APP渗透—Android 7.0 抓包教程

  零基础学黑客,搜索公众号:白帽子左一

另,免费领取黑客入门学习资料包及练手靶场!

用到的工具

Proxifier(可在内网渗透上课件中找到)或:https://www.jb51.net/softs/527902.html

burpsuite(其他抓包工具亦可)

雷电模拟器4 (Android 7)https://www.ldmnq.com/?n=6000&bd_vid=7476744816742092625

抓包前的准备

打开burp,选择Proxy,Options,确保Proxy Listens下的监听端口与待会要设置的一致,并且处于勾选状态

安装Proxifier后打开,点击配置文件,选择代理服务器,点击添加

确保设置的地址和端口与burpsuite的监听端口一致

4.点击检查,确保可以正常连接,(注:如果没开burp或者burp监听的地址不是127.0.0.1:8080或者改选项没有勾选,那么会连接不超过)

配置不正确的话那么就会不成功

配置成功就是如下图所示

(注:在进行这一步之前你要确保你的电脑已经安装了burpsuite的证书并且可以正常抓取https的包)

在Proxifier中添加代理规则

配置文件 -> 代理规则 -> 添加

应用程序选择 dnplayer.exe;LdVBoxHeadless.exe;

dnplayer雷电模拟器启动程序和模拟器主程序

LdVBoxHeadless雷电模拟器对外网络协议走的都是这个程序

动作选择刚才添加的代理服务器。

PS:LdVBoxHeadless.exe不同的版本,名称可能不一样,如果不知道在哪,可以直接在任务管理器,找到名为VirtualBox Headless Frontend的进程,右键打开文件所在的位置,即可找到

到这一步我们进入模拟器,打开浏览器以后,就可以从Proxifier看到模拟器的流量,但是我们现在还抓不了https

解决抓取https问题:

不能抓取https的包肯定是没多大意义的。所以我们要来解决这个问题,经过查询资料了解到安卓7.0以上后默认不在信任用户自行安装的证书文件、如果需要抓包我们就要把自己的证书放到系统目录下、或者对app进行修改从而进行抓包。在这里我选择安装系统证书的方式进行更加通用的方式进行处理。

从浏览器导出burp证书

选择Base64 编码X.509(.CER)(S)

找个地方取个名字,保存

切换到模拟器,点击更多,选择共享文件,然后选择打开电脑文件夹,把刚才导入的证书拖进去,这个证书就会出现在模拟器相应的Pictures文件夹里

然后进入模拟器,设置,安全,从SD卡安装证书,把刚才拖进来的证书导入

第一次添加证书会要求设置密码,随便设置一下就行了

然后回到桌面,打开文件管理器(记得开启Root权限,模拟器的右边,设置,其他设置,Root权限,点击开启)

点击左上角的三条杠,选择根目录(确保有超级用户(Root)权限)

进入:/data/misc/user/0/cacerts-added 这个文件夹下(该目录存储的是用户自己安装的证书文件)

给该.0文件左边打上勾(文件名可能是不一样的)

切换目录到/etc/security/cacerts 下,点击右上角三个点,点击粘贴选择项,就把证书复制到系统证书目录了

现在可以开心地抓取模拟器的https的包了

雷电模拟器安装Xposed

什么是Xposed

Xposed框架(Xposed Framework)是一套开源的、在Android高权限模式下运行的框架服务,可以在不修改APK文件的情况下影响程序运行(修改系统)的框架服务,基于它可以制作出许多功能强大的模块,且在功能不冲突的情况下同时运作。

安装Xposed流程

首先打开雷电游戏中心

搜索Xposed,下载安装

打开Xposed,查看系统信息

可以看到,系统是Android 7.1.2,x86(32位)

下载相应的Xposed包:https://dl-xda.xposed.info/framework/

选择想用的版本,我比较喜欢用最新的,所以我选择sdk27

选择与自己系统对应的,我的是x86

最后下载.zip为后缀的文件

然后打开模拟器与电脑的共享文件夹,把压缩包解压,并把文件夹重命名为system

再新建一个文件夹,重命名为xposed,把刚才的system移动到xposed文件夹中

再在xposed文件夹下新建一个flash-script.sh 文件,用记事本打开,把如下内容复制进去保存

##########################################################################################

#

# Xposed framework installer zip.

#

# This script installs the Xposed framework files to the system partition.

# The Xposed Installer app is needed as well to manage the installed modules.

#

##########################################################################################

grep_prop() {

  REGEX="s/^$1=//p"

  shift

  FILES=$@

  if [ -z "$FILES" ]; then

    FILES='/system/build.prop'

  fi

  cat $FILES 2>/dev/null | sed -n $REGEX | head -n 1

}

android_version() {

  case $1 in

    15) echo '4.0 / SDK'$1;;

