Fiddler Everywhere手机抓包&&绕过证书绑定

2020-11-15 21:25 作者:无情剑客Burning 0人读过 | 我要投稿

在抓包神器之Fiddler Everywhere及Wireshark 中讲解了Fiddler EveryWhere怎么抓取web的数据，这篇文章主要说怎么进行手机抓包以及绕过如何绕过ssl-pining技术实现抓包。

纠正一个错误

网上很多文章说，在进行手机抓包的时候，一定要保证手机和电脑在同一个局域网。这句话是不准确的，我认为这么说的基本上是两种情况: (1)人云亦云，别人这么说，我也这么说，应该不会错吧。 (2)对抓包的原理不理解，甚至于什么是中间人攻击都不清楚。

要实现抓包，需要的前提条件并不一定要在同一个局域网。但是应该保证手机能够ping同电脑的ip，因为需要在手机端下载和安装Fiddler Everywhere的证书。

手机抓包的配置

(1)设置手机网络代理，将代理设置为Fiddler Everywhere对应的ip和端口 (2)访问192.168.42.149(Fiddler Everywhere服务所对应的ip):8866(Fiddler Everywhere服务所对应的port)下载Fiddler Everywhere证书，并进行安装。本文使用的是ROOT的真机，系统版本是Android 10。如果是模拟器，可参考https://helloworddm.blog.csdn.net/article/details/98363056。 (3)可以愉快的抓包了。

证书绑定(Certificate Pinning)

Certificate Pinning，或者有叫作SSL Pinning/TLS Pinning的，都是指的同一个东西，中文翻译成证书锁定，最大的作用就是用来抵御针对CA的攻击。在实际当中，它一般被用来阻止man-in-the-middle（中间人攻击）。

说起中间人攻击，可能不是那么直观，但是这一类工具我们可能经常会用到，如Charles和Fiddler。如果一个应用使用了Certificate Pinning技术，那么你使用前边说的工具是无法直接来调试/监控应用的网络流量的。

当应用通过HTTPS握手连接到Fidder/Charles时，应用会检查请求的服务器的证书，如果发现与预设的不一致，会拒绝后续的网络请求，从而增加应用与服务器的安全通信。如下书某视频apk，由于采用ssl pinning技术，使得与服务器的连接无法建立。

实现

(1)教科书书式的实现。语言使用的是Kotlin，Google欲使用Kotlin来取代Java，不过个人认为还有很长的路要走。

// Load CAs from an InputStream
// (could be from a resource or ByteArrayInputStream or ...)
val cf: CertificateFactory = CertificateFactory.getInstance("X.509")
// From https://www.washington.edu/itconnect/security/ca/load-der.crt
val caInput: InputStream = BufferedInputStream(FileInputStream("load-der.crt"))
val ca: X509Certificate = caInput.use {
cf.generateCertificate(it) as X509Certificate
}
System.out.println("ca=" + ca.subjectDN)
// Create a KeyStore containing our trusted CAs
val keyStoreType = KeyStore.getDefaultType()
val keyStore = KeyStore.getInstance(keyStoreType).apply {
load(null, null)
setCertificateEntry("ca", ca)
}
// Create a TrustManager that trusts the CAs inputStream our KeyStore
val tmfAlgorithm: String = TrustManagerFactory.getDefaultAlgorithm()
val tmf: TrustManagerFactory = TrustManagerFactory.getInstance(tmfAlgorithm).apply {
init(keyStore)
}
// Create an SSLContext that uses our TrustManager
val context: SSLContext = SSLContext.getInstance("TLS").apply {
init(null, tmf.trustManagers, null)
}
// Tell the URLConnection to use a SocketFactory from our SSLContext
val url = URL("https://certs.cac.washington.edu/CAtest/")
val urlConnection = url.openConnection() as HttpsURLConnection
urlConnection.sslSocketFactory = context.socketFactory
val inputStream: InputStream = urlConnection.inputStream
copyInputStreamToOutputStream(inputStream, System.out)

