绕过SSL双向校验抓取Soul App的数据包

最新推荐文章于 2023-04-23 14:11:29 发布
最新推荐文章于 2023-04-23 14:11:29 发布
阅读量1.2w 收藏 60
点赞数 8
分类专栏: Android 文章标签: SSL soul 抓包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38316655/article/details/104176882
版权

参考了这篇文章:Android抓包总结 - 先知社区 https://xz.aliyun.com/t/6551#toc-10

毫无反编译经验的我,硬着头皮参考这篇文章抓到数据,记录一下抓包过程,全部是按照参考文章来的,这里我补充了一些细节以及自己遇到的坑。

软件:

soul_v3.4.0.apk

IDAPRO V6.8   https://pan.baidu.com/s/1hqYImNE 提取码:97sf

openssl   windows安装包下载地址:Shining Light Productions 

GDA v3.70   http://www.gda.wiki:9090

Fiddler

 

SSL双向校验

SSL双向校验是在SSL单向校验的基础上, 在说明这部分内容的时候同时也会有绕过SSL单向校验详细的步骤。

在手机上设置完代理之后, 点击完确认, 发现app出现如下弹窗:

在这个时候查看Fiddler会发现应用没有发出任何请求, 这是因为app会对服务器端的证书进行校验, 这时候我们前面安装的Fiddler证书就不起作用了, 应用在发现证书是伪造的情况下拒绝发送请求。根据这个报错+抓不到包, 我们可以确定应用是存在单向校验的, 也就是SSL pinning, 让我们先来解决SSL pinning的问题。使用JustTrustMe可以绕过客户端的证书校验, 下面勾选上JustTrustMe, 在Xposed框架下使用JustTrustMe绕过SSL pinning。

绕过SSL pinning之后, 就能使用Fiddler抓取到HTTPS的数据包了。

我随便输入了一个手机号码, 按下确定之后, 服务器回传了400的状态码过来, 说需要发送证书以确认客户端的身份。到这一步基本能确定是存在双向校验的了, 接下来的工作就是绕过SSL服务器端的校验了。

如果服务器端会对客户端证书进行校验, 证书应该就直接存放在apk里, 网上与SSL双向校验相关的文章都将证书放到<app>/asset目录下, 也就是app的资源目录下, 也有可能放在/res/raw目录下。直接将app解压之后, 发现证书的位置如下:

如果找半天没找到就用关键词.p12/.pfx搜索证书文件。

在我们要使用该证书的时候, 需要输入安装证书的密码。这时候就需要从源码中获取安装证书的密码了。可能是因为多个dex文件的原因, 直接用JEB反编译的时候出错了, 所以我用GDA反编译来分析应用的源代码

获取安装证书的密码

发现通过关键词"PKCS12"能够定位到加载证书的位置。

上图第二个红框中的load函数的第二个参数其实就是证书的密钥, 追根溯源, 我们可以知道v1参数是下图中调用的函数的返回值。

上图的函数的功能就是传递p0参数, 也就是说p0参数就是证书安装密码。想获取这个密码, 关键在于Auto_getValue函数。到这一步, 只要跟进Null_getStorePassword函数看看就好了。

跟进去发现调用了native层的函数, 查看init函数中具体加载的是哪个so文件:

用IDA反编译soul-netsdk之后, 搜索字符串"getStorePassword", 就定位到函数getStorePassword上了, F5之后, 获得伪代码和密钥:

如果按F5后报错:please position the cursor within a funtion

解决办法:

步骤1:右键code,会出现汇编代码;

步骤2:右键creat fun 

完成步骤1和步骤2,就可以正常的反编译出伪代码。

代理添加客户端证书

HttpCanary添加客户端证书进行抓包的过程可以参照文章Android平台HTTPS抓包解决方案及问题分析, 在自己头昏的时候也感谢这篇文章的作者MegatronKing点醒我。下面主要讲解Fiddler和burpsuite添加客户端证书的方法。

fiddler操作过程

尝试一下用Fiddler处理这部分的内容来安装客户端的证书, 用来绕过双向认证。

用Fiddler抓取该应用的数据包的时候, 发现Fiddler出现了上面的弹窗, 提示要添加ClientCertificate.cer, 才能抓取到传输的数据包, 不然只会出现400的状态码。而我们文件目录下只能找到client.p12client.crt两种格式的证书文件, 所以我们需要将已有的client证书转换成.cer格式的证书。

好像应用中只出现.p12格式的证书的情况比较常见, 所以下面只会提及如何使用openssl将.p12格式的证书转换成.cer/.der格式的证书。(.der和.cer格式的证书仅有文件头和文件尾不同)

