日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

在此之前，移動(dòng)端應(yīng)用程序會(huì)直接忽略掉所有的SSL錯(cuò)誤，并允許攻擊者攔截和修改自己的通信流量。但是現(xiàn)在，很多熱門(mén)應(yīng)用程序至少會(huì)檢查證書(shū)鏈?zhǔn)欠袷且粋€(gè)有效可信任的證書(shū)機(jī)構(gòu)(CA)頒發(fā)的。

創(chuàng)新互聯(lián)公司網(wǎng)站建設(shè)公司，提供成都網(wǎng)站設(shè)計(jì)、成都網(wǎng)站建設(shè)，網(wǎng)頁(yè)設(shè)計(jì)，建網(wǎng)站，PHP網(wǎng)站建設(shè)等專(zhuān)業(yè)做網(wǎng)站服務(wù);可快速的進(jìn)行網(wǎng)站開(kāi)發(fā)網(wǎng)頁(yè)制作和功能擴(kuò)展；專(zhuān)業(yè)做搜索引擎喜愛(ài)的網(wǎng)站，是專(zhuān)業(yè)的做網(wǎng)站團(tuán)隊(duì)，希望更多企業(yè)前來(lái)合作!

作為一名滲透測(cè)試人員來(lái)說(shuō)，我們常常需要讓目標(biāo)應(yīng)用程序信任我們的證書(shū)是有效的，這樣我們就可以進(jìn)行中間人攻擊(MITM)并修改其流量了。在這篇文章中，我們將給大家介紹四種繞過(guò)Android SSL驗(yàn)證的方式。

一、SSL MitM

為什么我們要特別關(guān)注移動(dòng)端應(yīng)用程序的SSL MitM安全情況呢?為了觀察或?qū)σ苿?dòng)端應(yīng)用程序的Web服務(wù)調(diào)用情況，我們需要使用類(lèi)似BurpSuite或ZAP這樣的攔截代理。當(dāng)我們利用代理攔截下SSL流量之后，客戶端的SSL鏈接將會(huì)中斷。默認(rèn)情況下，類(lèi)似Burp這種工具所生成的自簽名證書(shū)將失效，如果證書(shū)不被信任，那么移動(dòng)端App將會(huì)中斷連接。接下來(lái)，我們所要介紹的技術(shù)將能夠讓移動(dòng)端應(yīng)用程序信任我們的攔截代理所提供的證書(shū)。

技術(shù)#1-向用戶證書(shū)中添加自定義CA

避免SSL錯(cuò)誤的最好方法就是設(shè)置一個(gè)有效可信任的證書(shū)。這種方法相對(duì)比較簡(jiǎn)單，如果你可以向設(shè)備安裝一個(gè)新的可信任CA證書(shū)，并且操作系統(tǒng)信任你的CA，那么它就會(huì)信任由你CA簽名的證書(shū)。

Android有兩個(gè)內(nèi)置的證書(shū)存儲(chǔ)(即System Store和User Store)，它們會(huì)對(duì)操作系統(tǒng)信任的CA進(jìn)行跟蹤。其中System Store用于存儲(chǔ)預(yù)裝的CA，User Store存儲(chǔ)用戶安裝的CA。默認(rèn)配置下，使用了類(lèi)似TLS或HTTPS的安全連接會(huì)信任預(yù)安裝的系統(tǒng)CA，而Android 6.0(API Level23)及以下版本默認(rèn)會(huì)新人用戶添加的CA。

這意味著什么呢?如果我們向User Store中添加自己的CA，那我們就可以嘗試對(duì)Android 6.0及以下版本的設(shè)備進(jìn)行中間人攻擊了。如果針對(duì)的是高于Android 6.0版本的設(shè)備，那么我們所添加的證書(shū)將不會(huì)被信任。為了解決這個(gè)問(wèn)題，我們可以編輯應(yīng)用程序的Manifest文件，并強(qiáng)制它適配Android 6.0。目標(biāo)API Level定義在AndroidManifest.xml文件中的‘platformBuildVersionCode’屬性(’manifest’元素)：

