实战案例
为了能够更好的复现 SSL Pining 场景,我们对一个 App(https:app4.scrape.center)进行抓包,这个 App 包含了 SSL Pining 的相关设置,如果我们将手机的代理设置为抓包软件提供的代理服务,那么这个 App 在请求数据的时候检测出证书并不是受信任的证书,从而直接断开连接,不继续请求数据,相应的数据就会加载失败
首先,在手机上安装这个App ,此时手机没有任何代理,可以发现数据是正常加载的
接下来就是抓包了,我们还是以 Charles 为例。打开 Charles ,配置好环境,然后重启手机,打开 app4 会出现 “证书验证失败” 的提示
Charle 配置:
与此同时,Charles 的抓包结果如下图
可以看到这里报了一个错误
| Failure | SSL handshake with client failed: An unknown issue occurred processing the certificate (certificate_unknown) |
此时如果取消代理,然后重新打开App 就又能加载成功了
以上就是 SSL Pining 导致的抓包失败线下
SSL Pining 技术原理
SSL Pining 是一种防止中间人攻击的技术,只针对 HTTPS 协议。在遵循 HHPS 协议的数据通信过程中,客户端和服务端握手建立信任时,有一步是客户端收到服务器返回的证书,然后对该证书进行校验,如果这个证书不是自己信任的证书,就直接断开连接,不再进行后续的数据传输,这就会导致整个 HTTPS 请求失败
为了更好的理解其中原理,我们在电脑上做一个小实验,打开百度首页,在浏览器左上角看一下证书信息
可以看到颁发者是 GlobalSign RSA OV SSL CA 2018 鉴于其权威性,我们认为其颁发的证书是可信的,接下来我们将电脑的全局代理设置为 Charles , 一般在 Charles 的菜单中可以设置,打开 Proxy-----Windows Proxy , 将此选项勾选上即可
注意: 在设置全局代理之前,需要先在电脑上设置 信任 Charle Proxy CA 这个证书颁发机构(这也是一种证书),具体的设置方法
找到证书安装,按步骤进行即可
现在刷新一下百度首页,再次查看证书详情
可以看到,当前的证书颁发者变成了 Charles Proxy CA (13 Aug 2024, DESKTOP-ON5T7S2) ,那么此时电脑要不要信任这个证书呢? 答案是要, 因为我们已经信任了,如果没有设置,那现在访问百度首页会出现 SSL 安全提示。
于是我们可以进一步得出结论,在电脑上设置了信任 Charles Proxy CA 的证书后,如果 PC 使用 Charle 的代理来访问 HTTPS 网站, 所有使用的证书都会变成 Charles Proxy CA 颁发的
电脑上是这样,手机上自然也一样。在抓包之前,我么先在手机上设置信任 Charles 的证书,之后手机上使用Charles 代理访问 HTTPS 网站的时候,所有的网站证书都会是 Charles 颁发的,因为手机信任它,所以手机也就能正常访问 HTTPS 网站了
那么问题来了
我们在开头提到客户端(这里指 APP )在获取证书信息后,是可以对证书做校验的,如果不做校验,那么不会有任何问题,但一旦校验,并发现指纹不匹配,就会直接连接中断,请求自然就失败了
那这个校验的过程怎么实现的呢? 校验证书指纹即可。因为使用代理和不使用代理的证书颁发机构不是一个,所以两个证书的指纹不一样,只要证书的指纹跟指定的指纹不一样,就算校验失败。例如当前证书的指纹
在开发阶段,如果知道服务器返回的证书指纹,是可以提前把证书写死在客户端这边的。客户端获取证书后,对比证书的指纹跟写死的指纹是否一致,如果一致就通过校验,否则不通过,中断后续数据传输
这个过程怎么实现的呢?两种方式
1) 对于 7.0 以上的 Android 系统, SDK 提供了原生的支持。 在 APP 开发阶段,会直接将指纹写死在一个 XML 文件里,然后在 AndroidManifest.xml 文件中添加一个 android:networkSecurityConfig 配置,具体可以参考 Android 官方文档 不过要注意 Android 系统的版本
2) 直接将指纹和校验流程写在 Android 代码里, 现在 Android 的很多 HTTP 请求库是基于 OKHttp 库开发的, OKHttp 的 SDK 就提供了对 SSL Pining 的支持,一般可以在初始化 OKHttpClient 对象的时候添加 certificatePinner 这个选项,将信任的证书指纹写死。当然除了 OKHttp ,其他库也提供类似的支持
第二种方式的适用性更广,不局限与特定的 Android 版本,本节也将基于第二种方式实现
至此 SSL Pining 的技术原理就大概清楚了
绕过
明白了原理,那怎样才能绕过这个技术,解除它的限制呢?
某些 APP 是使用第一种方式实现 SSL Pining ,这种方式对 Android 版本有要求,所以直接使用 7.0 以下的 Android 系统,即可解除
既然客户端会校验证书,那我们直接 Hook 某些用于校验正是的 API , 不管证书是否可信,都直接返回 True , 从而绕过证书的校验过程。可以使用的 Hook 工具: Xposed Frida 等
通过反编译的方式还原 App 代码, 修改 AndroidManifest.xml 文件或代码中用于校验证书的逻辑,修改完后重新打包签名。不过由于 App 代码不好完全还原,该方案可行度不高
那么, 第二种方案将是最好的
Frida + DroidSSLUnpining
如果想基于 Frida 实现 Hook ,那么可以结合 DroidSSLUnpining 这个开源库,其 Github 地址是 https://github.com/WooyunDota/DroidSSLUnpinning
下载后解压, 解压之后在 DroidSSLUnpinning-master\ObjectionUnpinningPlus 里面有一个叫 hooks.js 的文件, 后面会用到,也可以使用 git 命令下载
启动前的状态:
模拟器: 在首页,不要打开 App
Charles : 打开,并确定能够 链接 模拟器或真机
打开CMD
frida : 需要指定传递数据的端口: adb forward tcp:27042 tcp:27042
然后启动server: adb shell ----- su --- cd data/local/tmp --- ./frida-server-16.4.8-android-x86 (server 的名字)
新开一个 cmd 窗口
正常是输入: frida -U -f com.goldze.mvvmhabit -l hooks.js --no-pause
不过好像 --no-pause 命令不能用了,有说要改成 -pause 但是会报错
frida: error: argument -p/--attach-pid: invalid parse_target value: 'ause'
然后改成: frida -U -f com.goldze.mvvmhabit -l hooks.js
如果报错: Failed to spawn: need Gadget to attach on jailed Android; its default location is
则需要改成:
frida -H 127.0.0.1:27042 -f com.goldze.mvvmhabit -l hooks.js
com.goldze.mvvmhabit : 是包名
hooks.js : 这个也可以是 hooks.js 的路径
27042 : 是前面 adb forward tcp:27042 tcp:27042 里面的
我的到这一步 frida 就成功启动了
模拟器也启动 App 了
Charles 这时候也有数据了
中间遇到的报错处理:
Failed to spawn: connection closed
需要将启动 frida-server 的cmd 关掉重新启动,或者使用 kill 命令杀死这个进程
Waiting for USB device to appear
是你的模拟器或者真机没打开,或者没有跟 frida 链接
Failed to spawn: unable to find process with name 'com.goldze.mvvmhabit
包名写错了,或者是命令没写完整,导致找不到 app 包
885
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
