Android抓包总结-HTTPS单向认证&双向认证突破
Android抓包总结-HTTPS单向认证&双向认证突破
Android / 抓 / 包 / 总 / 结
Android抓包总结
HTTPS单向认证&双向认证突破
前言
在被问到抓包时的一些问题:证书、单向认证、双向认证怎么处理,以及绕过背后的原理时,一时很难说清个大概,于是整理了下思绪,将这些知识进行总结和整理,末尾再对一个某社交APP进行实战突破HTTPS双向认证进行抓包。--团队新加入成员:miniboom
单向认证与双向认证
01
几个概念
对称加密与非对称加密 对称加密:加密和解密使用同一个秘钥。加密和解密速度很快,常见的如AES。 非对称加密:加密和解密使用不同秘钥,这两个秘钥成双成对,叫做公钥和秘钥。数据使用公钥加密后,使用私钥进行解密,使用私钥加密,那就用公钥解密。一般是把公钥给别人,让别人进行加密后再传给自己用私钥解密,比如RSA。
CA证书相关知识
CA证书是由CA机构发布的数字证书。其内容包含:电子签证机关的信息、公钥客户信息、公钥、签名和有效期。这里的公钥服务端的公钥,签名是指:hash散列函数计算公开的明文信息的信息摘要,可以理解成身份证信息,然后CA的私钥对信息摘要进行加密,加完密之后就是签名。 证书 = 公钥+信息摘要+签名 由于在客户端操作系统中就预留了CA的公钥,所以支持解密签名。
有了这些概念,来看看https是怎么做到安全认证的。
02
HTTPS单向认证
这个过程图中都可以看得出来它的流程是啥,对于我的理解是,它是服务器将证书信息全部发到客户端这来,因为客户端系统中拥有自带的CA公钥,可以解密server发来的数字签名拿到server给的公钥,然后产生随机数(F秘钥)经由server给的公钥进行加密,然后发给服务器使用秘钥得到F秘钥,随后两者就用F秘钥进行交流。
在单向认证的实现上,占据主动性的还是客户端,因为只要客户端认可了server发来的签名和认证,然后直接告诉服务器我们下次使用什么秘钥进行通讯就行了。单向认证是在客户端上验证的。
利用单向认证来进行反抓包。
可以利用SSL-Pinning的技术来进行反抓包。中间人攻击的要点是伪造了一个假的服务器证书,让客户端信以为真,那么我在客户端内置了一个server的证书,两者进行比较一下就知道是不是真的了。
突破思路:有函数会对内置证书或者公钥进行比照验证,如果让它一直返回通过,就可以绕过了。xpose+justTrustme模块,它将所有的HTTP请求库中用于校验证书的API都进行HOOK,将结果返回正常,所以基于这个思路,xpose+justTruseme就完成了对单向认证的突破。网上也有很多相关教程,不加赘述。
03
HTTPS双向认证
双向认证和单向认证过程差不多,但是多了客户端向server发送证书并校验的过程。然后客户端按照服务器约定的方式将F秘钥发给server,双方按照这个方式来进行通讯。
利用双向认证来进行反抓包。
防抓包策略,将证书进行加密或者伪造,这样没有秘钥就无法打开证书内容。也就无法使用客户端的证书。
突破思路:一般在app/assert、或者raw,搜索.p12或者.pks,直接逆向APK,找到对应加载证书和密码的地方,将其密码打印出来。下面我们用实战来详细说明。
突破某社交APP HTTPS双向认证
网上也有关于某社交app xxx(匿名代替)的抓包破解,但是都是基于xxx未加壳的老版本,直接反编译,然后IDA找到native层的秘钥硬编码,我这里针对xxx最新版的双向认证破解。
直接抓xxx的包,返回400:
需要静态分析代码,首先脱壳,使用frida-unpack砸壳成功:
将砸壳后的dex一一进行查找,搜索"client.p12":
发现调用加载的so层函数,丢入IDA中试图找到秘钥:
在IDA中找到getStorePasswd函数:
F5伪代码查看:
发现秘钥并没有硬编码,但是我们回头看加载证书和密码处的代码:
使用jeb反编译,发现加载点,根据参数追踪,最终定位到了XxxNetworkSDK函数a,然后使用frida 编写脚本hook打印出load的第二个参数(密码):
脚本内容:
1. 'use strict'
2. //frida -U -f cn.xxxapp.android -l password.js --no-pause
3. //adb forward tcp:27042 tcp:27042
4. //adb forward tcp:27043 tcp:27043
5. if(Java.available){
6. Java.perform(function(){
7. var application = Java.use("android.app.Application");
8. console.log("application: "+application);
9. application.attach.overload('android.content.Context').implementation = function(context){
10. var result = this.attach(context);
11. var classloader = context.getClassLoader();
12. Java.classFactory.loader = classloader;
13.
14. //
15. var xxxNetworkSDK = Java.classFactory.use("cn.xxxapp.android.net.XxxNetworkSDK");
16. console.log('SDK = ' + xxxNetworkSDK);
17.
18. xxxNetworkSDK.a.overload("java.lang.String").implementation = function(arg1){
19. console.log('进入了password环节==========')
20. var password = this.a(arg1);
21. console.log('密码= '+password);
22. console.log('退出了password环节==========')
23. }
24. }
25.
26. });
27. } 得到证书的秘钥:
在代理burp中填入证书所在位置和填入密码即可
不会再出现400了,成功绕开xxx的双向认证进行抓包。
完
往期经典推荐:
HVV前奏|最新版AWVS&Nessus破解及批量脚本分享
渗透实战(一)|BSides Vancouver 2018 (Workshop)
移动安全(一)|Android设备root及神器Xposed框架安装
>>关于我们:
WhITECat安全团队是起源实验室合作安全团队,主要致力于交流分享团队成员技术研究成果、即时发布最新的漏洞新闻资讯、各大厂商内推通道以及各种安全相关延伸。团队成员目前由起源实验室核心成员、一线安全厂商攻防实验室、某研究院、漏洞盒子TOP10白帽子等人员组成。团队内有不定期的技术交流,(不可描述)工具分享等活动,致力于实现“开放分享”的hack精神。
欢迎各位大佬关注^_^