APP抓包大法(最全总结)

1337163122

APP抓包大法(最全总结)黑客帮 昨天
以下文章来源于凌晨安全 ，作者Titan
​
凌晨安全
学习总结，转发优秀文章
前言：最近工作中遇到一些比较奇葩的App，一边测试一边搜集整理出了比较全的姿势。如有错误之处，还请各位师傅多多指教。

0x01 不走代理的App
如何判断：连接Fiddler代理-->抓不到包-->关闭Fiddler后正常通信。
解决方法：PC端模拟器+如下全局代理抓包工具，筛选出模拟器进程无需配置可以直接解密https流量

1. HTTPAnalyserv7
​

2. HTTPDebuggerpro
​

0x02 常规App抓包
1. 普通代理 Fiddler
PS：fiddler 抓app仍是http代理抓包，容易被检测限制
可以在FiddlerScript 中的handle下配置 抓取websocket （多是明文）

1. static function OnWebSocketMessage(oMsg: WebSocketMessage) {
   
2. 
   
3.      // Log Message to the LOG tab
   
4. 
   
5.      FiddlerApplication.Log.LogString(oMsg.ToString());
   
6. }  

复制代码

​

2. Charles + postern 可以新建一个VPN配置socks5代理
从而绕过更多抓包限制，Charles处理https包更优秀，配置如下简图，也可自行百度高级用法。
​
​

去掉本地windows代理，只抓取移动端的流量
​
​


手机端Postern左侧配置代理—添加代理服务器输入上图设置好的socks代理8889端口，代理类型选择socks5，再返回配置规则删除其他规则，添加匹配所有通过刚刚设置好的代理保存。如图：
​
​

开启postern，允许连接vpn，浏览器输入chls.pro这个网址下载安装证书。
Charles点击图中的第二步解密按钮，可解密https流量（8.0以上系统可以将证书放到系统证书目录下）

3. VPN手机端使用Httpcanary抓包
使用VPN，流量会强制走VPN通道，可以抓到更多的包。
配置安装证书，有root权限可以把证书安装到系统证书下（7.1及以下系统默认信任用户证书）
​

点击右下的小飞机即可抓包，右上角有过滤选项可以只抓http tcp等
左边设置目标应用可以指定进程，方便只抓取想要的数据包
PS：安卓7.1及以上，抓取https流量，需要root后把fiddler、burp、charles等工具的的证书安装到系统根证书下

1. openssl x509 -inform PEM -subject_hash_old -in Desktop.pem |head -1  #获取hash值
   
2. 用hash值.0重命名证书
   
3. adb push 重命名后证书 /sdcard/
   
4. mount -o rw,remount /      #挂载为可读写
   
5. mv /sdcard/证书 /etc/security/cacerts/      #系统证书路径
   
6. chmod 644 /etc/security/cacerts/证书  #修改权限644
   
7. # /data/misc/user/0/cacerts-added   #用户证书路径

复制代码

0x03代理证书检测绕过
如何判断：0x02抓不到的有可能就是代理检测，更直观的判断就是App可以正常使用，打开httpcanary抓不到或者网络连接失败
说到代理检测：先简单介绍下数字证书常见的检测机制
一般来说主要检测证书中｛证书链 签发关系 公钥 指纹｝等这些内容，所以我们绕过代理检测也要从这些方面入手。
所以实际抓包测试中hook掉系统自带的检测api和常见框架中的检测api即可。然后再利用0x02中的抓包姿势就O了。

下介绍两种方式：
1. Xposed框架+JustTrustMe (0.3)
​
​


安装xp框架后直接安装justtrustme的apk，在模块里勾选中开启，然后一定！！重启模拟器/手机，打开关闭xp框架和模块一定要重启手机才能生效。
JustTrustMe的源码<可自行编译>（文末有编译好的apk等本文工具打包下载）
项目地址：https://github.com/Fuzion24/JustTrustMe