我們要把‘platformBuildVersionCode=25’改成23：

重新打包之后，應(yīng)用程序?qū)?huì)信任用戶添加的CA證書(shū)了。

當(dāng)然了，如果你想要在特定平臺(tái)版本中運(yùn)行的話，你也可以在APK的‘/res/xml/network_security_config.xml’文件中定義一個(gè) 。比如說(shuō)，下面的代碼就定義了一個(gè)新的受信任CA，文件存儲(chǔ)在/res/raw/my_ca：

這樣一來(lái)，我們就能夠順利完成MitM了。

技術(shù)#2-用自定義CA證書(shū)重寫(xiě)已打包的CA證書(shū)

如果第一種方法不起效的話，可能是因?yàn)殚_(kāi)發(fā)人員限制了應(yīng)用程序所能信任的CA證書(shū)了。還記得剛才我們使用自定義的 來(lái)提供CA證書(shū)路徑嗎?而開(kāi)發(fā)人員同樣可以使用這種方法來(lái)保護(hù)自己的應(yīng)用程序免受SSL攔截攻擊。

在這種場(chǎng)景下，為了讓我們的攔截證書(shū)可以被信任，我們就需要提取APK并用我們自定義的CA證書(shū)來(lái)重寫(xiě)應(yīng)用程序所提供的CA證書(shū)。需要注意的是，這種方法可能會(huì)要求進(jìn)行一系列驗(yàn)證。

使用APK Studio之類(lèi)的工具打開(kāi)APK文件，然后在窗口中找到應(yīng)用程序所捆綁的證書(shū)。在上圖中，證書(shū)位于應(yīng)用程序的assets目錄下。接下來(lái)，用我們自定義的CA覆蓋應(yīng)用程序原本的CA(‘UniversalRootCA’證書(shū))，這樣就可以讓?xiě)?yīng)用程序直接信任我們的證書(shū)了并實(shí)現(xiàn)流量攔截了。

技術(shù)#3-Frida Hook

如果安裝自定義CA也無(wú)法成功的話，說(shuō)明應(yīng)用程序可能使用了某種SSL綁定技術(shù)或采用了額外的SSL驗(yàn)證。一般來(lái)說(shuō)，為了繞過(guò)這種驗(yàn)證方法，我們需要對(duì)應(yīng)用程序的代碼以及驗(yàn)證接口設(shè)置鉤子。這種接口一般用于限制手機(jī)被root或越獄，但是在Frida框架【工具下載】的幫助下，我們就可以在不root設(shè)備的情況下，對(duì)應(yīng)用程序進(jìn)行動(dòng)態(tài)分析了。

Frida可以在操作系統(tǒng)中以獨(dú)立應(yīng)用程序的形式運(yùn)行，但是這需要對(duì)設(shè)備進(jìn)行root。為了避免root操作，我們可以直接將Frida注入到目標(biāo)APK之中。Frida工具中包含了一個(gè)能夠讓?xiě)?yīng)用程序在運(yùn)行時(shí)加載Frida的動(dòng)態(tài)庫(kù)，并允許我們對(duì)目標(biāo)應(yīng)用程序的代碼和指令進(jìn)行動(dòng)態(tài)修改。

接下來(lái)，我們需要提取APK文件，注入動(dòng)態(tài)庫(kù)，然后編輯一些smali代碼來(lái)讓我們的代碼庫(kù)在應(yīng)用程序啟動(dòng)時(shí)最先被調(diào)用。完成之后，重新打包APK并進(jìn)行安裝。整個(gè)過(guò)程的完整操作方法可以參考【這篇文章】。

除此之外，我們也可以使用Objection工具【項(xiàng)目地址】來(lái)實(shí)現(xiàn)我們的目標(biāo)。Objection可以讓整個(gè)過(guò)程自動(dòng)化完成，我們只需要在命令行中提供目標(biāo)APK的路徑，Objection就可以幫我們完成所有的代碼注入以及修改操作。

 
 
 
 

  
  
  
  
C:\>objection patchapk -s test_app.apk
  
  
  
  
No architecture specified. Determining it using `adb`...
  
  
  
  
Detected target device architecture as: armeabi-v7a
  
  
  
  
Github FridaGadget is v10.6.28, local is v10.6.13. Updating...
  
  
  
  
Downloading armeabi-v7a library toC:\.objection\android\armeabi-v7a\libfrida-gadget.so.xz...
  