下面的命令实现了证书的格式转换, .p12->.pem->.cer, 在生成.pem格式的证书之后, 需要输入证书的密码, 也就是我们上面逆向获取的证书密码。最后将ClientCertificate.cer移动到之前Fiddler弹窗出现的目录下, 也就是<Fiddler安装路径>\Fiddler2下。

# 将.p12证书转换成.pem格式
$ openssl pkcs12 -in client.p12 -out ClientCertificate.pem -nodes
Enter Import Password:
# 将.pem证书转换成.cer格式
$ openssl x509 -outform der -in ClientCertificate.pem -out ClientCertificate.cer

输入密码时是不显示的,正常输入就行,设置PEM密码和获取到的密钥一致 

现在打开Fiddler尝试抓包, 发现原本显示400的数据包现在能够正常抓取到了, 如果还是不能正常抓取到, 双击client.p12将证书安装到本地试试看。

Circle-C
关注
  • 8
    点赞
  • 60
    收藏
    觉得还不错? 一键收藏
  • 21
    评论
专栏目录
SSL双向认证SSL双向认证
03-02
SSL双向认证SSL双向认证
WEB服务器SSL双向认证安装使用指南.docx
12-02
WEB服务器SSL双向认证安装使用指南.docx
基于Tomcat搭建SSL双向认证示例【100012422】
05-24
Tomcat搭建SSL双向认证Demo、Java原生类库SSLSocket编程、Apache的Httpclient库模拟请求
Soul网关的探活--基于zookeeper同步数据的解析
微瞰技术的博客
01-27 300
Soul网关的探活--基于zookeeper同步数据的解析 Soul网关的探活,主要分为两部分,第一部分是soul admin探活。一部分是soul-admin同步数据到网关层soul-boostrap。本文以一个http客户端宕机之后的探活为例 Soul-admin探活 Soul-admin 探活这部分主要是依赖soul-admin中的UpstreamCheckService来实现的。 /** * Setup selectors of divide plugin. */ @
Android 过反抓包总结入门篇
小小白哈喽的博客
11-02 1810
做协议分析少不了抓包,但是对于新入门我们来说,这是一大难题,网上各种各样的工具不少。但是如果遇到反抓包,那就芭比Q了。但是一些简单的反抓包机制还是很好过的。只是个人见解释,有一部分个人理解的不通透,希望大佬多多指点,对于反抓包,个人感觉第一步应该做的是反抓包的形式,而不是第一个想到的是用这个工具可以不可以抓,用那个可以不可以。分析到反抓包的形式,自然而然问题就迎刃而解了。
Https双向认证+加密狗配置教程
01-06
Https双向认证+ET199加密狗配置usb硬件证书认证,如果有其他问题 下载过文档的同学肯定一帮到底!
SSL双向认证绕过,HTTPS证书导出
qq_46723500的博客
02-03 1493
​ 利用r0ysue大佬的r0Capture工具进行Hook抓包自动导出了App内的p12证书
Soul API网关数据同步之WebSocket
寒山道杳
01-23 280
前言 前面的一系列文章,先说了几个example的使用,然后说了SoulWebHandler、SoulPlugin、MatchStrage、MatchStrategy;前面几个主要从使用的角度说,后面的基本源于单独的类(接口)来进行源码解析的。 那么从本篇文章开始将讲一些系统性的东西,那就从数据同步来开始我们说数据同步的代码分析模块。 数据同步源头 1、配置文件 说到数据同步,我们要先说一下yml配置文件,这里涉及两个地方,一个是soul-admin,另一个是soul-bootstrap,这两个yml的文件
APP渗透—绕过反代理、反证书检测
剁椒鱼头没剁椒的博客
04-23 5012
在之前的文章都写到了,如何对APP应用进行抓包,但是所演示的APP都是一些未设置防护的,或者使用的抓包工具能够避免这种情况的,所以都正常显示,本章就是针对APP设定了反代理或者反证书验证机制进行绕过。在反代理这里我们只是介绍一下如果绕过反代理,但是通常情况下APP不单单只有一个反代理机制,还会存在反证书机制,这里我们算是绕过了一个机制。由此也能推断出这个牛牛是反代理+反证书机制。
Android APP之WebView校验SSL证书的方法
08-29
主要介绍了Android APP之WebView校验SSL证书的方法,需要的朋友可以参考下
http远程接口调用-httpClient+跳过SSL证书校验
08-04
http远程接口调用-httpClient+跳过SSL证书校验. 里面分别有3个httpClient的工具类代码。 还有一个专门为了跳过SSL证书校验的工具类。
soul源码阅读 soul数据同步之dubbo插件原理解析
calu的专栏
01-28 199
alibabaDbubode的类图如下,继承了AubstactSoulPlugin类,实现了SoulPlugin接口 SoulWebHandler-> 在SoulWebHandler.execute会循环查看pluginList。我发现soul的很多代码都会做循环查询,虽然说现在插件的数量并不多,循环 20次以内就可以解决,但是如果以后插件数量从10变成100,那这些大量的循环应该要优化才对。 然后调用方法跳到了AbstractSoulPlugin.execute,非...
Soul 安卓App的一次 api请求 抓取记录
weixin_34342207的博客
