Frida derivación el uso de SSL que fija al Android App

Language 2020-03-15 15:23:30 views: null

breve introducción

certificado de bloqueo (Certificado de la fijación) está codificada en el mando a distancia de certificados de confianza del servidor de la aplicación en sí, por lo que ignorará el almacén de certificados de dispositivo, y confiar en sus credenciales no modificables, otras aplicaciones utilizarán las credenciales no modificables "de forma segura "comunicarse con un servidor remoto.

necesidades ambientales

  • Windows 10
  • Android máquina virtual (o una máquina real) (mumu emplean aquí simulador)
  • Adb instalar controladores
  • Frida instalación (Python 3.7)
  • Instalación Burpsuite (burpsuite_pro_v2.0 en el presente documento se emplea)

Nota: El certificado de prueba si Burpsuite simplemente sslping función de bypass, en el simulador o el teléfono no puede instalar Burpsuite, véase más adelante acerca de cómo utilizar el certificado

Descargar y conjunto burpsuite certificado

Burpsuit primera carrera y establecer el puerto del proxy aquí utilizo las cifras de puerto 8888
Aquí Insertar imagen Descripciónpermiten el acceso en el navegador: http: //192.168.1.107: 8888 / y haga clic en Descargar certificado CA Certificado

Aquí Insertar imagen Descripción
BAD comando de conexión es el siguiente

adb connect 127.0.0.1:7555

Adb para cargar el certificado para hacer el simulador / datos / directorio / tmp locales, nota que este es empujado al simulador cacert.der renombrado cert-der.crt

adb push cacert.der /data/local/tmp/cert-der.crt

Configuración de puerto del servidor proxy emulador

Aquí Insertar imagen Descripción

Ejecutar el script de Frida

Guardar el siguiente script llamado fridascript.js

/* 

   Android SSL Re-pinning frida script v0.2 030417-pier

$ adb push burpca-cert-der.crt /data/local/tmp/cert-der.crt

   $ frida -U -f it.app.mobile -l frida-android-repinning.js --no-pause

https://techblog.mediaservice.net/2017/07/universal-android-ssl-pinning-bypass-with-frida/

   

   UPDATE 20191605: Fixed undeclared var. Thanks to @oleavr and @ehsanpc9999 !

*/

setTimeout(function(){

    Java.perform(function (){

     console.log("");

     console.log("[.] Cert Pinning Bypass/Re-Pinning");

var CertificateFactory = Java.use("java.security.cert.CertificateFactory");

     var FileInputStream = Java.use("java.io.FileInputStream");

     var BufferedInputStream = Java.use("java.io.BufferedInputStream");

     var X509Certificate = Java.use("java.security.cert.X509Certificate");

     var KeyStore = Java.use("java.security.KeyStore");

     var TrustManagerFactory = Java.use("javax.net.ssl.TrustManagerFactory");

     var SSLContext = Java.use("javax.net.ssl.SSLContext");

// Load CAs from an InputStream

     console.log("[+] Loading our CA...")

     var cf = CertificateFactory.getInstance("X.509");

     

     try {

      var fileInputStream = FileInputStream.$new("/data/local/tmp/cert-der.crt");

     }

     catch(err) {

      console.log("[o] " + err);

     }

     

     var bufferedInputStream = BufferedInputStream.$new(fileInputStream);

    var ca = cf.generateCertificate(bufferedInputStream);

     bufferedInputStream.close();

var certInfo = Java.cast(ca, X509Certificate);

     console.log("[o] Our CA Info: " + certInfo.getSubjectDN());

// Create a KeyStore containing our trusted CAs

     console.log("[+] Creating a KeyStore for our CA...");

     var keyStoreType = KeyStore.getDefaultType();

     var keyStore = KeyStore.getInstance(keyStoreType);

     keyStore.load(null, null);

     keyStore.setCertificateEntry("ca", ca);

     

     // Create a TrustManager that trusts the CAs in our KeyStore

     console.log("[+] Creating a TrustManager that trusts the CA in our KeyStore...");

     var tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();

     var tmf = TrustManagerFactory.getInstance(tmfAlgorithm);

     tmf.init(keyStore);

     console.log("[+] Our TrustManager is ready...");

console.log("[+] Hijacking SSLContext methods now...")

     console.log("[-] Waiting for the app to invoke SSLContext.init()...")

SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").implementation = function(a,b,c) {

      console.log("[o] App invoked javax.net.ssl.SSLContext.init...");

      SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").call(this, a, tmf.getTrustManagers(), c);

      console.log("[+] SSLContext initialized with our custom TrustManager!");

     }

    });

},0);

Ejecutar frida-servidor

adb connect 127.0.0.1:7555#上面已经连接这句可以略过
adb shell
cd /data/local/tmp

chmod 777 frida-server

./frida-server#

Elección ejecutar su aplicación, y -U comprobar el nombre del paquete de aplicaciones con frida-PS, también se puede obtener el nombre del paquete por otros medios
cmd

frida-ps -U

Los fridascript.js inyectan en la aplicación de destino

frida -U -f <包名> -l  fridascript.js --no-paus
例:frida -U -f com.twitter.android  -l  fridascript.js --no-paus

Aquí Insertar imagen Descripción
La implementación exitosa de la figura, y luego nos fijamos en la aplicación de la operación para buscar burpstie interior
Aquí Insertar imagen Descripción
puede interceptar la solicitud

Recursos relacionados
https://bbs.pediy.com/thread-222427.htm
https://www.freebuf.com/articles/terminal/214540.html

rgwu
Publicado 57 artículos originales · ganado elogios 24 · vistas 100 000 +
carta privada preocupaciones

Supongo que te gusta

Origin blog.csdn.net/m0_37696990/article/details/104878139
Recomendado
Clasificación
Diario
Más
2024-06-02(0)
2024-06-01(2)
2024-05-31(0)
2024-05-30(0)
2024-05-29(1)
2024-05-28(0)
2024-05-27(1)
2024-05-26(1)
2024-05-25(0)
2024-05-24(13)

Code World

© 2018 codetd.com