕过sslpinning证书校验)
q2565330017的博客
11-04 1万+
当我们想要分析较新版本的接口时,会发现一个有趣的现象,无论是用Charles还是Fiddler,都会出现抓不到包的情况(如下图),这是因为使用SSL Pinning证书锁定技术,是一种防止中间人攻击(MITM)的技术。主要机制是当客户端发起请求 –> 收到服务器发来的证书进行校验,如果收到的证书不被客户端信任,就直接断开连接不继续请求。所以当我们抓包学习分析时,就只能看到Fildder/Charles上一排 CONNECT Failed 请求,找不到我们想要分析的接口。
某金融app的加解密hook+rpc+绕过SSLPinning抓包
Adminxe的博客
03-07 3400
charles抓包的时候app显示无法连接到服务器,charles提示证书的问题,怀疑可能是SSLPinning,使用抓包工具抓包时,抓包工具拦截了服务端返回的内容并重新发给客户端的时候的证书不是服务器端原来的证书了,抓包工具将原本服务器的证书替换成自己的证书,于是就构成了中间人攻击,触发SSL Pinning导致连接中断,所以就抓不到包了。console.log("==========================解密算法==============================");
douyin / kuaishou / huoshan / tiktok 高版本抓包 hook方案
菜鸡小白的成长记录
12-11 6719
经常玩视频的小伙伴肯定都知道,目前主流的几款视频app像都是使用quic协议。网上关于这方面资料相当的多,笔者就不再过多的叙述了。简而言之就是使用传统那套抓http/https协议的姿势是行不通啦!这里笔者做个总结,使用到软件有。
手机app抓包
TTXSDEKK的博客
05-13 2995
之前发过一篇手机app抓包的文章,最近试了一下,按照之前的方法抖音直接提示无法联网了。 在网上搜了一遍发现是调用了libsscronet.so这个文件里面的方法验证ssl,要用ida打开libsscronet.so找到函数的返回值然后更改保存之后覆盖原来的文件,非常之复杂。 但是我发现有个简单粗暴的方法可以用: 确定配好证书,然后安装好xposed+JustTrustMe。 找到libsscronet.so文件并直接删除。 然后你就回发现抖音可以正常抓包了 但是这样是有一个缺点的,抖音在运行一会儿之后就
抖音抓取尝试【已成功,满满都是坑】
热门推荐
CSDN
11-23 2万+
使用Appium抓取抖音粉丝信息 前言 1. 环境的准备 2. 环境配置 2.1 filder配置 2.2 xposed和JustTrustMe的配置 2.3 mitmproxy配置 2.4 配置Android Studio JDK的配置 配置Appium 3. 定位页面元素 4. 运行项目 前言 1. 环境的准备 夜神模拟器(Android 5.1.1) filder mitmproxy python3.7.3 jdk.
抖音玩法详解
05-04
抖音玩法详解, 从用户自创到专业营销,在抖音上,两者可以没有明显界限,完美融合,使广告获得了新生.....
Instagram_SSL_Pinning:在Instagram Android应用中绕过SSL固定
02-25
弃用:使用Facebook白帽设置Instagram_SSL_Pinning 绕过Instagram SSL锁定ARM and X86 注意:延迟一分钟后可能会显示第一个请求警告:使用此补丁后,任何人都可以拦截您的请求根方法: 从Apkmirror下载Instagram APK...
SSLPinning:HttpURLConnection SSL固定
05-11
SSLPinning HttpURLConnection透过凭证绑定方式作连线,在这是绑定的凭证,当使用Proxy(Ex. )拦截传输内容时会无法正常连线。 Network Security Config Android API 24以后才有的机制,利用script/cert.sh取得网站...
Android-SSl.zip_WebView_android_sentencevpr_sslpinning_todayrxi
09-15
5. **启用SSL Pinning**:在`WebView`加载URL之前,调用`setNetworkSecurityConfig`或使用XML配置文件来启用SSL Pinning。 6. **处理错误**:添加适当的错误处理机制,当证书验证失败时,向用户显示警告。 在...
Xamarin.SSLPinning:测试项目以使用Xamarin.iOS设置SSL固定
02-06
Xamarin.SSL固定 测试项目以使用Xamarin设置SSL固定 寻找博客文章的解决方法 基本上我做了以下工作来使它起作用: 将Xamarin的NSUrlSessionHandler.cs源代码及其在HttpClientEx.cs代码转储 找出导出证书的快速命令 ...
Android 7.0+抓包https突破ssl-pinning方案抓包插件.zip
03-17
Android 7.0+ 抓包https方案,突破ssl-pinning 使用方法:https://blog.csdn.net/u014644574/article/details/104930877
记录下Charles 抓包tiktok遇到的坑,以及调查关于 SSL unpinning 中增长的皮毛知识
moamao_jishuyuan的博客
03-17 2042
tiktok Charles 抓包https unknown, SSL unpinning
APP爬虫入门,Appium+Mitmproxy强势组合实现抖音的数据爬取
u010199413的专栏
11-25 5065
APP爬虫入门,Appium+Mitmproxy强势组合实现抖音的数据爬取 最近一直在研究APP的爬虫实现。前面文章讲了虚拟机和Appium环境的搭建和SSL PINNING的解决方法,主要难点在于解决APP开启SSL Pinning导致抓包异常。现在环境搭建好了需要一个基础入门实例,我们就以最火的抖音为例子做一个演示例程。当然我们选择抖音并不是因为抖音火,主要是因为手上有一个小项目是基于...
so层修改sslpinning
07-27
SO层修改SSL pinning是指在操作系统的系统调用层面对SSL pinning进行修改。SSL pinning是一种安全机制,用于保护网络通信的安全性。 在SO层修改SSL pinning可以通过修改系统库或者Hook相关API来实现。一种常见的方法是通过Hook函数来修改SSL pinning的检查逻辑,绕过证书校验,从而绕过SSL pinning的保护。 具体实现的步骤如下: 1. 定位到SSL pinning相关的检查函数,常见的包括SSL_CTX_set_verify、SSL_get_verify_result等函数。 2. 使用Hook技术,在函数调用之前或之后注入自定义的代码逻辑。 3. 在Hook的代码逻辑中,可以修改函数的返回值或者控制流程,绕过SSL pinning的检查,实现信任任意证书。 4. 重新编译并替换系统库,或者使用LD_PRELOAD等机制加载修改后的共享库。 需要注意的是,修改SSL pinning可能会导致网络通信的不安全性,可能会使应用程序容易受到中间人攻击。因此,修改SSL pinning应该谨慎并且仅在合法的测试环境中使用。 总结来说,SO层修改SSL pinning是一种通过在系统调用层面修改相关API的实现方式,来绕过SSL pinning保护。但需要注意潜在的安全风险,并在合适的场景下使用。
评论 17
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Sajor_

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值