前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >论如何从APP测试搞到刷机

论如何从APP测试搞到刷机

作者头像
Khan安全团队
发布2022-01-27 11:33:18
2.2K0
发布2022-01-27 11:33:18
举报
文章被收录于专栏:Khan安全团队

作为一名安服仔,完成项目工作必然是本分所在,于是上周三老大扔了一个APK和API文档要进行测试,从这儿起,就注定我这不平凡的一周。。。

0x01 着手测试

拿到APK,首先自然是扔模拟器开搞,我一般习惯用夜神、MUMU和雷电进行测试,正寻思着一个破APP有啥难测的然后。

???WTF,然后想到自己这个测试模拟器是安卓5,会不会是安卓版本太低了,于是更新了一波雷电4,美滋滋的把APK扔进安卓7的模拟器。

???,直接给我人整晕了,这里其实是有个小技巧的, 有些时候打开应用会闪退,只要把模拟器从平板模式改成手机模式就不会闪退了 ,但是这个方法在这儿显然不是特别好用,后面又陆续更换了许多模拟器,依然是要么解析失败、要么启动闪退、要么登录的时候闪退,属实无奈,想到这里只好先测试API,毕竟是有API手册的,于是先抓个登录包。

0x02 进行抓包

这里简述下我之前抓包的姿势:直接挂代理、postern流量转发、proxifier抓模拟器流量、xposed+justtrustme。

二话不说,挂代理开搞,不出所料,抓不到包,尝试浏览器走个百度的流量,可以正常抓到。

后面也是陆续换了其他姿势,都是可抓到其他应用流量,但是无法抓到要出测试的APP流量,后面又想了下,会不会因为模拟器检测?然后我开心的拿出公司测试机继续进行测试,adb install 直接安装,结果提示SDK版本过低,看来只有换高版本安卓了,但是高版本的模拟器又有闪退问题,于是我萌生了一个念头---给测试机刷ROM。

0x03 刷机

虽然自己之前也搞过一些APP的测试,但也仅限于后端和客户端checklist这种,即使是root也只搞过ios的越狱,像安卓刷机这种东西接触还是比较少,话不多说百度开干。

去百度搜索了一些相关内容,简单介绍一下几种刷机的方式。

线刷:

通过fastboot进行刷机,ROM包一般以.tgz格式结尾,压缩包内有一些.bat文件

卡刷(推荐):

通过fastboot刷入第三方recovery(小米有自己的recovery刷机工具miflashpro),当前用的比较多的是TWRP,链接https://twrp.me/ 可以根据个人设备选择对应的TWRP进行刷入 ,recovery刷入完成后进入recovery进行刷机,卡刷包一般以.zip结尾,可以扔到手机的内置空间,也可以在电脑上使用adb sideload进行刷入,这里选择第二种.

第三方ROM:

有些旧版的手机官方已经不再维护,通过刷官方包无法升级安卓版本,只能通过刷入第三方ROM的方式进行刷机,第三方ROM比较知名的有魔趣、LineageOS、Pixel Experience、DOT OS 等,本次测试我使用的设备是NEXUS6 刷入的ROM是LineageOS,大家在刷第三方ROM的时候一定要选择对应设备的ROM包进行刷入。小米的机子可以参考这个网站,有小米各个历史版本官方包https://xiaomirom.com/

首先我在TWRP下载了NEXUS6对应的recovery,NEXUS一般分类在谷歌或者摩托罗拉中。

有锁要对设备进行解锁,这个就不介绍了,网上有很多相关资料,小米设备有官方解锁工具。

http://www.miui.com/unlock/index.html

然后插电脑,在设备中开启USB调试(这里有个坑,有些电脑可能没有安卓驱动,然后网上搜可能有各种各样的说法,这里正确的解决方法是win+x打开设备管理器-找到有个感叹号的android-右击选择更新驱动程序-自动搜索驱动程序-在Windows更新上搜索,然后会跳到Windows更新页面,在Windows更新选择可选更新,在驱动程序更新就能找到android驱动,点击下载更新回到设备管理器,感叹号消失就说明驱动正常了)。

下载fastboot和adb相关链接:

https://androidfilehost.com/?fid=7161016148664822596

把上面下载好的recovery镜像放到同一个文件夹内,手机关机,长按电源键+音量减,几秒钟后就会出来fastboot页面,这个时候再在fastboot文件夹打开终端(个人推荐一波Windows Terminal),输入fastboot.exe flash recovery xxxx.img,即可刷入recovery,如果刷入失败,请检查设备是否解锁或者USB调试是否开启。

进入recovery模式(小米手机是长按电源键+音量加,我用的Nexus6是长按电源键+音量减,进入fastboot模式后按音量键选择模式,电源键确定)

双清,删除data和cache

进入高级,选择ADB Sideload

这时候电脑打开终端,输入adb.exe sideload 刷机包.zip,即可愉快的刷入新系统。

刷入完成后点击右下角reboot system 即可重启进入系统。

0x04 再次抓包

进入新系统,再次安装burp证书然后添加代理(tip:实机抓包可以用Win10的移动热点,IP比较固定,再次测试的时候不需要更换代理IP),进行抓包,依然是抓不到模拟器流量,但是有其他的手机APP的流量。