  
  
  
Unpacking C:\.objection\android\armeabi-v7a\libfrida-gadget.so.xz...
  
  
  
  
Cleaning up downloaded archives...
  
  
  
  
Using Gadget version: 10.6.28
  
  
  
  
Unpacking test_app.apk
  
  
  
  
App already has android.permission.INTERNET
  
  
  
  
Reading smali from:C:\Temp\tmp8dxqks1u.apktemp\smali\com/test/app/TestMainActivity.smali
  
  
  
  
Injecting loadLibrary call at line: 10
  
  
  
  
Writing patched smali back to:C:\Temp\tmp8dxqks1u.apktemp\smali\com/test/app/TestMainActivity.smali
  
  
  
  
Creating library path: C:\Temp\tmp8dxqks1u.apktemp\lib\armeabi-v7a
  
  
  
  
Copying Frida gadget to libs path...
  
  
  
  
Rebuilding the APK with the frida-gadget loaded...
  
  
  
  
Built new APK with injected loadLibrary and frida-gadget
  
  
  
  
Signing new APK.
  
  
  
  
jar signed.
  
  
  
  
Signed the new APK
  
  
  
  
Performing zipalign
  
  
  
  
Zipaling completed
  
  
  
  
Copying final apk from C:\Users\cwass\AppData\Local\Temp\tmp8dxqks1u.apktemp.aligned.objection.apkto current directory...
  
  
  
  
Cleaning up temp files...
 
 
 
 

接下來(lái)，我們的工作目錄中應(yīng)該會(huì)出現(xiàn)一個(gè)名叫‘test_app.objection.apk’的文件(默認(rèn)情況下，工具會(huì)在原始APK文件名的后面添加一個(gè).objection后綴)。我們可以像安裝普通APK一樣安裝這個(gè)文件，使用命令“adb install test_app.objection.apk”可以直接將其推送到連接設(shè)備上。安裝完成之后運(yùn)行目標(biāo)App，此時(shí)App將會(huì)卡在啟動(dòng)界面?，F(xiàn)在，我們就可以連接到Frida服務(wù)器，并開(kāi)始監(jiān)聽(tīng)設(shè)備流量了。Frida命令行工具的使用方法如下：

 
 
 
 

  
  
  
  
C:\>frida-ps-U
  
  
  
  
PID  Name
  
  
  
  
----  ------
  
  
  
  
6383  Gadget
  
  
  
  
 
  
  
  
  
C:\>frida-U gadget
  
  
  
  
____
  
  
  
  
/ _ |Frida 10.3.14 - A world-class dynamic instrumentation framework
  
  
  
  
| (_||
  
  
  
  
>_ | Commands:
  
  
  
  
/_/|_| help -> Displays the help system
  
  
  
  
. . .. object? -> Display information about 'object'
  
  
  
  
. . .. exit/quit -> Exit
  
  
  
  
. . ..
  
  
  
  
. . .. More info at http://www.frida.re/docs/home/
  
  
  
  
 
  
  
  
  
[MotorolaMoto G (5) Plus::gadget]-> Java.available
  
  
  
  
true
  
  
  
  
 
  
  
  
  
Alternatively,Objection supports interaction with the listening Frida server by using the‘explore’ command:
  
  
  
  
 
  
  
  
  
C:\>objectionexplore
  
  
  
  
___||_  |_|___ ___| |_|_|___ ___
  
  
  
  
| . |. | | | -_|  _|  _| | . |  |
  
  
  
  
|___|___|_||___|___|_| |_|___|_|_|
  
  
  
  
|___|(object)inject(ion)v1.2.2
  
  
  
  
 
  
  
  
  
RuntimeMobile Exploration
  
  
  
  
by:@leonjza from @sensepost
  
  
  
  
 
  
  
  
  
[tab]for command suggestions
  
  
  
  
com.test.appon (motorola: 7.0) [usb] # android hooking search classes TrustManager
  