    16) echo '4.1 / SDK'$1;;

    17) echo '4.2 / SDK'$1;;

    18) echo '4.3 / SDK'$1;;

    19) echo '4.4 / SDK'$1;;

    21) echo '5.0 / SDK'$1;;

    22) echo '5.1 / SDK'$1;;

    23) echo '6.0 / SDK'$1;;

    24) echo '7.0 / SDK'$1;;

    25) echo '7.1 / SDK'$1;;

    26) echo '8.0 / SDK'$1;;

    27) echo '8.1 / SDK'$1;;

    *)  echo 'SDK'$1;;

  esac

}

cp_perm() {

  cp -f $1 $2 || exit 1

  set_perm $2 $3 $4 $5 $6

}

set_perm() {

  chown $2:$3 $1 || exit 1

  chmod $4 $1 || exit 1

  if [ "$5" ]; then

    chcon $5 $1 2>/dev/null

  else

    chcon 'u:object_r:system_file:s0' $1 2>/dev/null

  fi

}

install_nobackup() {

  cp_perm ./$1 $1 $2 $3 $4 $5

}

install_and_link() {

  TARGET=$1

  XPOSED="${1}_xposed"

  BACKUP="${1}_original"

  if [ ! -f ./$XPOSED ]; then

    return

  fi

  cp_perm ./$XPOSED $XPOSED $2 $3 $4 $5

  if [ ! -f $BACKUP ]; then

    mv $TARGET $BACKUP || exit 1

    ln -s $XPOSED $TARGET || exit 1

    chcon -h 'u:object_r:system_file:s0' $TARGET 2>/dev/null

  fi

}

install_overwrite() {

  TARGET=$1

  if [ ! -f ./$TARGET ]; then

    return

  fi

  BACKUP="${1}.orig"

  NO_ORIG="${1}.no_orig"

  if [ ! -f $TARGET ]; then

    touch $NO_ORIG || exit 1

    set_perm $NO_ORIG 0 0 600

  elif [ -f $BACKUP ]; then

    rm -f $TARGET

    gzip $BACKUP || exit 1

    set_perm "${BACKUP}.gz" 0 0 600

  elif [ ! -f "${BACKUP}.gz" -a ! -f $NO_ORIG ]; then

    mv $TARGET $BACKUP || exit 1

    gzip $BACKUP || exit 1

    set_perm "${BACKUP}.gz" 0 0 600

  fi

  cp_perm ./$TARGET $TARGET $2 $3 $4 $5

}

##########################################################################################

echo "******************************"

echo "Xposed framework installer zip"

echo "******************************"

if [ ! -f "system/xposed.prop" ]; then

  echo "! Failed: Extracted file system/xposed.prop not found!"

  exit 1

fi

echo "- Mounting /system and /vendor read-write"

mount /system >/dev/null 2>&1

mount /vendor >/dev/null 2>&1

mount -o remount,rw /system

mount -o remount,rw /vendor >/dev/null 2>&1

if [ ! -f '/system/build.prop' ]; then

  echo "! Failed: /system could not be mounted!"

  exit 1

fi

echo "- Checking environment"

API=$(grep_prop ro.build.version.sdk)

APINAME=$(android_version $API)

ABI=$(grep_prop ro.product.cpu.abi | cut -c-3)

ABI2=$(grep_prop ro.product.cpu.abi2 | cut -c-3)

ABILONG=$(grep_prop ro.product.cpu.abi)

XVERSION=$(grep_prop version system/xposed.prop)

XARCH=$(grep_prop arch system/xposed.prop)

XMINSDK=$(grep_prop minsdk system/xposed.prop)

XMAXSDK=$(grep_prop maxsdk system/xposed.prop)

XEXPECTEDSDK=$(android_version $XMINSDK)

if [ "$XMINSDK" != "$XMAXSDK" ]; then

  XEXPECTEDSDK=$XEXPECTEDSDK' - '$(android_version $XMAXSDK)

fi

ARCH=arm

IS64BIT=

if [ "$ABI" = "x86" ]; then ARCH=x86; fi;

if [ "$ABI2" = "x86" ]; then ARCH=x86; fi;

if [ "$API" -ge "21" ]; then

  if [ "$ABILONG" = "arm64-v8a" ]; then ARCH=arm64; IS64BIT=1; fi;

  if [ "$ABILONG" = "x86_64" ]; then ARCH=x64; IS64BIT=1; fi;

fi

# echo "DBG [$API] [$ABI] [$ABI2] [$ABILONG] [$ARCH] [$XARCH] [$XMINSDK] [$XMAXSDK] [$XVERSION]"

echo "  Xposed version: $XVERSION"