从项目代码中可以看到作者hook了很多常见的系统函数、常见框架（okhttp等）HttpsURLConnection 下的API X509TrustManager、HostnameVerifier(域名验证)，setSSLSocketFactory()中的sslcontext里的checksevercertificate()，setHostnameVerifier() 方法；okhttp/okhttp3框架中证书Pinner，certificatePinner 下的 check 方法， 设置通信组件中的setSSLSocketFactory() 方法等。

2. Frida + Hook.js
Frida请自行安装，可以参考https://www.jianshu.com/p/c349471bdef7
Frida：hook中常用的两个命令：

1. frida -UF -l .\hook.js   #注入最前端的进程（当前的app）
   
2. frida -U --no-pause -f com.xxx.xxx(包名) -l .\Hook.js  #启动前注入

复制代码

下面的JS代码类似于frida下的增强版的justtrustme ，Hook了下述的一些系统api和框架
1.SSLcontext
2.okhttp
3.webview
4.XUtils
5.httpclientandroidlib
6.JSSE
7.network_security_config (android 7.0+)
8.Apache Http client (support partly)
9.OpenSSLSocketImpl
10.TrustKit
11.Cronet

1. Java.perform(function () {
   
2. 
   
3.     /*
   
4.     hook list:
   
5.     1.SSLcontext
   
6.     2.okhttp
   
7.     3.webview
   
8.     4.XUtils
   
9.     5.httpclientandroidlib
   
10.     6.JSSE
    
11.     7.network\_security\_config (android 7.0+)
    
12.     8.Apache Http client (support partly)
    
13.     9.OpenSSLSocketImpl
    
14.     10.TrustKit
    
15.     11.Cronet
    
16.     */
    
17. 
    
18.     // Attempts to bypass SSL pinning implementations in a number of
    
19.     // ways. These include implementing a new TrustManager that will
    
20.     // accept any SSL certificate, overriding OkHTTP v3 check()
    
21.     // method etc.
    
22.     var X509TrustManager = Java.use('javax.net.ssl.X509TrustManager');
    
23.     var HostnameVerifier = Java.use('javax.net.ssl.HostnameVerifier');
    
24.     var SSLContext = Java.use('javax.net.ssl.SSLContext');
    
25.     var quiet_output = false;
    
26. 
    
27.     // Helper method to honor the quiet flag.
    
28. 
    
29.     function quiet_send(data) {
    
30. 
    
31.         if (quiet_output) {
    
32. 
    
33.             return;
    
34.         }
    
35. 
    
36.         send(data)
    
37.     }
    
38. 
    
39. 
    
40.     // Implement a new TrustManager
    
41.     // ref: https://gist.github.com/oleavr/3ca67a173ff7d207c6b8c3b0ca65a9d8
    
42.     // Java.registerClass() is only supported on ART for now(201803). 所以android 4.4以下不兼容,4.4要切换成ART使用.
    
43.     /*
    
44. 06-07 16:15:38.541 27021-27073/mi.sslpinningdemo W/System.err: java.lang.IllegalArgumentException: Required method checkServerTrusted(X509Certificate[], String, String, String) missing
    
45. 06-07 16:15:38.542 27021-27073/mi.sslpinningdemo W/System.err:     at android.net.http.X509TrustManagerExtensions.<init>(X509TrustManagerExtensions.java:73)
    
46.         at mi.ssl.MiPinningTrustManger.<init>(MiPinningTrustManger.java:61)
    
47. 06-07 16:15:38.543 27021-27073/mi.sslpinningdemo W/System.err:     at mi.sslpinningdemo.OkHttpUtil.getSecPinningClient(OkHttpUtil.java:112)
    
48.         at mi.sslpinningdemo.OkHttpUtil.get(OkHttpUtil.java:62)
    
49.         at mi.sslpinningdemo.MainActivity$1$1.run(MainActivity.java:36)
    
50. */
    
51.     var X509Certificate = Java.use("java.security.cert.X509Certificate");
    
52.     var TrustManager;
    
53.     try {
    
54.         TrustManager = Java.registerClass({
    
55.             name: 'org.wooyun.TrustManager',
    
56.             implements: [X509TrustManager],
    
57.             methods: {
    
58.                 checkClientTrusted: function (chain, authType) { },
    
59.                 checkServerTrusted: function (chain, authType) { },
    
60.                 getAcceptedIssuers: function () {
    
61.                     // var certs = [X509Certificate.$new()];
    
62.                     // return certs;
    
63.                     return [];
    
64.                 }
    
65.             }
    
66.         });
    
67.     } catch (e) {
    
68.         quiet_send("registerClass from X509TrustManager >>>>>>>> " + e.message);
    
69.     }
    
70. 
    