这次我怀疑是不是SSL-Pinning的原因,这个简单来说分单向认证和双向认证,单向认证就是客户端要对服务端的证书进行单向校验,使用xposed插件进行hook可绕过相关插件有justtrustme、justtrustme++、trustmealready等;双向认证是客户端和服务端要对相互的证书进行校验,遇到比较少,要突破双向认证只能反编译APK去查找客户端证书文件,有兴趣的大佬可以搜索下相关资料,这里不做讲解。

装xposed就需要root手机,这里我选择了另一种方式,刷入root管理工具Magisk。

刷入面具和相关插件

面具(Magisk)是一款安卓ROOT管理工具,可以管理安装软件的ROOT权限分配,也可以在面具插件市场下载riru和riru-lsposed(基于xposed框架,相比edxposed作用于全局,它能够使相关模块只作用于某个选择的APP)下载链接:

https://github.com/topjohnwu/Magisk/releases

下载Magisk.apk,修改名称为Magisk.zip,是的,Magisk.zip要通过recovery来进行刷入,由于是新刷入的系统,我们需要再次开启进入开发者模式,启动USB调试,然后关机,进入recovery模式, 这次不要双清 ,直接进入ADB Sideload,电脑端adb.exe sideload Magisk.zip刷入面具包,刷完继续reboot system。

开启后发现桌面已经有了Magisk应用,但是这时候还是打不开的,会提示缺少Magisk Manager,我们这时候把Magisk.apk扔到手机存储里面,然后在手机内通过文件找到apk,安装即可,这时候就能打开Magisk了。

刷入Riru和LSPosed,去面具下面那四个选项里选第四个,然后搜索Riru,先安装Riru在安装LSPosed,安装完后重启手机。

桌面上已经有LSPosed了,打开LSPosed,就可以启用各个模块了,LSPosed是对局部应用生效的,选择要生效的APP,然后重新打开这个APP,LSPosed插件就会生效。

下面模块可以hook SSL-Pinning和对指定APP隐藏root

0x06 再再次抓包

继续挂代理抓包,果不其然依旧没抓到,除了手机流量没有任何测试APP的流量产生。

这个时候我去网上找了一下相关资料发现了一些眉头,由于新刷入的是安卓11,高于安卓7默认不信任用户证书,只能重新打包或者root手机刷入系统证书。相关内容可以参考:

https://cloud.tencent.com/developer/news/17437

(这里又有一个坑,使用adb从电脑往手机里push证书的时候可能会提示Read-only file system,这时候只需要先adb shell进入手机shell,然后su获取root,再输入mount -o rw,remount /system,这样就可以向系统push证书了),完事儿后重启下系统,打开设置-安全-信任的凭据,出现burp证书。

再次抓包,依旧失败,这时候想到是不是有代理检测,于是使用postern对流量进行转发,成功抓包。

0x07 总结

到后来才发现本次测试APP只需要满足系统证书和流量转发工具即可抓到包,并没有使用SSL-Pinning,我当时在测试本地文件的时候发现了root检测提示信息“设备已被root”,所以一直以为是不是有root检测,走了很多弯路,不过最终还是成功抓到了流量进行了测试,后续测试过程可以直接上系统证书+root隐藏+SSL-Pinning hook+流量转发,基本上能够抓取绝大多数APP流量了。

APP不信任用户证书可能是高于安卓7也可能开发者在apk的/res/xml/network_security_config.xml文件进行了设置,例如下面就是只信任系统证书。

代码语言:javascript
复制
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
        </trust-anchors>
    </base-config>
</network-security-config>

信任系统证书和用户证书

代码语言:javascript
复制
<?xml version="1.0" encoding="utf-8"?>
<network-security-config>
    <base-config cleartextTrafficPermitted="true">
        <trust-anchors>
            <certificates src="system" />
            <certificates src="user" /> 
        </trust-anchors>
    </base-config>
</network-security-config>

0x08 抓包姿势总结

  • 无任何检测:直接开代理抓
  • 代理检测:开流量转发工具
  • SSL-Pinning/root检测:xposed插件hook;双向校验需要反编译获取客户端证书
  • 高版本安卓/apk文件不信任用户证书:root导入系统证书
  • 相关工具:除了刷机包和recovery其他的工具打了个包

下载链接:

代码语言:javascript
复制
链接:https://pan.baidu.com/s/12AIUnONW6otKI6QfcI9szQ
提取码:ky3h

内容技巧不多,单纯记录个人工作过程遇到的问题,希望能够帮助遇到类似问题的朋友

参考链接:

https://forum.butian.net/share/1068

https://cloud.tencent.com/developer/news/17437

https://blog.csdn.net/wlwh90/article/details/45561679

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-01-17,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 Khan安全攻防实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档