安全矩阵

 找回密码
 立即注册
搜索
查看: 766|回复: 0

APP和小程序的安全测试

[复制链接]

260

主题

275

帖子

1065

积分

金牌会员

Rank: 6Rank: 6

积分
1065
发表于 2023-2-20 00:54:47 | 显示全部楼层 |阅读模式
本帖最后由 luozhenni 于 2023-2-20 00:54 编辑


APP和小程序的安全测试

原文链接:APP和小程序的安全测试
雷石安全实验室 [url=]菜鸟学安全[/url] 2023-02-05 08:30 发表于甘肃
前言
本文主要记录和分享平时抓不到包的解决手段。
抓到包但是看不懂的通信加密情况暂不做讲解,这一部分需要逆向app或者对小程序进行解包来获取加密方式然后在解密。
一、模拟器——夜神
      市面上有很多模拟器,总是有这个app在这个模拟器上打不开,另外一个可以打开的情况。需要下载安装多个模拟器,导致测试时相当繁琐。这里仅使用夜神模拟器,其他的如网易UU、雷神等可自行研究对比。
编辑
模拟器优点:
      随便搞,没顾虑
      随便调整参数,如内核版本,屏幕大小,有无root等
      虽然夜神只支持这三个版本,但也可以应对大多数检测了。
模拟器缺点:
      不能启动不支持模拟器启动的应用。
以下是经常在模拟器上遇到的问题:
a. 软件启动后闪退
原因可能有多种,模拟器检测,版本检测等
解决方案:
1、换低版本的app。(可能会引出新的问题:无法正常使用,打开后强制升级等)
2、换真机进行测试(换真机后也可能遇到其他问题,这一部分放到后面再说)
b. 安装软件失败
原因:各类原因都可能存在,需要从log观察其发生了什么错误。
c. 安装成功后还是无法抓包,使用应用看不到数据流
原因:
1、走的websockket,这个用bp等代理工具就能抓到
2、不走http或者https协议
d. 抓包后报400错误、乱码等
原因:
1、使用了双向认证
2、使用了流量加密
抓包方法:代理软件抓包,这个就不在细讲了,基本操作
二、模拟器或真机非root和ios未越狱抓包
在进行测试时候优先进行真机测试,在非root的情况下,有以下方法。
A. 在android下有两款软件 package capture和HttpCanary
App走普通http代理(如burp、fiddler等),会自动取消请求,无法获取数据。
使用package capture  走VPN,可以在本机上抓到,但是抓到的包存在乱码问题.
编辑
编辑
可以看到,部分存在ssl认证的包抓取无内容,大部分抓到的包都是乱码。
我们更换另外一种软件HttpCanary,效果还可以。但是这个软件是收费的,低版本不好用,高版本需要破解。
编辑
打开还是部分乱码,有请求小程序的包,也可以看到具体传输数据的包。
B. 在ios下可以使用Stream
下载stream软件后打开,导入证书后,需要添加到根证书。然后开始抓包。
编辑
三、手机ROOT情况下的抓包解决方案
真机暂未root,所以这里使用模拟器进行相关测试,由于模拟器的局限性和不确定性,可能会导致不同的问题,所以有条件还是真机最好。
使用工具:
Tcpdump+wireshark
tcpdump是linux下的抓包工具,在android中没有,需要下载对应的工具。
下载地址:https://www.androidtcpdump.com/android-tcpdump/downloads
然后通过adb放到对应的目录:
adb push tcpdump /data/local/
可能会遇到无法push的情况,其实是没有权限,可以授权后重试:
  1. adb shell
  2. su
  3. chmod 777 /data/local
复制代码
修改权限:
chmod 777 /data/local/tcpdump
执行抓包命令:
tcpdump -i any -p -vv -s 0 -w capture.pcap
执行抓包的时候会提示
  1. tcpdump:any: You don't have permission to capture on that device
  2. (socket: Operation not permitted)
复制代码
是因为该命令只能在root用户下操作,先用su命令,再重试tcpdump命令。
启动抓包后会在当前目录创建一个capture.pacp的文件
最后使用wireshark打开过滤分析即可
编辑
四、Android下修改app源码
如果apk未做校检,或者可以绕过apk自校检,那么可以修改apk源码,然后重新打包,以达到让apk信任用户证书,抓取数据包的目的。
在AndroidManifest.xml中
  1. <?xmlversion="1.0" encoding="utf-8"?>

  2. <manifest... >

  3.     <applicationandroid:networkSecurityConfig="@xml/network_security_config"

  4.     ... >

  5.     ...

  6.     </application>

  7. </manifest>
复制代码
配置文件:res/xml/network_security_config.xml
  1. <network-security-config>

  2.     <base-configcleartextTrafficPermitted="true">

  3.         <trust-anchors>

  4.             <certificatessrc="system" overridePins="true" /> <!--信任系统证书-->

  5.             <certificatessrc="user" overridePins="true" /> <!--信任用户证书-->

  6.         </trust-anchors>

  7.     </base-config>

  8. </network-security-config>
复制代码
五、Android下将用户证书导为系统证书
系统证书的目录是:/system/etc/security/cacerts/
每个证书的命名规则为:<Certificate_Hash>.<Number>
Certificate_Hash表示证书文件的hash值,Number是为了防止证书文件的hash值一致而增加的后缀;
证书的hash值可以由命令计算出来,在终端输入openssl x509 -subject_hash_old -in <Certificate_File>,其中Certificate_File为证书路径,将证书重命名为hash.0放入系统证书目录,之后你就可以正常抓包了。
六、双向认证解决方案
当我们在抓包的过程中遇到这种情况,那么可能就是遇到双向认证了。
编辑


绕过双向认证的方法如下:
解包,寻找客户端的key,导入bp或者手机端抓包工具,重新对数据包进行拦截发送。
1.找到apk包中的证书文件。
编辑
2.反编译根据调用逻辑找key。
编辑
3.找到后导入burp中即可。
编辑
编辑
七、SSL Pinning
SSL Pinning是一种防止中间人攻击(MITM)的技术,主要的机制是在客户端发起请求->收到服务器发来的证书这一步之后,对收到的证书进行校验,如果收到的证书不被客户端所信任,就直接断开连接不继续请求。
1、使用Xposed或兼容Xposed的框架+JustTrustMe
使用JustTrustMe这个Xposed模块,它所做的事情就是将各种已知的的HTTP请求库中用于校验证书的API都进行Hook,使无论是否是可信证书的情况,校验结果返回都为正常状态,从而实现绕过证书检查的效果。
2、上面一些导入根证书的方法也可以绕过部分的sslpinning
八、其他思路
在APP内抓包,可以在APP里面找到处理网络请求和响应的函数,然后用Frida做HOOK,转发参数到接受抓包的地方,如果不需要修改的话,直接转发就行了;如果需要修改的话,可以在代码里面再加入一些交互逻辑应该也能实现。
本文作者:雷石安全实验室, 转自FreeBuf.COM


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 20:55 , Processed in 0.013001 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表