71. 
    
72. 
    
73. 
    
74. 
    
75.     // Prepare the TrustManagers array to pass to SSLContext.init()
    
76.     var TrustManagers = [TrustManager.$new()];
    
77. 
    
78.     try {
    
79.         // Prepare a Empty SSLFactory
    
80.         var TLS_SSLContext = SSLContext.getInstance("TLS");
    
81.         TLS_SSLContext.init(null, TrustManagers, null);
    
82.         var EmptySSLFactory = TLS_SSLContext.getSocketFactory();
    
83.     } catch (e) {
    
84.         quiet_send(e.message);
    
85.     }
    
86. 
    
87.     send('Custom, Empty TrustManager ready');
    
88. 
    
89.     // Get a handle on the init() on the SSLContext class
    
90.     var SSLContext_init = SSLContext.init.overload(
    
91.         '[Ljavax.net.ssl.KeyManager;', '[Ljavax.net.ssl.TrustManager;', 'java.security.SecureRandom');
    
92. 
    
93.     // Override the init method, specifying our new TrustManager
    
94.     SSLContext_init.implementation = function (keyManager, trustManager, secureRandom) {
    
95. 
    
96.         quiet_send('Overriding SSLContext.init() with the custom TrustManager');
    
97. 
    
98.         SSLContext_init.call(this, null, TrustManagers, null);
    
99.     };
    
100. 
     
101.     /*** okhttp3.x unpinning ***/
     
102. 
     
103. 
     
104.     // Wrap the logic in a try/catch as not all applications will have
     
105.     // okhttp as part of the app.
     
106.     try {
     
107. 
     
108.         var CertificatePinner = Java.use('okhttp3.CertificatePinner');
     
109. 
     
110.         quiet_send('OkHTTP 3.x Found');
     
111. 
     
112.         CertificatePinner.check.overload('java.lang.String', 'java.util.List').implementation = function () {
     
113. 
     
114.             quiet_send('OkHTTP 3.x check() called. Not throwing an exception.');
     
115.         }
     
116. 
     
117.     } catch (err) {
     
118. 
     
119.         // If we dont have a ClassNotFoundException exception, raise the
     
120.         // problem encountered.
     
121.         if (err.message.indexOf('ClassNotFoundException') === 0) {
     
122. 
     
123.             throw new Error(err);
     
124.         }
     
125.     }
     
126. 
     
127.     // Appcelerator Titanium PinningTrustManager
     
128. 
     
129.     // Wrap the logic in a try/catch as not all applications will have
     
130.     // appcelerator as part of the app.
     
131.     try {
     
132. 
     
133.         var PinningTrustManager = Java.use('appcelerator.https.PinningTrustManager');
     
134. 
     
135.         send('Appcelerator Titanium Found');
     
136. 
     
137.         PinningTrustManager.checkServerTrusted.implementation = function () {
     
138. 
     
139.             quiet_send('Appcelerator checkServerTrusted() called. Not throwing an exception.');
     
140.         }
     
141. 
     
142.     } catch (err) {
     
143. 
     
144.         // If we dont have a ClassNotFoundException exception, raise the
     
145.         // problem encountered.
     
146.         if (err.message.indexOf('ClassNotFoundException') === 0) {
     
147. 
     
148.             throw new Error(err);
     
149.         }
     
150.     }
     
151. 
     
152.     /*** okhttp unpinning ***/
     
153. 
     
154. 
     
