在 抓包神器之Fiddler Everywhere及Wireshark 中講解了Fiddler EveryWhere怎么抓取web的數(shù)據(jù)，這篇文章主要說怎么進(jìn)行手機(jī)抓包以及繞過如何繞過ssl-pining技術(shù)實(shí)現(xiàn)抓包。

糾正一個(gè)錯(cuò)誤

網(wǎng)上很多文章說，在進(jìn)行手機(jī)抓包的時(shí)候，一定要保證手機(jī)和電腦在同一個(gè)局域網(wǎng)。這句話是不準(zhǔn)確的，我認(rèn)為這么說的基本上是兩種情況: (1)人云亦云，別人這么說，我也這么說，應(yīng)該不會(huì)錯(cuò)吧。 (2)對(duì)抓包的原理不理解，甚至于什么是中間人攻擊都不清楚。

要實(shí)現(xiàn)抓包，需要的前提條件并不一定要在同一個(gè)局域網(wǎng)。但是應(yīng)該保證手機(jī)能夠ping同電腦的ip，因?yàn)樾枰谑謾C(jī)端下載和安裝Fiddler Everywhere的證書。

手機(jī)抓包的配置

(1)設(shè)置手機(jī)網(wǎng)絡(luò)代理，將代理設(shè)置為Fiddler Everywhere對(duì)應(yīng)的ip和端口 (2)訪問192.168.42.149(Fiddler Everywhere服務(wù)所對(duì)應(yīng)的ip):8866(Fiddler Everywhere服務(wù)所對(duì)應(yīng)的port)下載Fiddler Everywhere證書，并進(jìn)行安裝。本文使用的是ROOT的真機(jī)，系統(tǒng)版本是Android 10。如果是模擬器，可參考https://helloworddm.blog.csdn.net/article/details/98363056。 (3)可以愉快的抓包了。

證書綁定(Certificate Pinning)

Certificate Pinning，或者有叫作SSL Pinning/TLS Pinning的，都是指的同一個(gè)東西，中文翻譯成證書鎖定，最大的作用就是用來抵御針對(duì)CA的攻擊。在實(shí)際當(dāng)中，它一般被用來阻止man-in-the-middle（中間人攻擊）。

說起中間人攻擊，可能不是那么直觀，但是這一類工具我們可能經(jīng)常會(huì)用到，如Charles和Fiddler。如果一個(gè)應(yīng)用使用了Certificate Pinning技術(shù)，那么你使用前邊說的工具是無法直接來調(diào)試/監(jiān)控應(yīng)用的網(wǎng)絡(luò)流量的。

當(dāng)應(yīng)用通過HTTPS握手連接到Fidder/Charles時(shí)，應(yīng)用會(huì)檢查請(qǐng)求的服務(wù)器的證書，如果發(fā)現(xiàn)與預(yù)設(shè)的不一致，會(huì)拒絕后續(xù)的網(wǎng)絡(luò)請(qǐng)求，從而增加應(yīng)用與服務(wù)器的安全通信。如下書某視頻apk，由于采用ssl pinning技術(shù)，使得與服務(wù)器的連接無法建立。

實(shí)現(xiàn)

(1)教科書書式的實(shí)現(xiàn)。 語言使用的是Kotlin，Google欲使用Kotlin來取代Java，不過個(gè)人認(rèn)為還有很長(zhǎng)的路要走。

1. // Load CAs from an InputStream

2. // (could be from a resource or ByteArrayInputStream or ...)

3. val cf: CertificateFactory = CertificateFactory.getInstance("X.509")

4. // From https://www.washington.edu/itconnect/security/ca/load-der.crt

5. val caInput: InputStream = BufferedInputStream(FileInputStream("load-der.crt"))

6. val ca: X509Certificate = caInput.use {

7. ? ?cf.generateCertificate(it) as X509Certificate

8. }

9. System.out.println("ca=" + ca.subjectDN)

10. 
    

11. // Create a KeyStore containing our trusted CAs

12. val keyStoreType = KeyStore.getDefaultType()

13. val keyStore = KeyStore.getInstance(keyStoreType).apply {

14. ? ?load(null, null)

15. ? ?setCertificateEntry("ca", ca)

16. }

17. 
    

18. // Create a TrustManager that trusts the CAs inputStream our KeyStore

19. val tmfAlgorithm: String = TrustManagerFactory.getDefaultAlgorithm()

20. val tmf: TrustManagerFactory = TrustManagerFactory.getInstance(tmfAlgorithm).apply {

21. ? ?init(keyStore)

22. }

23. 
    

24. // Create an SSLContext that uses our TrustManager

25. val context: SSLContext = SSLContext.getInstance("TLS").apply {

26. ? ?init(null, tmf.trustManagers, null)

27. }

28. 
    

