绕过SSL双向校验抓取Soul App的数据包

最新推荐文章于 2025-02-18 09:49:33 发布
最新推荐文章于 2025-02-18 09:49:33 发布
阅读量1.3w 收藏 65
点赞数 8
分类专栏: Android 文章标签: SSL soul 抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38316655/article/details/104176882
版权

参考了这篇文章:Android抓包总结 - 先知社区 https://xz.aliyun.com/t/6551#toc-10

毫无反编译经验的我,硬着头皮参考这篇文章抓到数据,记录一下抓包过程,全部是按照参考文章来的,这里我补充了一些细节以及自己遇到的坑。

软件:

soul_v3.4.0.apk

IDAPRO V6.8   https://pan.baidu.com/s/1hqYImNE 提取码:97sf

openssl   windows安装包下载地址:Shining Light Productions 

GDA v3.70   http://www.gda.wiki:9090

Fiddler

 

SSL双向校验

SSL双向校验是在SSL单向校验的基础上, 在说明这部分内容的时候同时也会有绕过SSL单向校验详细的步骤。

在手机上设置完代理之后, 点击完确认, 发现app出现如下弹窗:

在这个时候查看Fiddler会发现应用没有发出任何请求, 这是因为app会对服务器端的证书进行校验, 这时候我们前面安装的Fiddler证书就不起作用了, 应用在发现证书是伪造的情况下拒绝发送请求。根据这个报错+抓不到包, 我们可以确定应用是存在单向校验的, 也就是SSL pinning, 让我们先来解决SSL pinning的问题。使用JustTrustMe可以绕过客户端的证书校验, 下面勾选上JustTrustMe, 在Xposed框架下使用JustTrustMe绕过SSL pinning。

绕过SSL pinning之后, 就能使用Fiddler抓取到HTTPS的数据包了。

我随便输入了一个手机号码, 按下确定之后, 服务器回传了400的状态码过来, 说需要发送证书以确认客户端的身份。到这一步基本能确定是存在双向校验的了, 接下来的工作就是绕过SSL服务器端的校验了。

如果服务器端会对客户端证书进行校验, 证书应该就直接存放在apk里, 网上与SSL双向校验相关的文章都将证书放到<app>/asset目录下, 也就是app的资源目录下, 也有可能放在/res/raw目录下。直接将app解压之后, 发现证书的位置如下:

如果找半天没找到就用关键词.p12/.pfx搜索证书文件。

在我们要使用该证书的时候, 需要输入安装证书的密码。这时候就需要从源码中获取安装证书的密码了。可能是因为多个dex文件的原因, 直接用JEB反编译的时候出错了, 所以我用GDA反编译来分析应用的源代码

获取安装证书的密码

发现通过关键词"PKCS12"能够定位到加载证书的位置。

上图第二个红框中的load函数的第二个参数其实就是证书的密钥, 追根溯源, 我们可以知道v1参数是下图中调用的函数的返回值。

上图的函数的功能就是传递p0参数, 也就是说p0参数就是证书安装密码。想获取这个密码, 关键在于Auto_getValue函数。到这一步, 只要跟进Null_getStorePassword函数看看就好了。

跟进去发现调用了native层的函数, 查看init函数中具体加载的是哪个so文件:

用IDA反编译soul-netsdk之后, 搜索字符串"getStorePassword", 就定位到函数getStorePassword上了, F5之后, 获得伪代码和密钥:

如果按F5后报错:please position the cursor within a funtion

解决办法:

步骤1:右键code,会出现汇编代码;

步骤2:右键creat fun 

完成步骤1和步骤2,就可以正常的反编译出伪代码。

代理添加客户端证书

HttpCanary添加客户端证书进行抓包的过程可以参照文章Android平台HTTPS抓包解决方案及问题分析, 在自己头昏的时候也感谢这篇文章的作者MegatronKing点醒我。下面主要讲解Fiddler和burpsuite添加客户端证书的方法。

fiddler操作过程

尝试一下用Fiddler处理这部分的内容来安装客户端的证书, 用来绕过双向认证。

用Fiddler抓取该应用的数据包的时候, 发现Fiddler出现了上面的弹窗, 提示要添加ClientCertificate.cer, 才能抓取到传输的数据包, 不然只会出现400的状态码。而我们文件目录下只能找到client.p12client.crt两种格式的证书文件, 所以我们需要将已有的client证书转换成.cer格式的证书。

好像应用中只出现.p12格式的证书的情况比较常见, 所以下面只会提及如何使用openssl将.p12格式的证书转换成.cer/.der格式的证书。(.der和.cer格式的证书仅有文件头和文件尾不同)

下面的命令实现了证书的格式转换, .p12->.pem->.cer, 在生成.pem格式的证书之后, 需要输入证书的密码, 也就是我们上面逆向获取的证书密码。最后将ClientCertificate.cer移动到之前Fiddler弹窗出现的目录下, 也就是<Fiddler安装路径>\Fiddler2下。

