fiddler中文版抓包详细步骤(Everywhere手机抓包以及绕过证书绑定)
fiddler中文版抓包详细步骤(Everywhere手机抓包以及绕过证书绑定)// Load CAs from an InputStream// (could be from a resource or ByteArrayInputStream or ...)val cf: CertificateFactory = CertificateFactory.getInstance("X.509")// From https://www.washington.edu/itconnect/security/ca/load-der.crtval caInput: InputStream = BufferedInputStream(FileInputStream("load-der.crt"))val ca: X509Certificate = caInput.use { cf.generateCertificate(it) as X509
在 抓包神器之Fiddler Everywhere及Wireshark 中讲解了Fiddler EveryWhere怎么抓取web的数据,这篇文章主要说怎么进行手机抓包以及绕过如何绕过ssl-pining技术实现抓包。
纠正一个错误网上很多文章说,在进行手机抓包的时候,一定要保证手机和电脑在同一个局域网。这句话是不准确的,我认为这么说的基本上是两种情况: (1)人云亦云,别人这么说,我也这么说,应该不会错吧。 (2)对抓包的原理不理解,甚至于什么是中间人攻击都不清楚。
要实现抓包,需要的前提条件并不一定要在同一个局域网。但是应该保证手机能够ping同电脑的ip,因为需要在手机端下载和安装Fiddler Everywhere的证书。
手机抓包的配置(1)设置手机网络代理,将代理设置为Fiddler Everywhere对应的ip和端口 (2)访问192.168.42.149(Fiddler Everywhere服务所对应的ip):8866(Fiddler Everywhere服务所对应的port)下载Fiddler Everywhere证书,并进行安装。本文使用的是ROOT的真机,系统版本是Android 10。如果是模拟器,可参考https://helloworddm.blog.csdn.net/article/details/98363056。 (3)可以愉快的抓包了。
证书绑定(Certificate Pinning)Certificate Pinning,或者有叫作ssl Pinning/TLS Pinning的,都是指的同一个东西,中文翻译成证书锁定,最大的作用就是用来抵御针对CA的攻击。在实际当中,它一般被用来阻止man-in-the-middle(中间人攻击)。
说起中间人攻击,可能不是那么直观,但是这一类工具我们可能经常会用到,如Charles和Fiddler。如果一个应用使用了Certificate Pinning技术,那么你使用前边说的工具是无法直接来调试/监控应用的网络流量的。
当应用通过HTTPS握手连接到Fidder/Charles时,应用会检查请求的服务器的证书,如果发现与预设的不一致,会拒绝后续的网络请求,从而增加应用与服务器的安全通信。如下书某视频apk,由于采用ssl pinning技术,使得与服务器的连接无法建立。
实现(1)教科书书式的实现。 语言使用的是Kotlin,Google欲使用Kotlin来取代java,不过个人认为还有很长的路要走。
// Load CAs from an InputStream// (could be from a resource or ByteArrayInputStream or ...)val cf: CertificateFactory = CertificateFactory.getInstance("X.509")// From https://www.washington.edu/itconnect/security/ca/load-der.crtval caInput: InputStream = BufferedInputStream(FileInputStream("load-der.crt"))val ca: X509Certificate = caInput.use { cf.generateCertificate(it) as X509Certificate}System.out.println("ca=" ca.subjectDN)// Create a KeyStore containing our trusted CAsval keyStoreType = KeyStore.getDefaultType()val keyStore = KeyStore.getInstance(keyStoreType).apply { load(null null) setCertificateEntry("ca" ca)}// Create a TrustManager that trusts the CAs inputStream our KeyStoreval tmfAlgorithm: String = TrustManagerFactory.getDefaultAlgorithm()val tmf: TrustManagerFactory = TrustManagerFactory.getInstance(tmfAlgorithm).apply { init(keyStore)}// Create an SSLContext that uses our TrustManagerval context: SSLContext = SSLContext.getInstance("TLS").apply { init(null tmf.trustManagers null)}// Tell the URLConnection to use a SocketFactory from our SSLContextval url = URL("https://certs.cac.washington.edu/CAtest/")val urlConnection = url.openConnection() as HttpsURLConnectionurlConnection.sslSocketFactory = context.socketFactoryval inputStream: InputStream = urlConnection.inputStreamcopyInputStreamToOutputStream(inputStream System.out)
具体套路如下:
- 加载证书文件,并使用CertificateFactory生成一个X509Certificate的实例
- 创建一个KeyStore实例,并把前边的X509Certificate实例加进去,并起一个别名
注意,这里其实是可以加多个证书进去的,但是注意别名不要重复,因为底层实现是使用一个Map存储别名与证书的
- 创建一个TrustManager,并且使用前边的KeyStore实例进行初始化