155.     try {
     
156.         var OkHttpClient = Java.use("com.squareup.okhttp.OkHttpClient");
     
157.         OkHttpClient.setCertificatePinner.implementation = function (certificatePinner) {
     
158.             // do nothing
     
159.             quiet_send("OkHttpClient.setCertificatePinner Called!");
     
160.             return this;
     
161.         };
     
162. 
     
163.         // Invalidate the certificate pinnet checks (if "setCertificatePinner" was called before the previous invalidation)
     
164.         var CertificatePinner = Java.use("com.squareup.okhttp.CertificatePinner");
     
165.         CertificatePinner.check.overload('java.lang.String', '[Ljava.security.cert.Certificate;').implementation = function (p0, p1) {
     
166.             // do nothing
     
167.             quiet_send("okhttp Called! [Certificate]");
     
168.             return;
     
169.         };
     
170.         CertificatePinner.check.overload('java.lang.String', 'java.util.List').implementation = function (p0, p1) {
     
171.             // do nothing
     
172.             quiet_send("okhttp Called! [List]");
     
173.             return;
     
174.         };
     
175.     } catch (e) {
     
176.         quiet_send("com.squareup.okhttp not found");
     
177.     }
     
178. 
     
179.     /*** WebView Hooks ***/
     
180. 
     
181.     /* frameworks/base/core/java/android/webkit/WebViewClient.java */
     
182.     /* public void onReceivedSslError(Webview, SslErrorHandler, SslError) */
     
183.     var WebViewClient = Java.use("android.webkit.WebViewClient");
     
184. 
     
185.     WebViewClient.onReceivedSslError.implementation = function (webView, sslErrorHandler, sslError) {
     
186.         quiet_send("WebViewClient onReceivedSslError invoke");
     
187.         //执行proceed方法
     
188.         sslErrorHandler.proceed();
     
189.         return;
     
190.     };
     
191. 
     
192.     WebViewClient.onReceivedError.overload('android.webkit.WebView', 'int', 'java.lang.String', 'java.lang.String').implementation = function (a, b, c, d) {
     
193.         quiet_send("WebViewClient onReceivedError invoked");
     
194.         return;
     
195.     };
     
196. 
     
197.     WebViewClient.onReceivedError.overload('android.webkit.WebView', 'android.webkit.WebResourceRequest', 'android.webkit.WebResourceError').implementation = function () {
     
198.         quiet_send("WebViewClient onReceivedError invoked");
     
199.         return;
     
200.     };
     
201. 
     
202.     /*** JSSE Hooks ***/
     
203. 
     
204.     /* libcore/luni/src/main/java/javax/net/ssl/TrustManagerFactory.java */
     
205.     /* public final TrustManager[] getTrustManager() */
     
206.     /* TrustManagerFactory.getTrustManagers maybe cause X509TrustManagerExtensions error  */
     
207.     var TrustManagerFactory = Java.use("javax.net.ssl.TrustManagerFactory");
     
208.     TrustManagerFactory.getTrustManagers.implementation = function(){
     
209.         quiet_send("TrustManagerFactory getTrustManagers invoked");
     
210.         return TrustManagers;
     
211.     }
     
212. 
     
213.     var HttpsURLConnection = Java.use("javax.net.ssl.HttpsURLConnection");
     
214.     /* libcore/luni/src/main/java/javax/net/ssl/HttpsURLConnection.java */
     
215.     /* public void setDefaultHostnameVerifier(HostnameVerifier) */
     
216.     HttpsURLConnection.setDefaultHostnameVerifier.implementation = function (hostnameVerifier) {
     
217.         quiet_send("HttpsURLConnection.setDefaultHostnameVerifier invoked");
     
218.         return null;
     
219.     };
     
220.     /* libcore/luni/src/main/java/javax/net/ssl/HttpsURLConnection.java */
     
221.     /* public void setSSLSocketFactory(SSLSocketFactory) */
     
222.     HttpsURLConnection.setSSLSocketFactory.implementation = function (SSLSocketFactory) {
     
223.         quiet_send("HttpsURLConnection.setSSLSocketFactory invoked");
     
224.         return null;
     
225.     };
     
226.     /* libcore/luni/src/main/java/javax/net/ssl/HttpsURLConnection.java */
     
227.     /* public void setHostnameVerifier(HostnameVerifier) */
     
228.     HttpsURLConnection.setHostnameVerifier.implementation = function (hostnameVerifier) {
     
229.         quiet_send("HttpsURLConnection.setHostnameVerifier invoked");
     
230.         return null;
     
231.     };
     
232. 
     