# 将.p12证书转换成.pem格式
$ openssl pkcs12 -in client.p12 -out ClientCertificate.pem -nodes
Enter Import Password:
# 将.pem证书转换成.cer格式
$ openssl x509 -outform der -in ClientCertificate.pem -out ClientCertificate.cer

输入密码时是不显示的,正常输入就行,设置PEM密码和获取到的密钥一致 

现在打开Fiddler尝试抓包, 发现原本显示400的数据包现在能够正常抓取到了, 如果还是不能正常抓取到, 双击client.p12将证书安装到本地试试看。

ssl单向证书和双向证书校验测试及搭建流程
十三阿哥的博客
08-01 2403
【代码】ssl单向证书和双向证书校验测试及搭建流程。
记录抓取soul app(一)
半吊子python全栈
06-07 1万+
今天闲逛APP Store的时候,发现一个叫做soulapp ,感觉蛮有意思,如何下载,查看了一下,发现用手一点一点的看太麻烦了,然后赶紧把手机调到代理模式,用Fiddler来查看查看搭建好环境发现刷新广场的消息,实时获取的消息是一个get请求,然后返回回来的数据是一个json格式的数据,但是里面有2个参数是我们不知道的这2个参数分别是sign 和 nonce,尝试去请求的话,参数不对会返回““...
SSL双向验证通杀_soulapp
ggl1438的博客
01-17 1963
SSL双向验证通杀_soul最近网易云没啥好听的音乐,于是乎喵上了Soul这款软件上路人唱的歌曲 最近网易云没啥好听的音乐,于是乎喵上了Soul这款软件上路人唱的歌曲 没有一个好的图床,所以各位看官老爷请移步公众号”编码天空“获得最佳体验 大概18年搞过一次双向验证,当时是为了完善工商爬虫。今日想写一篇文章记录一下通杀思路。 下载app 一般情况下直接怼新版本的app,特殊情况下(菜的时候)从"X...
【2025最新最全】网络安全(黑客技术)学习平台,新手小白千万别错过!!
yy1715713348的博客
02-18 341
今天也整理了一些我常看的技术网站,给想自学网络安全的朋友一点参考建议。话不多说,直接往下看!
Soul 安卓App的一次 api请求 抓取记录
weixin_34342207的博客
09-18 5008
之前注册玩过一段时间的社交app--soul,发现其没有网页版也没有桌面版,app里也没有相关的数据导出功能,作为一个老用户,很多日常发布的瞬间很想导出来,作为纪念,所以就想看看能不能脚本抓取我的数据,才有了下面的记录: 一.对soul抓包 分析Soul App的数据请求,需要用到工具对app应用进行抓包 0 - 工具:Fillder(直...
Android 实现HTTPS 双向校验
honeylife的博客
05-28 719
Android HttpClient 实现HTTPS 双向校验HttpClient 实现HTTPS 双向校验认证方式单向认证双向认证合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UM...
Soul应用提取聊天记录【2021年中】
mirai2333的博客
02-18 7683
整体思路就是先创建一个ObjectBox数据库的示例应用,然后利用反编译APK得到的数据库字段信息手动填到创建的示例应用里面,就能打开导出。
app逆向实战:简单记录frida检测和证书双向校验破解过程
九月镇灵将的博客
12-01 917
简单记录frida检测和证书双向校验破解过程
关于安卓模拟器或手机设置了BurpSuite代理和安装证书后仍然抓取不到APP数据包的解决办法
CoffeMilk的博客
11-19 1712
当我们在安卓模拟器或者手机上已经设置了BurpSuite代理且安装了BurpSuite的CA证书,正常情况下,我们是可以抓取到大部分APP关于网络(http、https等协议)的全部数据包了。但是也有一些App数据包抓取不到(通常这些抓取不到数据包App会显示如:“无网络连接”、“服务器连接错误”、“服务器连接超时”等提示;且BurpSuite上也没有拦截到任何请求数据)。
RestTemplate配置绕过HTTPS SSL证书校验
wtopps的专栏
06-19 1446
【代码】RestTemplate配置绕过HTTPS SSL证书校验
app逆向抓包技巧:关于混淆后app无法绕过sslpinning的解决方案
九月镇灵将的博客
08-18 1266
app逆向抓包技巧:关于混淆后app无法绕过sslpinning的解决方案
APP抓包( 过二次校验思路)
01-08
简介 做APP安全评估,调试代码等,都会要抓取数据包 过程 上面我写的一篇博客 https://blog.csdn.net/tangyuan569/article/details/103786986 已经说了怎么简单抓取数据包,和过一次校验抓取数据包的思路和大概的过程。 今天说说过二次校验的思路。 你下载了APP 然后解压 过双向校验的,得先去APP里面找到证书,然后导入到抓包工具里面,因为在向前面所述博客文章,去伪造证书已经不管用了,我们先去找找特征。 比如 搜索 运气好的话能搜索到证书,但是一般都有密码。。 我这里这个APP是没有密码 然后拿到了证书导入进去然后进行抓包即可 但是一