09-18 4608
之前注册玩过一段时间的社交app--soul,发现其没有网页版也没有桌面版,app里也没有相关的数据导出功能,作为一个老用户,很多日常发布的瞬间很想导出来,作为纪念,所以就想看看能不能脚本抓取我的数据,才有了下面的记录: 一.对soul抓包 分析Soul App的数据请求,需要用到工具对app应用进行抓包 0 - 工具:Fillder(直...
Fiddler 指定客户端证书
vistaup的博客
11-18 776
Fiddler 指定客户端证书
soul 源码分析 —— 插件解析之选择器
cj271230的博客
01-24 309
选择器定义 选择器是什么? soul选择器就是网关的过滤器,所有的网关请求都会经过选择器功能就行路由断言,所有选择器匹配规则都通过后,才能进行下一步的请求。 soul网关还有一个规则的概念,规则也是实施网关请求的过滤。匹配规则的设置基本一样。 那选择器和规则有什么不同? 选择器可以看成是粗粒度的路由断言,比如:/http/** 规则可以看成是进一步的路由断言,比如:/http/order/findById 可以理解为:选择器相当于是对流量的第一次筛选,规则就是最终的筛选。 选择器和规则都必须满足,网关请求才
bin获取实例 zk_高性能网关Soul源码解析【数据同步zk】
weixin_35718537的博客
02-06 89
点击上方蓝字关注不迷路前言上一篇讲到了Soul使用websocket进行数据同步的流程以及源码解析等,我们从官网得知,其数据同步我们可以配置websocket、zookeeper、http长轮询。那么本篇我们就来看一下Soul是如何使用zookeeper进行数据同步的。数据同步流程用户可以在 soul-admin 后台任意修改数据,并马上同步到网关的jvm内存中。同步soul的插件数据,...
app抓不到包的几种原因
ssrf
02-15 2919
1 ssl pining(ssl证书验证) 单向认证 APP对服务端证书做校验 校验服务器的证书和域名。 Fiddler/Charles等的证书肯定是校验不过的 Charles安装配置:https://blog.csdn.net/Lu_GXin/article/details/105841312 APPssl pining的几种方式: 举例Python requests库对ssl校验 requests.get(url, timeout=1, verify=false) Python的几种网络请求方式
java httppost 绕过ssl校验
最新发布
09-07
Java的HttpUrlConnection类支持HTTPS请求,并且会自动进行SSL校验。然而,有时候我们可能需要绕过SSL校验,比如在开发环境中或者使用自签名证书时。以下是一种简单的方法来绕过SSL校验。 首先,创建一个SSLContext对象,并使用自定义的TrustManager来进行SSL校验。如下所示: ```java TrustManager[] trustAllCerts = new TrustManager[] { new X509TrustManager() { public java.security.cert.X509Certificate[] getAcceptedIssuers() { return null; } public void checkClientTrusted(java.security.cert.X509Certificate[] certs, String authType) { } public void checkServerTrusted(java.security.cert.X509Certificate[] certs, String authType) { } } }; SSLContext sc = SSLContext.getInstance("SSL"); sc.init(null, trustAllCerts, new java.security.SecureRandom()); ``` 然后,将SSLContext对象设置到HttpURLConnection中。如下所示: ```java URL url = new URL("https://example.com"); HttpURLConnection conn = (HttpURLConnection) url.openConnection(); if (conn instanceof HttpsURLConnection) { ((HttpsURLConnection) conn).setSSLSocketFactory(sc.getSocketFactory()); } ``` 这样,HttpURLConnection就会使用我们自定义的SSLContext对象进行SSL请求,绕过SSL校验。但是请注意,这样做会降低安全性,不推荐在生产环境中使用。 同时,由于此方法会绕过所有SSL校验,包括证书的hostname验证,因此建议在设置SSLContext之后,添加以下代码来禁用hostname验证: ```java if (conn instanceof HttpsURLConnection) { ((HttpsURLConnection) conn).setHostnameVerifier((hostname, session) -> true); } ``` 这个方法用于绕过Java的HttpURLConnection的SSL校验,但需要注意在生产环境中慎用,因为绕过SSL校验会降低安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 21
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值