- 创建一个SSLContext,并且使用前边的TrustManager实例进行初始化
- 最后,使用SSLContext创建一个SSLSocketFactory实例,并且把它赋值给我们用于https的请求连接对象HttpsURLConnection
(1)Okhttp实现
String hostname = "publicobject.com";CertificatePinner certificatePinner = new CertificatePinner.builder() .add(hostname "sha256/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA=") .build();OkHttpClient client = OkHttpClient.Builder() .certificatePinner(certificatePinner) .build();Request request = new Request.Builder() .url("https://" hostname) .build();client.newCall(request).execute();
那么如何拿到上面所需要的hash值呢?官方给的一个方法是,先填写一个错的hash值,然后根据随后的exception的stack trace message,得到对应的hash值。
其实也可以通过openssl提供的命令直接从der或者pem格式的证书中计算出来,由于命令相对复杂一些,我写了一个简单的脚本封装了一下,支持两种格式的证书。
Frida绕过证书绑定setTimeout(function(){
Java.perform(function (){
console.log("");
console.log("[.] Cert Pinning Bypass/Re-Pinning");
var CertificateFactory = Java.use("java.security.cert.CertificateFactory");
var FileInputStream = Java.use("java.io.FileInputStream");
var BufferedInputStream = Java.use("java.io.BufferedInputStream");
var X509Certificate = Java.use("java.security.cert.X509Certificate");
var KeyStore = Java.use("java.security.KeyStore");
var TrustManagerFactory = Java.use("javax.net.ssl.TrustManagerFactory");
var SSLContext = Java.use("javax.net.ssl.SSLContext");
// Load CAs from an InputStream
console.log("[ ] Loading our CA...")
var cf = CertificateFactory.getInstance("X.509");
try {
var fileInputStream = FileInputStream.$new("/data/local/tmp/cert-der.crt");
}
catch(err) {
console.log("[o] " err);
}
var bufferedInputStream = BufferedInputStream.$new(fileInputStream);
var ca = cf.generateCertificate(bufferedInputStream);
bufferedInputStream.close();
var certInfo = Java.cast(ca X509Certificate);
console.log("[o] Our CA Info: " certInfo.getSubjectDN());
// Create a KeyStore containing our trusted CAs
console.log("[ ] Creating a KeyStore for our CA...");
var keyStoreType = KeyStore.getDefaultType();
var keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null null);
keyStore.setCertificateEntry("ca" ca);
// Create a TrustManager that trusts the CAs in our KeyStore
console.log("[ ] Creating a TrustManager that trusts the CA in our KeyStore...");
var tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
var tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
console.log("[ ] Our TrustManager is ready...");
console.log("[ ] Hijacking SSLContext methods now...")
console.log("[-] Waiting for the app to invoke SSLContext.init()...")
SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;" "[Ljavax.net.ssl.TrustManager;" "java.security.SecureRandom").implementation = function(a b c) {
console.log("[o] App invoked javax.net.ssl.SSLContext.init...");
SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;" "[Ljavax.net.ssl.TrustManager;" "java.security.SecureRandom").call(this a tmf.getTrustManagers() c);
console.log("[ ] SSLContext initialized with our custom TrustManager!");
}
});
} 0);
写在最后
基于本片文章的绕过技术,大部分基于服务器端的验证都是可以绕过的,但是如果是服务需要检验app的证书那,这个时候Fiddler Everywhere就显得力不从心了,Fiddler Everywhere没有办法导入其他的证书。这时候就只能使用Charlers之类的软件的。
公众号更多内容,欢迎关注我的无情剑客。