XVALID=

if [ "$ARCH" = "$XARCH" ]; then

  if [ "$API" -ge "$XMINSDK" ]; then

    if [ "$API" -le "$XMAXSDK" ]; then

      XVALID=1

    else

      echo "! Wrong Android version: $APINAME"

      echo "! This file is for: $XEXPECTEDSDK"

    fi

  else

    echo "! Wrong Android version: $APINAME"

    echo "! This file is for: $XEXPECTEDSDK"

  fi

else

  echo "! Wrong platform: $ARCH"

  echo "! This file is for: $XARCH"

fi

if [ -z $XVALID ]; then

  echo "! Please download the correct package"

  echo "! for your platform/ROM!"

  exit 1

fi

echo "- Placing files"

install_nobackup /system/xposed.prop                      0    0 0644

install_nobackup /system/framework/XposedBridge.jar      0    0 0644

install_and_link  /system/bin/app_process32              0 2000 0755 u:object_r:zygote_exec:s0

install_overwrite /system/bin/dex2oat                    0 2000 0755 u:object_r:dex2oat_exec:s0

install_overwrite /system/bin/oatdump                    0 2000 0755

install_overwrite /system/bin/patchoat                    0 2000 0755 u:object_r:dex2oat_exec:s0

install_overwrite /system/lib/libart.so                  0    0 0644

install_overwrite /system/lib/libart-compiler.so          0    0 0644

install_overwrite /system/lib/libart-disassembler.so      0    0 0644

install_overwrite /system/lib/libsigchain.so              0    0 0644

install_nobackup  /system/lib/libxposed_art.so            0    0 0644

if [ $IS64BIT ]; then

  install_and_link  /system/bin/app_process64            0 2000 0755 u:object_r:zygote_exec:s0

  install_overwrite /system/lib64/libart.so              0    0 0644

  install_overwrite /system/lib64/libart-compiler.so      0    0 0644

  install_overwrite /system/lib64/libart-disassembler.so  0    0 0644

  install_overwrite /system/lib64/libsigchain.so          0    0 0644

  install_nobackup  /system/lib64/libxposed_art.so        0    0 0644

fi

if [ "$API" -ge "25" ]; then

  find /system /vendor -type f -name '*.odex.gz' 2>/dev/null | while read f; do mv "$f" "$f.xposed"; done

fi

echo "- Done"

exit 0

把xposed文件夹复制到根目录的system文件夹下(需要有root权限)

安装一个终端模拟器(这个百度一堆,我就随便下了一个,能执行命令就行)

输入su,回车,获取root权限

cd /system/xposed 切换到xposed文件夹,输入sh flash-script.sh

然后就安装成功啦!

重启模拟器,打开Xposed Installer,发现安装成功

然后就可以去安装JustTrustMe、SSLUnpinning等插件了

双向认证

什么是双向认证

双向认证,服务端会校验客户端(也就是我们的app)的证书;客户端也会校验服务端的证书,先来看看这篇文章的资料。SSL/TLS 双向认证(一) — SSL/TLS工作原理_网络_ustccw-CSDN博客,看完这篇文章就可以了解到,对于双向证书校验要破解有:

证书密码

cer或者p12证书

双向认证抓包有两种解决方法:

一是:按照搞定证书的思路去想的话,就是要想办法拿到真正的证书。

二是:Hook SSL 对数据解密数据的地方。

方法一:

因为 APP 能正常跟服务端通信,所以真正的证书肯定是在 APP 里面。所以就是要想办法从 APP 里抠出证书。抠证书有开源的 Frida Hook 脚本。如下地址是开源作者写的 Frida Hook 脚本 https://gist.github.com/ceres- c/cb3b69e53713d5ad9cf6aac9b8e895d2gfgg

