聲明
由于傳播、利用此文所提供的信息而造成的任何直接或者間接的后果及損失,均由使用者本人負責,雷神眾測以及文章作者不為此承擔任何責任。
雷神眾測擁有對此文章的修改和解釋權。如欲轉載或傳播此文章,必須保證此文章的完整性,包括版權聲明等全部內容。未經雷神眾測允許,不得任意修改或者增減此文章內容,不得以任何方式將其用于商業目的。
No.1
抓包
App抓包已經是一個老生常談的話題了,但不得不說抓包才是真正的開始,這里推薦兩個個人常用的抓包方法:
1、模擬器+Proxifier
如果App可以在模擬器里正常使用,首選該方法,方便快捷!
Proxifier抓模擬器進程的包,即可讓模擬器上的流量上代理,然后過Burp Suite即可。以夜神為例:
首先開啟Burp Suite代理(127.0.0.1:8080),然后在Proxifier添加代理服務器(127.0.0.1:8080),再添加一條通行規則:
啟動模擬器,可觀察到流量情況(導入證書):
抓微信小程序:
2、Frida+SSL Bypass
上述方法遇到失敗的情況,就需要掏出 Frida (https://github.com/frida) 神器了,通過Hook掉關鍵校驗點(需逆向分析)來達到抓包的目的,不過已經有很多完善好的bypass腳本,無需再去逆向直接拿來用就行(大部分情況),也推薦兩個:
(1)frida-codeshare的熱門腳本:universal-Android-ssl-pinning-bypass-with-frida(https://codeshare.frida.re/@pcipolloni/universal-android-ssl-pinning-bypass-with-frida/)
(2)瘦蛟舞大佬的DroidSSLUnpinning
(https://github.com/WooyunDota/DroidSSLUnpinning)
覆蓋場景非常全面,個人比較推薦,比frida倉庫那個效果好。
/*
hook list:
1.SSLcontext
2.okhttp
3.webview
4.XUtils
5.httpclientandroidlib
6.JSSE
7.network_security_config (android 7.0+)
8.Apache Http client (support partly)
9.OpenSSLSocketImpl
10.TrustKit
11.Cronet
*/
舉個案例
只導入Burpsuite證書,設置代理,打開App,提示證書不可信,無法抓到流量:
不要使用WIFI處的高級代理(App會檢測當前網絡環境),開啟ProxyDroid,也會出現同樣的問題。
開啟proxydroid,frida注入ssl-pinning腳本:
成功在burpsuite抓到流量。
其他
JustTrustMe:了解Xposed的同學應該都知道這個,正常安裝、啟用插件即可。
No.2
接口挖掘
除了抓包可以看到一些請求外,還可以主動通過代碼文件尋找隱蔽接口,主要用到的工具是grep。
前提是拿到無殼/已脫殼dex文件,無殼App的dex文件直接在反編譯工具(如jadx)打開就可以讀JAVA源碼,或者使用更方便的grep來查找字符串:
查找所有HTTP服務地址(擴展其他服務、ftp等):
提取所有IP地址:
可以做一個去重,然后整理到資產表里,進行下一步工作。Tips:分析App之前adb logcat開啟日志輸出,操作完之后對日志做一次grep過濾,或者其他感興趣字符串比如password、token等等,也會有意外收獲。
No.3
雙端差異
目標業務既有Web端,也有App,往往在App一側會“忽視”參數加密的問題,或者是套用Web的前端加密算法過來,列舉幾個案例:
1、同一登錄接口,Web端做了復雜加密,爆破等操作遇到困難,然而抓包App登錄請求發現未加密,或者是用戶名未加密。同一系統不同“端”加密:
2、同樣是登錄接口,Web端有圖形驗證碼校驗,App登錄無需圖形驗證碼,用App的包爆破之。同一系統的不同“端”登錄:
關于前端加密的處理方式有很多,比如burpsuite的jsEncrypter插件等,如果是App自己實現了一套加密方法,就需要跟進代碼去分析。
No.4
歷史版本
由于App版本更新迭代的緣故,或許某個版本沒加殼、報文未加密、使用老版本加密算法等等問題,可通過找歷史版本App進行分析。
豌豆莢歷史版本:
No.5
其他
從Web出發,通過對App的流量、接口分析,回歸到Web測試,或許會得到不錯的效果。
