本章接上一章识脆,為了解決APP對SSL證書的內(nèi)部校驗并淋,我們可以使用frida對app內(nèi)存進行hook混稽,修改內(nèi)存的數(shù)據(jù)召夹。frida是一款便攜的、自由的售碳、支持全平臺的hook框架强重,可以通過編寫JavaScript、Python代碼來和frida_server端進行交互贸人,實現(xiàn)對內(nèi)存等數(shù)據(jù)间景、函數(shù)的修改。
剛好這次遇到了一個flutter開發(fā)的app灸姊,flutter內(nèi)置了證書以及驗證拱燃,抓包沒法通過普通方法抓包,所以只好通過這個方法把驗證函數(shù)返回值進行修改力惯。
原理解釋:
- 手機端安裝frida-server程序碗誉,可以獲取安卓手機的內(nèi)存(需要root權(quán)限)。
- 電腦端的frida通過與手機端的frida-server連接父晶,在手機端運行電腦端創(chuàng)建的腳本代碼哮缺。
- 通過這個代碼, 能夠hook到內(nèi)存的關(guān)鍵部分甲喝,比如ssl證書校驗的函數(shù)尝苇,讓這個函數(shù)的返回值永真或者永假,由此app運行的時候埠胖,所有的校驗都會返回通過校驗這個結(jié)果而不是攔截下來糠溜。
0. 準(zhǔn)備工作
-
一臺已經(jīng)root的安卓設(shè)備,最好是真機直撤。
如果使用模擬器非竿,必須檢查app的lib里面,是否有x86平臺對應(yīng)的so二進制文件谋竖。這個問題卡了我兩天红柱,我每一步都按照教程完成了,可是怎么都搜不到flutter.so這個包蓖乘,最后使用真機一次性就搜到了锤悄。對apk解壓縮后,查看lib文件夾下是否有x86架構(gòu)的文件夾嘉抒,并且檢查想要hook的so文件是否在文件夾內(nèi)零聚。我找到的這個app就只有arm64架構(gòu),也就是只能在真機上運行才會有這個so文件。弄錯了這步隶症,后面的工作就都無法開展容诬。這也是為什么要求最好使用真機的原因。
查看APP二進制包支持的CPU架構(gòu)類型 -
安裝frida以及下載frida-server
Python使用pip安裝:pip install frida
frida-server下載:https://github.com/frida/frida/releases
查看所有frida
用Ctrl+F 搜索server沿腰,快速找到frida-server
選擇對應(yīng)CPU架構(gòu)下載frida-server
注意:
- pip 安裝的frida版本要和frida-server版本一致,否則會導(dǎo)致frida崩潰或者無法hook狈定。
- 下載的frida-server一定要和客戶端的版本一致颂龙,根據(jù)cpu確定版本。安卓手機一般都是arm64纽什,x86是Intel和AMD的CPU(電腦模擬器選這個)
- 安卓手機一定要是已經(jīng)ROOT過的措嵌,否則frida無法hook到應(yīng)用。
- 安卓手機端準(zhǔn)備
下載安裝adb芦缰,通過adb連接手機企巢。adb下載:https://adbdownload.com/
設(shè)置adb到系統(tǒng)的path,方便調(diào)用让蕾。如不會可百度浪规。
手機開發(fā)開發(fā)USB調(diào)試,建議使用USB調(diào)試探孝,網(wǎng)絡(luò)如果比較穩(wěn)定笋婿,可以使用無線調(diào)試。- 3.1 手機連接USB調(diào)試后顿颅,在cmd窗口輸入
adb devices查看當(dāng)前連接的設(shè)備信息缸濒,USB數(shù)據(jù)線調(diào)試,adb會自動連接粱腻。如果是無線連接庇配,則是會顯示IP和端口。
adb 查看連接設(shè)備 - 3.2 輸入
adb connect IP:端口連接無線調(diào)試設(shè)備绍些,輸入adb connect IP:端口/設(shè)備名斷開連接捞慌。 - 3.3 進入
adb shell并開啟root。& adb root是非必要的遇革,部分機型會有這個要求卿闹。進入shell后,su切換root用戶萝快,如果顯示Permission denied 則是獲取root權(quán)限失敗锻霎,需要重新授權(quán)。
adb shell& root - 3.4 上傳frida-server到手機揪漩。首先
exit退出adb shell旋恼,然后adb push D:\apktool\frida-server-16.0.8-android-arm64 /data/local/tmp/frida-server將frida-server上傳到安卓機的指定目錄。然后進入目錄奄容,切換root用戶冰更,查看是否上傳成功产徊。
上傳frida-server - 3.5 修改權(quán)限并啟動frida-server。修改權(quán)限
chmod 775 frida-server蜀细。啟動frida./frida-server舟铜。
啟動frida-server
- 3.1 手機連接USB調(diào)試后顿颅,在cmd窗口輸入
- 電腦端運行代碼
# -*- coding:utf-8 -*-
# date: 2023/1/4 17:49
# author: me
"""
功能主治:破解XXX的flutter SSL認(rèn)證,讓它以為證書是正常的奠衔,從而通過drony把流量導(dǎo)入到電腦端的fiddler
1. 啟動APP
2. cmd:adb connect 127.0.0.1:7555 && adb root // usb鏈接會自動connect 鏈接虛擬機和root谆刨,實測虛擬機不行,真機才有
3. cmd: adb shell cd /data/local/tmp 以root ./frida-server归斤,root需要su
4. 端口映射: adb forward tcp:27042 tcp:27042 adb forward tcp:27043 tcp:27043痊夭,這一步可有可無,實測不輸入執(zhí)行沒影響
4. 運行本注入程序脏里,顯示[+] ssl_verify_result found at: 0x7a52febf74她我,若地址改變,需要重新使用ida操作迫横!