29. // Tell the URLConnection to use a SocketFactory from our SSLContext

30. val url = URL("https://certs.cac.washington.edu/CAtest/")

31. val urlConnection = url.openConnection() as HttpsURLConnection

32. urlConnection.sslSocketFactory = context.socketFactory

33. val inputStream: InputStream = urlConnection.inputStream

34. copyInputStreamToOutputStream(inputStream, System.out)

具體套路如下:

• 加載證書文件，并使用CertificateFactory生成一個(gè)X509Certificate的實(shí)例

• 創(chuàng)建一個(gè)KeyStore實(shí)例，并把前邊的X509Certificate實(shí)例加進(jìn)去，并起一個(gè)別名

注意，這里其實(shí)是可以加多個(gè)證書進(jìn)去的，但是注意別名不要重復(fù)，因?yàn)榈讓訉?shí)現(xiàn)是使用一個(gè)Map存儲(chǔ)別名與證書的

• 創(chuàng)建一個(gè)TrustManager，并且使用前邊的KeyStore實(shí)例進(jìn)行初始化

• 創(chuàng)建一個(gè)SSLContext，并且使用前邊的TrustManager實(shí)例進(jìn)行初始化

• 最后，使用SSLContext創(chuàng)建一個(gè)SSLSocketFactory實(shí)例，并且把它賦值給我們用于https的請(qǐng)求連接對(duì)象HttpsURLConnection

(1)Okhttp實(shí)現(xiàn)

1. String hostname = "publicobject.com";

2. CertificatePinner certificatePinner = new CertificatePinner.Builder()

3. .add(hostname, "sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=")

4. .build();

5. OkHttpClient client = OkHttpClient.Builder()

6. .certificatePinner(certificatePinner)

7. .build();

8. 
   

9. Request request = new Request.Builder()

10. .url("https://" + hostname)

11. .build();

12. client.newCall(request).execute();

那么如何拿到上面所需要的hash值呢？官方給的一個(gè)方法是，先填寫一個(gè)錯(cuò)的hash值，然后根據(jù)隨后的exception的stack trace message，得到對(duì)應(yīng)的hash值。

其實(shí)也可以通過openssl提供的命令直接從der或者pem格式的證書中計(jì)算出來，由于命令相對(duì)復(fù)雜一些，我寫了一個(gè)簡(jiǎn)單的腳本封裝了一下，支持兩種格式的證書。

Frida繞過證書綁定

1. setTimeout(function(){

2. Java.perform(function (){

3. ? ? ? ?console.log("");

4. ? ? ? ?console.log("[.] Cert Pinning Bypass/Re-Pinning");

5. 
   

6. var CertificateFactory = Java.use("java.security.cert.CertificateFactory");

7. var FileInputStream = Java.use("java.io.FileInputStream");

8. var BufferedInputStream = Java.use("java.io.BufferedInputStream");

9. var X509Certificate = Java.use("java.security.cert.X509Certificate");

10. var KeyStore = Java.use("java.security.KeyStore");

11. var TrustManagerFactory = Java.use("javax.net.ssl.TrustManagerFactory");

12. var SSLContext = Java.use("javax.net.ssl.SSLContext");

13. 
    

14. // Load CAs from an InputStream

15. ? ? ? ?console.log("[+] Loading our CA...")

16. var cf = CertificateFactory.getInstance("X.509");

17. 
    

18. try {

19. var fileInputStream = FileInputStream.$new("/data/local/tmp/cert-der.crt");

20. }

21. catch(err) {

22. ? ? ? ? ? ?console.log("[o] " + err);

23. }

24. 
    

25. var bufferedInputStream = BufferedInputStream.$new(fileInputStream);

26. var ca = cf.generateCertificate(bufferedInputStream);

27. ? ? ? ?bufferedInputStream.close();

28. 
    

29. var certInfo = Java.cast(ca, X509Certificate);

30. ? ? ? ?console.log("[o] Our CA Info: " + certInfo.getSubjectDN());

31. 
    

32. // Create a KeyStore containing our trusted CAs

33. ? ? ? ?console.log("[+] Creating a KeyStore for our CA...");

34. var keyStoreType = KeyStore.getDefaultType();

35. var keyStore = KeyStore.getInstance(keyStoreType);

36. ? ? ? ?keyStore.load(null, null);

37. ? ? ? ?keyStore.setCertificateEntry("ca", ca);

38. 
    

39. // Create a TrustManager that trusts the CAs in our KeyStore

40. ? ? ? ?console.log("[+] Creating a TrustManager that trusts the CA in our KeyStore...");

41. var tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();

42. var tmf = TrustManagerFactory.getInstance(tmfAlgorithm);

43. ? ? ? ?tmf.init(keyStore);

44. ? ? ? ?console.log("[+] Our TrustManager is ready...");

45. 
    

46. ? ? ? ?console.log("[+] Hijacking SSLContext methods now...")

47. ? ? ? ?console.log("[-] Waiting for the app to invoke SSLContext.init()...")

48. 
    

49. SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").implementation = function(a,b,c) {

50. ? ? ? ? ? ?console.log("[o] App invoked javax.net.ssl.SSLContext.init...");

51. SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").call(this, a, tmf.getTrustManagers(), c);

52. ? ? ? ? ? ?console.log("[+] SSLContext initialized with our custom TrustManager!");

53. }

54. });

55. },0);

寫在最后

基于本片文章的繞過技術(shù)，大部分基于服務(wù)器端的驗(yàn)證都是可以繞過的，但是如果是服務(wù)需要檢驗(yàn)app的證書那，這個(gè)時(shí)候Fiddler Everywhere就顯得力不從心了，F(xiàn)iddler Everywhere沒有辦法導(dǎo)入其他的證書。這時(shí)候就只能使用Charlers之類的軟件的。

公眾號(hào)

更多內(nèi)容，歡迎關(guān)注我的微信公眾號(hào):無情劍客。