  
  
  
android.security.net.config.RootTrustManager
  
  
  
  
android.app.trust.ITrustManager$Stub$Proxy
  
  
  
  
android.app.trust.ITrustManager
  
  
  
  
android.security.net.config.NetworkSecurityTrustManager
  
  
  
  
android.security.net.config.RootTrustManagerFactorySpi
  
  
  
  
android.app.trust.TrustManager
  
  
  
  
android.app.trust.ITrustManager$Stub
  
  
  
  
com.android.org.conscrypt.TrustManagerImpl
  
  
  
  
com.android.org.conscrypt.TrustManagerImpl$ExtendedKeyUsagePKIXCertPathChecker
  
  
  
  
com.android.org.conscrypt.TrustManagerImpl$TrustAnchorComparator
  
  
  
  
com.android.org.conscrypt.TrustManagerFactoryImpl
  
  
  
  
javax.net.ssl.TrustManagerFactory$1
  
  
  
  
javax.net.ssl.TrustManager
  
  
  
  
javax.net.ssl.TrustManagerFactory
  
  
  
  
javax.net.ssl.X509TrustManager
  
  
  
  
javax.net.ssl.TrustManagerFactorySpi
  
  
  
  
javax.net.ssl.X509ExtendedTrustManager
  
  
  
  
[Ljavax.net.ssl.TrustManager;
 
 
 
 

此時(shí)，你就可以使用內(nèi)置的SSL綁定繞過(guò)函數(shù)來(lái)實(shí)施攻擊了：

 
 
 
 

  
  
  
  
com.test.appon (motorola: 7.0) [usb] # android sslpinning disable
  
  
  
  
Job:2f633f86-f252-4a57-958e-6b46ac8d69d1 - Starting
  
  
  
  
[6b46ac8d69d1][android-ssl-pinning-bypass] Custom, Empty TrustManager ready
  
  
  
  
Job:2f633f86-f252-4a57-958e-6b46ac8d69d1 – Started
 
 
 
 

技術(shù)#4-逆向自定義證書(shū)的驗(yàn)證代碼

當(dāng)然了，開(kāi)發(fā)人員也有可能會(huì)使用自己開(kāi)發(fā)的SSL庫(kù)，而不是直接使用系統(tǒng)庫(kù)來(lái)處理SSL證書(shū)驗(yàn)證過(guò)程。如果這樣的話，我們就需要提取出APK文件，然后將smali代碼轉(zhuǎn)換成Java代碼，這樣我們才可以對(duì)負(fù)責(zé)處理證書(shū)驗(yàn)證的代碼進(jìn)行分析，并想辦法實(shí)現(xiàn)流量攔截，這里我們需要使用到dex2jar工具。

dex2jar工具的使用命令語(yǔ)句如下所示：

 
 
 
 

  
  
  
  
C:\>d2j-dex2jar.bat"C:\test_app.apk"
  
  
  
  
dex2jarC:\test_app.apk -> .\test_app-dex2jar.jar
 
 
 
 

輸出的.jar文件可以直接在絕大多數(shù)Java逆向工具(例如JD-GUI)中打開(kāi)。

當(dāng)你找到了負(fù)責(zé)處理證書(shū)驗(yàn)證的代碼之后，你就可以選擇對(duì)代碼進(jìn)行直接修改或者使用Frida來(lái)給特定函數(shù)設(shè)置鉤子了。為了避免對(duì)整個(gè)應(yīng)用程序進(jìn)行重構(gòu)，我們可以直接對(duì)證書(shū)驗(yàn)證函數(shù)設(shè)置鉤子。具體的操作方法可以參考技術(shù)#3所介紹的內(nèi)容(使用Frida命令行工具或Objection接口)。

二、總結(jié)

本文所介紹的技術(shù)可以允許我們繞過(guò)Android開(kāi)發(fā)人員所設(shè)置的常見(jiàn)防護(hù)措施，并攔截目標(biāo)Android應(yīng)用的SSL通信流量。除此之外，本文還簡(jiǎn)單介紹了Objection接口以及Frida工具，這些工具可以幫助我們繞過(guò)應(yīng)用程序的SSL綁定以及其他防護(hù)機(jī)制。本文揭露了多種繞過(guò)給定安全控制的方法，希望這篇文章可以給Android應(yīng)用程序的安全研究人員提供一些有用幫助。

當(dāng)前題目：繞過(guò)安卓SSL驗(yàn)證證書(shū)的四種方式
分享URL：http://www.5511xx.com/article/copsdhc.html