233.     /*** Xutils3.x hooks ***/
     
234.     //Implement a new HostnameVerifier
     
235.     var TrustHostnameVerifier;
     
236.     try {
     
237.         TrustHostnameVerifier = Java.registerClass({
     
238.             name: 'org.wooyun.TrustHostnameVerifier',
     
239.             implements: [HostnameVerifier],
     
240.             method: {
     
241.                 verify: function (hostname, session) {
     
242.                     return true;
     
243.                 }
     
244.             }
     
245.         });
     
246. 
     
247.     } catch (e) {
     
248.         //java.lang.ClassNotFoundException: Didn't find class "org.wooyun.TrustHostnameVerifier"
     
249.         quiet_send("registerClass from hostnameVerifier >>>>>>>> " + e.message);
     
250.     }
     
251. 
     
252.     try {
     
253.         var RequestParams = Java.use('org.xutils.http.RequestParams');
     
254.         RequestParams.setSslSocketFactory.implementation = function (sslSocketFactory) {
     
255.             sslSocketFactory = EmptySSLFactory;
     
256.             return null;
     
257.         }
     
258. 
     
259.         RequestParams.setHostnameVerifier.implementation = function (hostnameVerifier) {
     
260.             hostnameVerifier = TrustHostnameVerifier.$new();
     
261.             return null;
     
262.         }
     
263. 
     
264.     } catch (e) {
     
265.         quiet_send("Xutils hooks not Found");
     
266.     }
     
267. 
     
268.     /*** httpclientandroidlib Hooks ***/
     
269.     try {
     
270.         var AbstractVerifier = Java.use("ch.boye.httpclientandroidlib.conn.ssl.AbstractVerifier");
     
271.         AbstractVerifier.verify.overload('java.lang.String', '[Ljava.lang.String', '[Ljava.lang.String', 'boolean').implementation = function () {
     
272.             quiet_send("httpclientandroidlib Hooks");
     
273.             return null;
     
274.         }
     
275.     } catch (e) {
     
276.         quiet_send("httpclientandroidlib Hooks not found");
     
277.     }
     
278. 
     
279.     /***
     
280. android 7.0+ network_security_config TrustManagerImpl hook
     
281. apache httpclient partly
     
282. ***/
     
283.     var TrustManagerImpl = Java.use("com.android.org.conscrypt.TrustManagerImpl");
     
284.     // try {
     
285.     //     var Arrays = Java.use("java.util.Arrays");
     
286.     //     //apache http client pinning maybe baypass
     
287.     //     //https://github.com/google/conscrypt/blob/c88f9f55a523f128f0e4dace76a34724bfa1e88c/platform/src/main/java/org/conscrypt/TrustManagerImpl.java#471
     
288.     //     TrustManagerImpl.checkTrusted.implementation = function (chain, authType, session, parameters, authType) {
     
289.     //         quiet_send("TrustManagerImpl checkTrusted called");
     
290.     //         //Generics currently result in java.lang.Object
     
291.     //         return Arrays.asList(chain);
     
292.     //     }
     
293. 
     
294.     // } catch (e) {
     
295.     //     quiet_send("TrustManagerImpl checkTrusted nout found");
     
296.     // }
     
297. 
     