"""
import frida
import sys
# https://bbs.pediy.com/thread-261941.htm
jscode = """
function hook_flutter(){
Java.perform(function () {
var m = Process.findModuleByName("libflutter.so");
var pattern = "FF C3 01 D1 FD 7B 01 A9 FC 6F"; // 只是前面的這10個無法起作用番舆,需要搞個完整的4*9=36個
pattern += " 02 A9 FA 67 03 A9 F8 5F 04 A9 F6 57 05 A9 F4 4F 06 A9 08 0A 80 52 48 00 00 39";
var res = Memory.scan(m.base, m.size, pattern, {
onMatch: function(address, size){
console.log('[+] ssl_verify_result found at: ' + address.toString());
hook_ssl_verify_result(address);
},
onError: function(reason){
console.log('[!] There was an error scanning memory');
},
onComplete: function() {
console.log("All done")
}
});
});
}
function hook_ssl_verify_result(address) {
address = address
Interceptor.attach(address, {
onEnter: function(args) {
console.log("Disabling SSL validation")
},
onLeave: function(retval) {
console.log("Retval: " + retval);
retval.replace(0x01);
}
});
}
setImmediate(hook_flutter);
//setTimeout(hook_flutter, 100);
/*
function siguoyi(){
try {
var flutterSoAddr = Module.findBaseAddress("libflutter.so");
var flutterSoAddr2 = Process.findModuleByName("libflutter.so");
console.log("flutter.so addr 1: ", flutterSoAddr);
console.log("flutter.so addr 2: ", flutterSoAddr2);
hookFlutter()
}catch(e){
console.error(e)
}
}
//Module.load("libflutter.so");
//setTimeout(siguoyi, 2000);
console.log(Process.isDebuggerAttached());
console.log(Process.id);
let ps = Process.enumerateModules()
for(let i in ps){
//console.log(JSON.stringify(ps[i]));
//console.log(JSON.stringify(ps[i].name));
}
siguoyi()
*/
"""
def on_message(message, data):
if message['type'] == 'send':
print("[*] {0}".format(message['payload']))
else:
print(message)
print(frida.get_usb_device())
print(frida.get_remote_device())
# 啟動后注入
process = frida.get_usb_device().attach("APP的名字")
print(process)
script = process.create_script(jscode)
script.on('message', on_message)
script.load()
sys.stdin.read()
打開drony進行抓包员淫。如果不會可以看我上一篇教程合蔽。安卓APP抓包教程(二)——使用drony配合fiddler抓包
打開fiddler進行抓包。如果不會可以看我上上篇教程介返。安卓APP抓包教程(一)——使用fiddler抓包
-
fiddler抓包效果
fiddler抓包結(jié)果展示
Python控制臺顯示:
成功控制了函數(shù)返回值
總結(jié)
搜索不到flutter.so拴事,無論是
Process.findModuleByName("libflutter.so")還是Module.findBaseAddress("libflutter.so")都無法搜索到flutter.so。
因為這個問題我卡了很久圣蝎,最終找到了原因刃宵,app在打包的時候為了精簡體積,大概率不會一次性添加好幾種CPU平臺的so包徘公,而是有針對性地打包牲证。所以我在模擬器進行測試,雖然還是安卓系統(tǒng)关面,但是CPU平臺是X86的架構(gòu)坦袍,X86架構(gòu)并沒有放進去flutter.so,所以一直搜不到等太。最后使用真機解決捂齐。怎么找到這個hook地址的,方法論缩抡?
這個問題也是一個很神奇的問題奠宜,在最開始的時候,我搜遍了教程都無法hook。感覺大家的flutter版本似乎差得很多压真,而每個版本的flutter對應(yīng)函數(shù)的地址完全可能不一樣娩嚼,所以沒法使用別人的代碼直接run起來。
怎么才可以自己hook到數(shù)據(jù)滴肿,然后自己找地址呢岳悟?
2.1. 要自己找地址,需要先安裝一個IDA Pro泼差。后面兩個任選一個安裝即可竿音,反匯編神器IDA Pro 7.7.220118 (SP1)漢化版、IDA Pro 7.7.220118 (SP1) 全插件綠色版拴驮,打開IDA之后,把flutter.so拖進去柴信。
2.2 不會操作IDA套啤?我也不會,但是跟著[原創(chuàng)]一種基于frida和drony的針對flutter抓包的方法這個文章的操作随常,基本上還是能夠找到對應(yīng)函數(shù)的地址潜沦。有的教程為什么10個或者12個地址就能定位到函數(shù),但是我不行绪氛?
經(jīng)過實測唆鸡,就是不行。必須4*9=36就可以成功找到了枣察,輸出一個地址就說明成功找到了争占。按照教程繼續(xù)走下去就可以了。
有問題歡迎交流序目!