具体套路如下:

加载证书文件，并使用CertificateFactory生成一个X509Certificate的实例
创建一个KeyStore实例，并把前边的X509Certificate实例加进去，并起一个别名

注意，这里其实是可以加多个证书进去的，但是注意别名不要重复，因为底层实现是使用一个Map存储别名与证书的

创建一个TrustManager，并且使用前边的KeyStore实例进行初始化
创建一个SSLContext，并且使用前边的TrustManager实例进行初始化
最后，使用SSLContext创建一个SSLSocketFactory实例，并且把它赋值给我们用于https的请求连接对象HttpsURLConnection

(1)Okhttp实现

String hostname = "publicobject.com";
CertificatePinner certificatePinner = new CertificatePinner.Builder()
.add(hostname, "sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=")
.build();
OkHttpClient client = OkHttpClient.Builder()
.certificatePinner(certificatePinner)
.build();
Request request = new Request.Builder()
.url("https://" + hostname)
.build();
client.newCall(request).execute();

那么如何拿到上面所需要的hash值呢？官方给的一个方法是，先填写一个错的hash值，然后根据随后的exception的stack trace message，得到对应的hash值。

其实也可以通过openssl提供的命令直接从der或者pem格式的证书中计算出来，由于命令相对复杂一些，我写了一个简单的脚本封装了一下，支持两种格式的证书。

Frida绕过证书绑定

setTimeout(function(){
Java.perform(function (){
console.log("");
console.log("[.] Cert Pinning Bypass/Re-Pinning");
var CertificateFactory = Java.use("java.security.cert.CertificateFactory");
var FileInputStream = Java.use("java.io.FileInputStream");
var BufferedInputStream = Java.use("java.io.BufferedInputStream");
var X509Certificate = Java.use("java.security.cert.X509Certificate");
var KeyStore = Java.use("java.security.KeyStore");
var TrustManagerFactory = Java.use("javax.net.ssl.TrustManagerFactory");
var SSLContext = Java.use("javax.net.ssl.SSLContext");
// Load CAs from an InputStream
console.log("[+] Loading our CA...")
var cf = CertificateFactory.getInstance("X.509");
try {
var fileInputStream = FileInputStream.$new("/data/local/tmp/cert-der.crt");
}
catch(err) {
console.log("[o] " + err);
}
var bufferedInputStream = BufferedInputStream.$new(fileInputStream);
var ca = cf.generateCertificate(bufferedInputStream);
bufferedInputStream.close();
var certInfo = Java.cast(ca, X509Certificate);
console.log("[o] Our CA Info: " + certInfo.getSubjectDN());
// Create a KeyStore containing our trusted CAs
console.log("[+] Creating a KeyStore for our CA...");
var keyStoreType = KeyStore.getDefaultType();
var keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
// Create a TrustManager that trusts the CAs in our KeyStore
console.log("[+] Creating a TrustManager that trusts the CA in our KeyStore...");
var tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
var tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
console.log("[+] Our TrustManager is ready...");
console.log("[+] Hijacking SSLContext methods now...")
console.log("[-] Waiting for the app to invoke SSLContext.init()...")
SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").implementation = function(a,b,c) {
console.log("[o] App invoked javax.net.ssl.SSLContext.init...");
SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").call(this, a, tmf.getTrustManagers(), c);
console.log("[+] SSLContext initialized with our custom TrustManager!");
}
});
},0);

写在最后

基于本片文章的绕过技术，大部分基于服务器端的验证都是可以绕过的，但是如果是服务需要检验app的证书那，这个时候Fiddler Everywhere就显得力不从心了，Fiddler Everywhere没有办法导入其他的证书。这时候就只能使用Charlers之类的软件的。

公众号

更多内容，欢迎关注我的微信公众号:无情剑客。

标签：