记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Android抓包总结-HTTPS单向认证&双向认证突破

2020-08-31 11:01

Android / 抓 / 包 / 总 / 结



Android抓包总结

HTTPS单向认证&双向认证突破





前言




在被问到抓包时的一些问题:证书、单向认证、双向认证怎么处理,以及绕过背后的原理时,一时很难说清个大概,于是整理了下思绪,将这些知识进行总结和整理,末尾再对一个某社交APP进行实战突破HTTPS双向认证进行抓包。--团队新加入成员:miniboom



单向认证与双向认证
 



01

几个概念

对称加密与非对称加密
对称加密:加密和解密使用同一个秘钥。加密和解密速度很快,常见的如AES。
非对称加密:加密和解密使用不同秘钥,这两个秘钥成双成对,叫做公钥和秘钥。数据使用公钥加密后,使用私钥进行解密,使用私钥加密,那就用公钥解密。一般是把公钥给别人,让别人进行加密后再传给自己用私钥解密,比如RSA。









CA证书相关知识




CA证书是由CA机构发布的数字证书。其内容包含:电子签证机关的信息、公钥客户信息、公钥、签名和有效期。这里的公钥服务端的公钥,签名是指:hash散列函数计算公开的明文信息的信息摘要,可以理解成身份证信息,然后CA的私钥对信息摘要进行加密,加完密之后就是签名。
证书 = 公钥+信息摘要+签名
由于在客户端操作系统中就预留了CA的公钥,所以支持解密签名。

有了这些概念,来看看https是怎么做到安全认证的。

02

HTTPS单向认证  

这个过程图中都可以看得出来它的流程是啥,对于我的理解是,它是服务器将证书信息全部发到客户端这来,因为客户端系统中拥有自带的CA公钥,可以解密server发来的数字签名拿到server给的公钥,然后产生随机数(F秘钥)经由server给的公钥进行加密,然后发给服务器使用秘钥得到F秘钥,随后两者就用F秘钥进行交流。

在单向认证的实现上,占据主动性的还是客户端,因为只要客户端认可了server发来的签名和认证,然后直接告诉服务器我们下次使用什么秘钥进行通讯就行了。单向认证是在客户端上验证的。


利用单向认证来进行反抓包。


可以利用SSL-Pinning的技术来进行反抓包。中间人攻击的要点是伪造了一个假的服务器证书,让客户端信以为真,那么我在客户端内置了一个server的证书,两者进行比较一下就知道是不是真的了。


突破思路:有函数会对内置证书或者公钥进行比照验证,如果让它一直返回通过,就可以绕过了。xpose+justTrustme模块,它将所有的HTTP请求库中用于校验证书的API都进行HOOK,将结果返回正常,所以基于这个思路,xpose+justTruseme就完成了对单向认证的突破。网上也有很多相关教程,不加赘述。


03

HTTPS双向认证

双向认证和单向认证过程差不多,但是多了客户端向server发送证书并校验的过程。然后客户端按照服务器约定的方式将F秘钥发给server,双方按照这个方式来进行通讯。


利用双向认证来进行反抓包。


防抓包策略,将证书进行加密或者伪造,这样没有秘钥就无法打开证书内容。也就无法使用客户端的证书。


突破思路:一般在app/assert、或者raw,搜索.p12或者.pks,直接逆向APK,找到对应加载证书和密码的地方,将其密码打印出来。下面我们用实战来详细说明。



突破某社交APP HTTPS双向认证




网上也有关于某社交app xxx(匿名代替)的抓包破解,但是都是基于xxx未加壳的老版本,直接反编译,然后IDA找到native层的秘钥硬编码,我这里针对xxx最新版的双向认证破解。


直接抓xxx的包,返回400:

需要静态分析代码,首先脱壳,使用frida-unpack砸壳成功:

将砸壳后的dex一一进行查找,搜索"client.p12":

发现调用加载的so层函数,丢入IDA中试图找到秘钥:

在IDA中找到getStorePasswd函数:

F5伪代码查看:

发现秘钥并没有硬编码,但是我们回头看加载证书和密码处的代码:

使用jeb反编译,发现加载点,根据参数追踪,最终定位到了XxxNetworkSDK函数a,然后使用frida 编写脚本hook打印出load的第二个参数(密码):

脚本内容:

1.  'use strict'  2.  //frida -U -f cn.xxxapp.android -l password.js --no-pause  3.  //adb forward tcp:27042 tcp:27042  4.  //adb forward tcp:27043 tcp:27043  5.  if(Java.available){  6.      Java.perform(function(){  7.          var application = Java.use("android.app.Application");  8.          console.log("application: "+application);  9.          application.attach.overload('android.content.Context').implementation = function(context){  10.              var result = this.attach(context);  11.              var classloader = context.getClassLoader();  12.              Java.classFactory.loader = classloader;  13.    14.              //  15.              var xxxNetworkSDK = Java.classFactory.use("cn.xxxapp.android.net.XxxNetworkSDK");  16.              console.log('SDK = ' + xxxNetworkSDK);  17.    18.              xxxNetworkSDK.a.overload("java.lang.String").implementation = function(arg1){  19.                  console.log('进入了password环节==========')  20.                  var password = this.a(arg1);  21.                  console.log('密码= '+password);  22.                  console.log('退出了password环节==========')  23.              }  24.          }  25.    26.      });  27.  }  

得到证书的秘钥:

在代理burp中填入证书所在位置和填入密码即可

不会再出现400了,成功绕开xxx的双向认证进行抓包。




往期经典推荐:

漏洞笔记|记一次与XXE漏洞的爱恨纠缠

深入探究浏览器编码及XSS Bypass

HVV前奏|最新版AWVS&Nessus破解及批量脚本分享

“最后”的Bypass CDN 查找网站真实IP

渗透实战(一)|BSides Vancouver 2018 (Workshop)

移动安全(一)|Android设备root及神器Xposed框架安装

内网信息收集篇

MSF 下域内渗透


>>关于我们:

WhITECat安全团队是起源实验室合作安全团队,主要致力于交流分享团队成员技术研究成果、即时发布最新的漏洞新闻资讯、各大厂商内推通道以及各种安全相关延伸。团队成员目前由起源实验室核心成员、一线安全厂商攻防实验室、某研究院、漏洞盒子TOP10白帽子等人员组成。团队内有不定期的技术交流,(不可描述)工具分享等活动,致力于实现“开放分享”的hack精神。

欢迎各位大佬关注^_^

关注我们

开放共享


扫描上方二维码添加关注

一起分享安全狮的日常



知识来源: https://mp.weixin.qq.com/s?__biz=MzUxMjc0MTE3Mw==&mid=2247485155&idx=1&sn=2737e4ece7dfb5bd36d609794cb85534&chksm=f95e9cb9ce2915af81d5614550d83543e670b92de801c32cb12e9d77f3cb4bf3f964870fb548&scene=126&

阅读:21976 | 评论:0 | 标签:Android android

想收藏或者和大家分享这篇好文章→复制链接地址

“Android抓包总结-HTTPS单向认证&双向认证突破”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云