2024双向认证APP自吐证书密码与抓包

PAGEPAGE10双向认证APP⾃吐证书密码与抓包前⾔双向认证APP读密码Hook⽹络框架抓包批量hook查看调⽤轨迹Hook强混淆APP抓包总结参考资料前⾔在许多业务⾮常聚焦⽐如⾏业应⽤银⾏公共交通游戏等⾏业，C/S架构中服务器⾼度集中，对应⽤的版本控制⾮常严格，这时候就会在服务器上部署对app内置证书的校验代码双向认证APP读密码当抓包出现如下提示时，我们确定出此APP为服务器校验app客户端证书对于此类APP抓包⽽⾔通常需要完成两项内容：PlainPlainText复制代码找到证书⽂件找到证书密码java.security.Key服务器对客户端进⾏校验过程中，客户端将证书公钥发送给服务器，以及从服务器获取session和私钥解密过程中，需要API进⾏操作，API存在于java层框架内，所以hook框架层代java.security.KeyStore，使密码⾃吐StorePlainText复制代码1#frida-U-fcn.soulapp.android-lssl.js--no-pause可以发现我们通过hook框架层代码得到了证书密码PlainPlainText复制代码1 }%2R+\OSsjpP!w%X这时我们还需要拿到证书⽂件，⾸先使⽤常规⽅式解压搜索app包⾥的证书⽂件⼀般apk进⾏解包，直接过滤搜索后缀名为p12的⽂件即可，⼀般常⽤的命tree-NCfhl|grepip12，直接打印出p12⽂件的路径.如如果在安装包内找不到证书的话，也可以进⾏hookjava.io.FilePlainPlainText复制代码#androidhookingwatchclass_methodjava.io.File.$init通过hook也可以找到该证书⽂件PlainPlainText复制代码1 #objection-gcn.soulapp.androidexplore--startup-command"androidhookingwatchclass_methodjava.io.File.$init--dump-args"然后再使⽤抓包⼯具点击导⼊证书（burp同理）密码随意设置然后进去之后导⼊p12证书和密码（⾃吐出的密码}%2R+\OSsjpP!w%X），host和port输⼊*可以看到可以成功抓到了数据包Hook⽹络框架抓包包当然除了通过hook底层框架⾃吐证书和证书密码的⽅式外，我们还可以通过hook⽹络层框架来直接抓包1⾸先确定使⽤的框架，okhttpHttpURLconnection我们使⽤objection来进⾏分析⾸先打印内存中所有的类PlainPlainText复制代码1 #androidhookinglistclasses然后搜索过滤类⽂件中值得怀疑的框架：PlainText复制代码1.objection#catobjection.log|grep-ivolley2.objection#catobjection.log|grep-iokhttp3.objection#catobjection.log|grep-iHttpURLconnection可以看到当我们在APP上操作时候，经过了okhttp框架找到APP使⽤的框架后如okhttp，然后通过frida加载js脚本来进⾏绕过同样可以看到数据请求和返回批量hook查看调⽤轨迹下⾯推荐⼀款批量hook查看调⽤轨迹的⼯具ZenTracerPlainPlainText复制代码1 #gitclone/hluwa/ZenTracerttpURLConnection填⼊后会将该类的所有⽅法进⾏hook并运⾏M:.H点击Action之后，会出现匹ttpURLConnection填⼊后会将该类的所有⽅法进⾏hook并运⾏M:.H同时⼿机点击登录注册等功能模块时，发现经过了该⽅法.HttpURLConnection.getFollowRedirects().HttpURLConnection.getFollowRedirects()然然后使⽤objectionhook该⽅法PlainPlainText复制代码#androidhookingwatchclass_method.HttpURLConnection.getFollowRedirects--dump-args--dump-return--dump-backtrace根据打印出的com.cz.babySister.c.a.a(HttpClients.java:22)直接定位到了收发包函数的地址，然后查看收发包的内容如下：PlainPlainText复制代码1 #androidhookingwatchclass_methodcom.cz.babySister.c.a.a--dump-args--dump-backtrace--dump-return同样可以发现了接⼝请求Hook强混淆APP抓包如果APP做了代码混淆，那么我们靠hook的⽅式来分析⽹络框架会变得⽐较困难，当然可以使⽤⼤佬的伦⼦OkHttpLogger-Frida进⾏解决1⾸先将okhttpfind.dex拷⻉到⼿机/data/local/tmp/⽬录下PlainPlainText复制代码#adbpushokhttpfind.dex/data/local/tmp/#chmod777*2执⾏命令启动frida-Ulokhttp_poker.js-fcom.example.demo--no-pause可追-o[outputfilepath]保存到⽂件PlainPlainText复制代码1 #frida-U-lokhttp_poker.js-forg.sfjboldyvukzzlpp--no-pause然后复制被混淆后的类名，粘