一、目标

一、目标

拿到App之后,抓不到包是件很令人抓狂的事情。今天我们通过排除法来分析抓包失败的原因,并提供一个通用的 针对flutter抓包 的方案。

  • 抓包工具和环境介绍
  • 抓包失败的几种原因和对应的解决方案
  • 针对flutter抓包

今天我们分析的还是 某生鲜App v9.9.59

二、步骤

抓包工具和环境介绍

飞哥手头有两个不同的抓包环境,一台手机是通过手工设置代理到pc上,通过 mitmproxy 来抓包,另一台手机是不需要手工设置代理,通过手机上的 Drony 启动一个vpn,然后PC上用 Charles 来抓包。

两个环境的共同点是:都需要把对应的证书放到系统证书里面。

因为https需要通过证书获取的公钥来加密数据,而抓包工具伪装成中间人服务器,让App使用抓包工具的证书来实现分析https数据包的目的。

我们后面的故事都是围绕这个 证书 来展开。

抓包失败的几种原因和对应的解决方案

不走系统代理

最简单的抓包失败的原因是:app检测是否设置了代理,如果设置了,就不走这个代理,继续直接访问。

这样我们的第一种抓包环境就失效了。解决方法就是用第二种抓包环境,app发现不了被代理了。

使用QUIC或者Spdy协议

这个在某手App里出现过,我们的解决方法是利用App自身的配置,强制它继续使用https协议来解决。

SSL证书双向认证

http://91fans.com.cn/post/socialsignone/ 里介绍过,把客户端证书搞出来,然后导入到抓包软件里解决。

Java层的 SSL Pinning

APP代码内置仅接受指定域名的证书,而不接受操作系统或浏览器内置的CA根证书对应的任何证书,通过这种授权方式,保障了APP与服务端通信的唯一性和安全性。

Xposed的插件 JustTrustMe和SSLUnPinning 还有Objection的 android sslpinning disable 命令都是对付它的。

Native层的 SSL Pinning

Native层也就是so里面做的SSL Pinning,目前没有通用的解决方案,只能见招拆招,具体情况具体去搞。

今天我们遇到的就是 so里面做的SSL Pinning,导致抓不到包。

针对flutter抓包

在对这个生鲜App的分析中,我们发现只有很少的数据包被截获,明显有很多包被漏掉了。

所以毫不犹豫的上第二台手机了。

main
1:main

这次要好一些,但是还是有些图片无法显示。应该还是有些包漏了。

我们用排除法,搜quic、spdy,然后再试试是不是ssl证书双向认证。

坏消息是都不对。 好消息是我们发现它的lib文件夹里面有个 libflutter.so

早就听说flutter不好搞了。既然确定了它的身份,就好说了。

看雪上找到了一篇文章

一种基于frida和drony的针对flutter抓包的方法

function hook_ssl_verify_result(address)
{
    Interceptor.attach(address, {
        onEnter: function(args) {
            console.log("Disabling SSL validation")
        },
        onLeave: function(retval)
        {
            console.log("Retval: " + retval)
            retval.replace(0x1);
        }
    });

}

function disablePinning()
{
    var m = Process.findModuleByName("libflutter.so");
	console.log(m);

    var pattern = "2d e9 f0 4f a3 b0 81 46 50 20 10 70"

    var res = Memory.scan(m.base, m.size, pattern, {
        onMatch: function(address, size){
            console.log('[+] ssl_verify_result found at: ' + address.toString());
            // Add 0x01 because it's a THUMB function
            hook_ssl_verify_result(address.add(0x01));
        },

        onError: function(reason){
            console.log('[!] There was an error scanning memory');
        },
        onComplete: function()
        {
            console.log("All done")
        }
    });
}

由于这个生鲜App加壳了,并且so的加载也需要时间,所以我们在js中加上延迟10s。

setTimeout(main, 10000);
rc
1:rc

这次效果不错。

三、总结

libflutter.so版本不同,不要硬搬教程的 pattern, 先确定你的手机环境是64位还是32位,然后用Ida打开Apk中的libflutter.so, 搜索字符串 ssl_client 来定位函数。

ADD R1, PC  ; "ssl_client"

定位到这条指令所在的函数,然后取函数开头前10来个字节做 pattern 即可。

遇到问题多在lib里面翻翻,说不定有惊喜。

ffshow
1:ffshow

问: "如何是道?" 曰:"只在目前。" 问:"为甚么不见?" 曰:"瞎。"

100

关注微信公众号,最新技术干货实时推送

100