庄鱼宝藏

软件资源免费分享网站

全部资源 大佬教程

某app难忘的抓包之旅—实践版

1 月 8, 2024

起因是看到 Light紫星 大神简述了对某app抓包经过进行实践 (原帖:记录某app难忘的抓包之旅)也碰巧自己需要用这个app去批量修改名称,以及电脑管理WiFi需要。
当WiFi设备高达300多的时候,你就知道一个一个改名称有多痛苦了。光加载一次设备列表就已经30秒过去了。苦不堪言,后面也发现了app的一个小瓜,快来围观~~

说干就干–>

app信息

  • app名称:5rC05pifV2lGaQ==
  • app版本号:2.1.8

调试工具

  • frida 12.2.8
  • 小黄鸟 大鹰版(是这样叫的吗?就是小黄鸟它张开了翅膀

整理一下Light紫星大神的内容:

  • 无壳
  • 无签名校验
  • 打开justtrustme,小黄鸟抓包—>app会提示网络错误
  • 全局搜索https字样,全部替换成了http—->失败—>黄鸟提示app不信任系统证书(这里我还发现有趣的事情)
  • 替换内部的证书—->失败
  • 发现libRouterAppContextJNI.so—>16进制编辑器替换掉了他原来的pem证书—>正常抓包

好的,这里应该要给Light紫星大神掌声,坑都替我踩了。

但是,我技术有限,根本不懂如何将libRouterAppContextJNI.so里面的证书替换(希望后续有大神讲解一下~~)

此刻我想起之前看过一篇frida hook so文件进行抓包的文章,大概的我理解到的思路是用frida进行hook修改X509_verify_cert函数的返回值(验证证书的有效性的一个函数),让app不信任app自己的证书,从而达到抓包的目的。

ida分析libRouterAppContextJNI.so,查找函数:

正中我所想,函数是存在的,尝试hook看看是否有验证函数的过程

hook代码:

Java.perform(function(){
    var nativePointer = Module.findExportByName("libRouterAppContextJNI.so", "X509_verify_cert");
 
    console.log("-------------Start-------------"+nativePointer);
    Interceptor.attach(nativePointer, {
        onEnter: function(args){
            // 此处是修改入参要做的逻辑,在这里不需要修改,留空即可
        },
        onLeave: function(retval){
 
            console.log("进入证书验证返回--->"+retval)
        }
    });
});

hook命令:

hook结果:

果然是和我想的一样,继续修改hook代码:

Java.perform(function () {
    var nativePointer = Module.findExportByName("libRouterAppContextJNI.so", "X509_verify_cert");
 
    console.log("\r\n-------------Start-------------" + nativePointer);
    Interceptor.attach(nativePointer, {
        onEnter: function (args) {
            // 此处是修改入参要做的逻辑,在这里不需要修改,留空即可
        },
        onLeave: function (retval) {
 
            console.log("---------->Hook Start<----------\r\n")
            console.log("进入证书验证返回--->" + retval)
            // 用replace修改返回值
            retval.replace(0x1)
            // 确认是否修改成功
            console.log("修改了证书的返回值--->" + retval+"\r\n")
            console.log("---------->Hook End<----------")
        }
    });
});

hook结果:

这样就修改成功了。先打开小黄鸟,将提示的证书安装上!

抓包顺序就要更加注意了。按步骤来:

  • 打开小黄鸟
  • 开启抓包
  • 执行hook命令
  • hook到,并且替换校验证书的返回值
  • app校验证书,失败,不信任证书
  • 此时小黄鸟就能够抓到响应的包

完整数据包:

整个流程不需要三小时,只需要10分钟,也说起前面的小瓜,在写批量修改名称程序的时候发现,原来http也能访问,这样可以省去证书的环节~

还有就是如果不安装抓包顺序来,就会抓不到包,我试过,如果打开了小黄鸟不启用抓包,让hook启动了app之后再开启抓包功能,就死活不能抓包。希望有大神讲讲其中的原理。

最后赠送大瓜环节,app反编译后发现app友商的内容,(T*_Link)难道是一个公司开发?

以上内容大神轻轻喷

扫码免费获取资源:

相关文章

全部资源 破解工具

Rsaver 9.5版 硬盘数据恢复软件

12 月 5, 2024
全部资源 破解工具

HivisionIDPhotos,AI证件照,支持一寸,两寸,五寸等比例,适用于常见十几种场合

9 月 11, 2024
全部资源 破解工具

屏幕录制软件 FocuSee 1.1.1 20240821

9 月 9, 2024

您可能感兴趣

全部资源 破解工具

Rsaver 9.5版 硬盘数据恢复软件

全部资源 破解工具

HivisionIDPhotos,AI证件照,支持一寸,两寸,五寸等比例,适用于常见十几种场合

全部资源 破解工具

屏幕录制软件 FocuSee 1.1.1 20240821

全部资源 破解工具

【图形化界面完活啦】第三方全网视频电视剧全网电影解析多线程下载