可以把证书从内存里读出来保存到本地,并且证书密码也能读出来,非常的方便。 该脚本的原理是: 因为 APP 在向服务端发请求时, APP 肯定会操作证书,所以如果能找到 APP 操作证书的代码地方, Hook 这部分代码,对参数做些输出打印,证书和证书密码就都有了。 大部分情况下,我们不用非常熟悉安卓原理,比如安卓在代码层面是如何操作证书的(当然熟悉更好)。因为资讯发达,一般灵活借助搜索引擎,灵活查阅资料,可以大体知道这些,就可以尝试去写 Hook 脚本去尝试看看。 查阅资料可以知道,安卓操作证书通常是 java.security.KeyStore 这个类,然后再了解下这个类的用法,参数形式。就可以尝试去 Hook 了。上述脚本就是 Hook  java.security.KeyStore 这个类的 load 方法,load 方法的形参就是我们需要的证书和密码。 抠出的证书和密码,配置进 fiddler 或 charles 里面,就可以抓到双向认证的包。 PS: 还要注意证书的格式,抠出的证书可能是 jks 或 bks 格式的,fiddler 可能需要 p12 格式的, 所以要找工具先转换一下格式。

方法二:

如果只是想抓包,还有另一种方法,不需要抠证书的方法。虽然 https 在传输过程中是加密的,但在终端显示的时候,必然会解密,不然 APP 上都没法显示了。所以如果能知道安卓解密 SSL  加解密是哪个类, Hook 这个类, 类里相关方法的输入输出肯定就是传输的明文数据。 所以可以查阅资料,看看相关类的用法,就可以尝试去 Hook 打印输出看看情况。也有开源作者开源了该 Hook 脚本, 比如 5alt 老板在google开源的脚本基础上做了修改了的 ssl_logger 。 https://github.com/5alt/ssl_logger

能够 Hook SSL 加解密的地方,它会把传输的数据保存为 pcap 格式。再使用 wireshark 打开该 pcap文件, 在 wireshark 上就可以看到明文的数据了。 如果要模拟向服务器发送请求的话,还是只能使用第一种方法,因为客服端必须要提交正确的证书,服务端才会正确响应。必须得抠出证书,模拟请求时必须带上证书,才能请求到数据。安卓上的证书好多是 jks/bks格式的, 如果使用 Python requests 库的话, 不支持这个格式, 所以要想办法把证书转成 cert 格式的。

上面两种方法都是使用 Frida 进行 Hook ,所以要有 Root 过的手机和明白Frida 怎么使用就能搞定。 对于爬虫来说,搞定抓包和请求参数加密的问题,大部分 Hook ,都可以通过 Hook 安卓系统 API 来找到 APP 代码位置,或直接搞定。其实很少人能很熟悉安卓系统的各种原理,大部分时候能灵活通过各种关键字能查到相关原理的讲解文献,文献里讲的 API 灵活点拿去 Hook 康康线索,就能搞定很多拉。 其实使用双向认证的 APP 还是少数, 对服务器性能多少有影响。

某APP双向认证突破

因为app没有进行加固,可以直接用jadx反编译出来,然后全局搜索”.cer”、”.crt”、”.pfx”、”PKCS12”、”keyStore”等等关键字。

jadx下载地址:https://github.com/skylot/jadx/releases/tag/v1.2.0

转到代码位置查看详情(证书安装密码、其他密码等等信息),可以看到,pfx证书没有设置密码(本地测试安装了下,看到有需要输入密码,第一次尝试过输入密码,结果提示密码错误,第二次尝试不输入密码却安装成功了,于是开启了全局搜索之旅,看到没有设置证书安装密码):

使用akptool将APP拆开,apktool下载地址:https://bitbucket.org/iBotPeaches/apktool/downloads/

进入apktool生成的目录,可以搜索一些证书的后缀文件,例如cer/p12/pfx等,一般安卓下的为bks,也可以先去assets或者res目录下去找找。我碰到的apk就在assets目录下存放:

本来以为还得在文件夹里面继续找key,找了一圈无果,后来知道这里可以直接把key导出来

openssl pkcs12 –in client.pfx –nocerts –nodes –out client.key

这里需要注意的是,导出key的时候需要输入密码,也就是这个地方(如下图)

因为我这里是没有设置密码的,所以不用输入,直接回车导出;如果设置了证书密码,这里需要输入证书密码才能把key导出来。

有了key剩下的就好办了,将crt证书和key文件合并成“.p12”证书文件,合并的时候记得对证书进行加密(也就是加个证书密码),不加密码burpsuite是无法导入的。

合并证书命令:openssl pkcs12 -export -inkey client.key -in client.crt -out client.p12

将证书导入到burpsuite:

然后就可以成功导入证书,并且启用

最后就可以开始抓包了,抓包前最好是把模拟器关闭再重新打开

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,378评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,356评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,702评论 0 342
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,259评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,263评论 5 371
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,036评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,349评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,979评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,469评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,938评论 2 323
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,059评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,703评论 4 323
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,257评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,262评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,485评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,501评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,792评论 2 345

推荐阅读更多精彩内容