Https双向认证+加密狗配置教程
01-06
Https双向认证+ET199加密狗配置usb硬件证书认证,如果有其他问题 下载过文档的同学肯定一帮到底!
模拟器App抓包 - 证书双向验证绕过手段
qq_46081990的博客
03-26 3153
总的来说推荐使用方案一,可以在 BurpSuite 方便查看,但是有时会绕不过。方案二基本上是通杀,但是只能 WireShark 查看,个人不是很习惯。方案三也是一种思路,成功与否主要在于 Apk 能否反编译拿到密钥。
app逆向抓包技巧:noProxy、vpn、证书单向校验sslpinning)与双向校验绕过
九月镇灵将的博客
08-07 5365
app逆向抓包技巧:noProxy、vpn与sslpinning检测绕过
iOS逆向之深入解析App签名的双向验证机制和原理
热门推荐
╰つ栺尖篴夢ゞ
07-20 2万+
非对称加密 通常我们说的签名就是数字签名,它是基于非对称加密算法实现的。 对称加密是通过同一份密钥加密和解密数据,而非对称加密则有两份密钥,分别是公钥和私钥,用公钥加密的数据,要用私钥才能解密,用私钥加密的数据,要用公钥才能解密。 非对称加密算法 RSA 的数学原理: ① 选两个质数 p 和 q,相乘得出一个大整数n,例如p = 61,q = 53,n = pq = 3233; ② 选 1-n 间的随便一个质数e,例如 e = 17; ③ 经过一系列数学公式,算出一个数字 d(通过RSA 算法得出),满足
关于模拟器App无法抓包情况及绕过手段
qq_46081990的博客
03-25 3660
App无法抓包总的来说分为App有没有做限制,当App没有做限制抓不到包时,可能是工具(BurpSuite、Charles等)证书没有配置好,或者有的数据包走的不是http/https协议,这时可以选用Wireshark、科来等能抓其他协议数据包的工具,这是比较好解决的一种情况。1、反模拟器调试2、反证书检验3、反代理或VPN。
【逆向】Android App soul api-sign算法分析
而浮生若梦,为欢几何
10-23 7476
一·背景 soul 这款app 还是有点意思的,作为上帝视角的程序员来说 怎么能不尝试开启金手指模式。 二·反编译 本篇文章主要是对api-sign算法的分析,反编译步骤请参考网络其他文章。 三·算法分析 请求接口:https://api.soulapp.cn/v3/post/praise?postId=294348164 请求头: api-sign:853F2B036105103D5AA7EB4...
Charles通过代理配置和SSL证书的方式抓取app WebSocket数据包
最新发布
03-11
### 使用 Charles 代理配置 SSL 证书抓取 App WebSocket 数据包 #### 配置 Charles 的基本设置 为了成功捕获应用的 WebSocket 流量,首先要确保 Charles 已经被正确安装并启动。接着,在 Charles 中完成基础的代理设定。 - **开启全局代理**:在 Charles 软件中进入 `Proxy` -> `MacOS Proxy...`, 设置 HTTP 和 HTTPS 端口通常为8888 (默认)[^4]。 - **启用 SSL 代理功能**:前往 `Proxy` -> `SSL Proxying Settings…` 后勾选 `Enable SSL Proxying` 并添加需要监控域名列表[^2]。 #### 设备上的代理与证书部署 为了让移动设备能够识别来自 Charles 的流量,需按照如下步骤操作: - **安装 CA 根证书**:将 Charles 所生成的信任根证书下载至目标 Android 或 iOS 设备上,并遵循各自系统的指示完成信任过程[^1]。 - **配置 Wi-Fi 连接中的手动代理**:更改所连接无线网络下的 IP 地址和端口号指向运行着 Charles 的计算机地址以及指定端口(通常是8888),从而使得所有通过该Wi-Fi发出请求都经过Charles过滤处理。 #### 特殊情况考虑 当面对某些特殊应用场景时需要注意额外事项: - 对于采用自定义加密方案的应用程序来说,即使已经完成了上述配置也可能仅能看到已编码的信息流而难以解析具体内容;此时除非掌握具体的加解密算法否则很难进一步分析这些数据。 - 如果遇到不支持中间人攻击防护机制(MITM Protection)关闭选项或者内置了严格校验逻辑的应用,则可能根本无法绕过其安全策略实现有效监听[^3]。 ```python # Python 示例代码展示如何利用第三方库 websocket-client 来模拟客户端行为并与服务端建立WebSocket通信 import websocket try: ws = websocket.WebSocket() ws.connect("wss://example.com/socket") # 替换为目标Websocket URL except Exception as e: print(f"Failed to connect: {e}") finally: if 'ws' in locals(): ws.close() ```
评论 21
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值