298.     try {
     
299.         // Android 7+ TrustManagerImpl
     
300.         TrustManagerImpl.verifyChain.implementation = function (untrustedChain, trustAnchorChain, host, clientAuth, ocspData, tlsSctData) {
     
301.             quiet_send("TrustManagerImpl verifyChain called");
     
302.             // Skip all the logic and just return the chain again :P
     
303.             //https://www.nccgroup.trust/uk/about-us/newsroom-and-events/blogs/2017/november/bypassing-androids-network-security-configuration/
     
304.             // https://github.com/google/conscrypt/blob/c88f9f55a523f128f0e4dace76a34724bfa1e88c/platform/src/main/java/org/conscrypt/TrustManagerImpl.java#L650
     
305.             return untrustedChain;
     
306.         }
     
307.     } catch (e) {
     
308.         quiet_send("TrustManagerImpl verifyChain nout found below 7.0");
     
309.     }
     
310.     // OpenSSLSocketImpl
     
311.     try {
     
312.         var OpenSSLSocketImpl = Java.use('com.android.org.conscrypt.OpenSSLSocketImpl');
     
313.         OpenSSLSocketImpl.verifyCertificateChain.implementation = function (certRefs, authMethod) {
     
314.             quiet_send('OpenSSLSocketImpl.verifyCertificateChain');
     
315.         }
     
316. 
     
317.         quiet_send('OpenSSLSocketImpl pinning')
     
318.     } catch (err) {
     
319.         quiet_send('OpenSSLSocketImpl pinner not found');
     
320.     }
     
321.     // Trustkit
     
322.     try {
     
323.         var Activity = Java.use("com.datatheorem.android.trustkit.pinning.OkHostnameVerifier");
     
324.         Activity.verify.overload('java.lang.String', 'javax.net.ssl.SSLSession').implementation = function (str) {
     
325.             quiet_send('Trustkit.verify1: ' + str);
     
326.             return true;
     
327.         };
     
328.         Activity.verify.overload('java.lang.String', 'java.security.cert.X509Certificate').implementation = function (str) {
     
329.             quiet_send('Trustkit.verify2: ' + str);
     
330.             return true;
     
331.         };
     
332. 
     
333.         quiet_send('Trustkit pinning')
     
334.     } catch (err) {
     
335.         quiet_send('Trustkit pinner not found')
     
336.     }
     
337. 
     
338.     try {
     
339.         //cronet pinner hook
     
340.         //weibo don't invoke
     
341. 
     
342.         var netBuilder = Java.use("org.chromium.net.CronetEngine$Builder");
     
343. 
     
344.         //https://developer.android.com/guide/topics/connectivity/cronet/reference/org/chromium/net/CronetEngine.Builder.html#enablePublicKeyPinningBypassForLocalTrustAnchors(boolean)
     
345.         netBuilder.enablePublicKeyPinningBypassForLocalTrustAnchors.implementation = function (arg) {
     
346. 
     
347.             //weibo not invoke
     
348.             console.log("Enables or disables public key pinning bypass for local trust anchors = " + arg);
     
349. 
     
350.             //true to enable the bypass, false to disable.
     
351.             var ret = netBuilder.enablePublicKeyPinningBypassForLocalTrustAnchors.call(this, true);
     
352.             return ret;
     
353.         };
     
354. 
     
355.         netBuilder.addPublicKeyPins.implementation = function (hostName, pinsSha256, includeSubdomains, expirationDate) {
     
356.             console.log("cronet addPublicKeyPins hostName = " + hostName);
     
357. 
     
358.             //var ret = netBuilder.addPublicKeyPins.call(this,hostName, pinsSha256,includeSubdomains, expirationDate);
     
359.             //this 是调用 addPublicKeyPins 前的对象吗? Yes,CronetEngine.Builder
     
360.             return this;
     
361.         };
     
362. 
     
363.     } catch (err) {
     
364.         console.log('[-] Cronet pinner not found')
     
365.     }
     
366. });

复制代码

0x04 总结
常见的App抓包姿势差不多就这些了，基本可以抓到未加固的或者debug版的App的数据包。代码混淆，入口加固，资源加固等App，混淆类的需要通过匹配函数的参数类型找到修改后的函数名自己重写方法、加固类的需要jadx-guif反编译后分析加固的的逻辑找到App的函数入口让其初始化解密后再重写相关函数等。后期再找案例分析。



参考链接：
https://www.anquanke.com/post/id/201219
https://www.jianshu.com/p/c349471bdef7