簡単な紹介
(証明書は、ピン止め)ロック証明書がハードコーディングされ、それは、さらに、アプリケーションが安全に「ハードコーディングされた資格情報を使用するデバイス証明書ストアを無視して、彼らのハードコードされた資格証明書を信頼しますので、アプリケーション自体リモートサーバ証明書の信頼であります「リモートサーバーと通信します。
環境ニーズ
- ウインドウズ10
- Androidの仮想マシン(または実機)(MUMUここで用いシミュレータ)
- ADBは、ドライバをインストールします
- インストールフリーダ(のpython 3.7)
- インストールBurpsuite(本明細書で採用burpsuite_pro_v2.0)
注:テスト証明書Burpsuiteがちょうどシミュレータで、バイパス機能をsslpingか、または電話がBurpsuiteをインストールすることができない場合は、証明書を使用する方法について下記を参照してください
ダウンロードと設定burpsuite証明書
Burpsuit最初の実行と私は8888のポートの数字が使用ここでのプロキシポートを設定し
、ブラウザでアクセスできるようにします。http://192.168.1.107:8888 /とCA証明書のダウンロード証明書をクリックしてください
ADB接続コマンドは次のようです
adb connect 127.0.0.1:7555
これは、シミュレータcacert.derにプッシュされることに注意してください、シミュレータ/データ/ローカル/のtmpディレクトリを作成するために証明書をアップロードするには、ADBは、CERT-der.crtに改名しました
adb push cacert.der /data/local/tmp/cert-der.crt
設定エミュレータのプロキシポート
スクリプトを実行しますフリーダ
次のスクリプトと呼ばれるfridascript.js保存
/*
Android SSL Re-pinning frida script v0.2 030417-pier
$ adb push burpca-cert-der.crt /data/local/tmp/cert-der.crt
$ frida -U -f it.app.mobile -l frida-android-repinning.js --no-pause
https://techblog.mediaservice.net/2017/07/universal-android-ssl-pinning-bypass-with-frida/
UPDATE 20191605: Fixed undeclared var. Thanks to @oleavr and @ehsanpc9999 !
*/
setTimeout(function(){
Java.perform(function (){
console.log("");
console.log("[.] Cert Pinning Bypass/Re-Pinning");
var CertificateFactory = Java.use("java.security.cert.CertificateFactory");
var FileInputStream = Java.use("java.io.FileInputStream");
var BufferedInputStream = Java.use("java.io.BufferedInputStream");
var X509Certificate = Java.use("java.security.cert.X509Certificate");
var KeyStore = Java.use("java.security.KeyStore");
var TrustManagerFactory = Java.use("javax.net.ssl.TrustManagerFactory");
var SSLContext = Java.use("javax.net.ssl.SSLContext");
// Load CAs from an InputStream
console.log("[+] Loading our CA...")
var cf = CertificateFactory.getInstance("X.509");
try {
var fileInputStream = FileInputStream.$new("/data/local/tmp/cert-der.crt");
}
catch(err) {
console.log("[o] " + err);
}
var bufferedInputStream = BufferedInputStream.$new(fileInputStream);
var ca = cf.generateCertificate(bufferedInputStream);
bufferedInputStream.close();
var certInfo = Java.cast(ca, X509Certificate);
console.log("[o] Our CA Info: " + certInfo.getSubjectDN());
// Create a KeyStore containing our trusted CAs
console.log("[+] Creating a KeyStore for our CA...");
var keyStoreType = KeyStore.getDefaultType();
var keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
// Create a TrustManager that trusts the CAs in our KeyStore
console.log("[+] Creating a TrustManager that trusts the CA in our KeyStore...");
var tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
var tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
console.log("[+] Our TrustManager is ready...");
console.log("[+] Hijacking SSLContext methods now...")
console.log("[-] Waiting for the app to invoke SSLContext.init()...")
SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").implementation = function(a,b,c) {
console.log("[o] App invoked javax.net.ssl.SSLContext.init...");
SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").call(this, a, tmf.getTrustManagers(), c);
console.log("[+] SSLContext initialized with our custom TrustManager!");
}
});
},0);
ファイル名を指定して実行フリーダ・サーバー
adb connect 127.0.0.1:7555#上面已经连接这句可以略过
adb shell
cd /data/local/tmp
chmod 777 frida-server
./frida-server#
選挙アプリを実行し、-Uはフリーダ-PSを使用してアプリケーションのパッケージ名を確認し、あなたはまた、他の手段で、パッケージの名前を取得することができます
CMD
frida-ps -U
fridascript.jsはターゲットアプリケーションに注入します
frida -U -f <包名> -l fridascript.js --no-paus
例:frida -U -f com.twitter.android -l fridascript.js --no-paus
我々はburpstieの内側を見に操作アプリを見て、その後成功したフィギュアの実装、および
要求を傍受することができます
関連リソース
https://bbs.pediy.com/thread-222427.htm
https://www.freebuf.com/articles/terminal/214540.html