0x00 前言
做APP測試過程中,使用burp無法抓到數據包或提示網絡錯誤可能是因爲APP啓用了SSL Pinning,剛好最近接觸到途牛apk就是這種情況,於是便有了本文。
0x01 SSL Pinning原理
SSL Pinning即證書鎖定,將服務器提供的SSL/TLS證書內置到移動端開發的APP客戶端中,當客戶端發起請求時,通過比對內置的證書和服務器端證書的內容,以確定這個連接的合法性。
0x02 環境
Win10
安卓模擬器(夜神模擬器)
Burp
Frida(Python 3.7)
adb工具
apk(途牛apk)
0x03 利用Frida繞過SSL Pinning
繞過原理:
客戶端請求時會將內置的證書與服務端的證書做一次性校驗,通過hook的方式將此次校驗的結果返回true或者乾脆不讓其做校驗即可以繞過。當安卓APP初始化SSLContext時,我們使用frida劫持SSLContext.init方法,使用我們自己創建的TrustManager , 把它作爲實參傳入SSLContext.init方法的第二個參數( SSLContext.init(KeyManager,TrustManager,SecuRandom) 。這樣就能使得APP信任我們的CA,以上操作都是通過一個js腳本注入實現的。
1. 利用adb連接安卓模擬器
這裏我們使用的是夜神模擬器,它默認使用Android 5版本的,就是因爲這個點,這裏踩坑踩了很久,夜神的Android版本低會導致下面在啓用Frida-server時報錯,因此這裏需要使用Android 7以上。
Android低版本報錯如下
夜神模擬器創建高版本Android 7並啓動
利用adb連接模擬器,夜神模擬器adb連接默認是連接本機的62001端口,可是這裏因爲是新建的可能端口會有所變化,不過也還是在62001附近,可以使用netstat -ano
查看一下本機端口,我這裏是62041端口,如下所示代表連接成功
adb connect 127.0.0.1:62025 #連接設備
adb devices #查看設備
2. 設置burp證書
先在burp裏設置本機代理
訪問代理地址並下載burp證書
將下載的burp證書導入到模擬器中/data/local/tmp目錄下,並重命名爲cert-der.crt(此名稱在接下來的fridascript.js腳本中使用,如果該名字命名爲其他則腳本中相對應的地方也需要進行替換)
adb push cacert.der /data/local/tmp/cert-der.crt
3. 模擬器設置代理
在安卓模擬器設置->wlan選擇對應網絡設置代理
4. Frida設置
Python frida包安裝
Win10需安裝Python3.7環境,終端安裝Frida和frida-tools
pip3 install Frida
pip3 install frida-tools
frida-server設置
查看安卓設備的arch版本並下載對應的frida-server包
adb shell getprop ro.product.cpu.abi
這裏是x86的因此下載frida-server-12.9.7-android-x86.xz
下載完成以後解壓重命名文件爲frida-server並將其上傳到安卓模擬器的/data/local/tmp/目錄下
adb push frida-server /data/local/tmp
設置frida-server權限
adb shell chmod 777 /data/local/tmp/frida-server
運行frida-server
# 進入模擬器:/data/local/tmp/目錄運行
cd /data/local/tmp/
./frida-server
# 直接運行
adb shell /data/local/tmp/frida-server &
如果運行正常則不會有任何輸出
在模擬器裏運行途牛旅遊app,並使用frida-ps -U
命令列出設備上運行的服務,找到途牛應用程序的包名
下載注入腳本,保存爲fridascript.js
/*
Android SSL Re-pinning frida script v0.2 030417-pier
$ adb push burpca-cert-der.crt /data/local/tmp/cert-der.crt
$ frida -U -f it.app.mobile -l frida-android-repinning.js --no-pause
https://techblog.mediaservice.net/2017/07/universal-android-ssl-pinning-bypass-with-frida/
UPDATE 20191605: Fixed undeclared var. Thanks to @oleavr and @ehsanpc9999 !
*/
setTimeout(function(){
Java.perform(function (){
console.log("");
console.log("[.] Cert Pinning Bypass/Re-Pinning");
var CertificateFactory = Java.use("java.security.cert.CertificateFactory");
var FileInputStream = Java.use("java.io.FileInputStream");
var BufferedInputStream = Java.use("java.io.BufferedInputStream");
var X509Certificate = Java.use("java.security.cert.X509Certificate");
var KeyStore = Java.use("java.security.KeyStore");
var TrustManagerFactory = Java.use("javax.net.ssl.TrustManagerFactory");
var SSLContext = Java.use("javax.net.ssl.SSLContext");
// Load CAs from an InputStream
console.log("[+] Loading our CA...")
var cf = CertificateFactory.getInstance("X.509");
try {
var fileInputStream = FileInputStream.$new("/data/local/tmp/cert-der.crt");
}
catch(err) {
console.log("[o] " + err);
}
var bufferedInputStream = BufferedInputStream.$new(fileInputStream);
var ca = cf.generateCertificate(bufferedInputStream);
bufferedInputStream.close();
var certInfo = Java.cast(ca, X509Certificate);
console.log("[o] Our CA Info: " + certInfo.getSubjectDN());
// Create a KeyStore containing our trusted CAs
console.log("[+] Creating a KeyStore for our CA...");
var keyStoreType = KeyStore.getDefaultType();
var keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
// Create a TrustManager that trusts the CAs in our KeyStore
console.log("[+] Creating a TrustManager that trusts the CA in our KeyStore...");
var tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
var tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
console.log("[+] Our TrustManager is ready...");
console.log("[+] Hijacking SSLContext methods now...")
console.log("[-] Waiting for the app to invoke SSLContext.init()...")
SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").implementation = function(a,b,c) {
console.log("[o] App invoked javax.net.ssl.SSLContext.init...");
SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").call(this, a, tmf.getTrustManagers(), c);
console.log("[+] SSLContext initialized with our custom TrustManager!");
}
});
},0);
腳本里的30行其中對應的就是burp證書的信息
將fridascript.js注入到目標應用程序中
frida -U -f com.tuniu.app.ui -l C:\Users\xxx\Desktop\fridascript.js --no-pause
-f選項表示強制啓動一個應用程序,-l選項表示加載指定腳本,–no-pause選項表示不中斷應用程序的啓動,如下所示代表運行成功
一旦frida服務運行成功,目標程序的流量都將被burp攔截
0x04 參考
https://xz.aliyun.com/t/6102
https://blog.csdn.net/w1590191166/article/details/106308028