本章接上一章，为了解决APP对SSL证书的内部校验，我们可以使用frida对app内存进行hook，修改内存的数据。frida是一款便携的、自由的、支持全平台的hook框架，可以通过编写JavaScript、Python代码来和frida_server端进行交互，实现对内存等数据、函数的修改。
刚好这次遇到了一个flutter开发的app，flutter内置了证书以及验证，抓包没法通过普通方法抓包，所以只好通过这个方法把验证函数返回值进行修改。

原理解释：

1. 手机端安装frida-server程序，可以获取安卓手机的内存（需要root权限）。
2. 电脑端的frida通过与手机端的frida-server连接，在手机端运行电脑端创建的脚本代码。
3. 通过这个代码， 能够hook到内存的关键部分，比如ssl证书校验的函数，让这个函数的返回值永真或者永假，由此app运行的时候，所有的校验都会返回通过校验这个结果而不是拦截下来。

0. 准备工作

1. 一台已经root的安卓设备，最好是真机。
   如果使用模拟器，必须检查app的lib里面，是否有x86平台对应的so二进制文件。这个问题卡了我两天，我每一步都按照教程完成了，可是怎么都搜不到flutter.so这个包，最后使用真机一次性就搜到了。对apk解压缩后，查看lib文件夹下是否有x86架构的文件夹，并且检查想要hook的so文件是否在文件夹内。我找到的这个app就只有arm64架构，也就是只能在真机上运行才会有这个so文件。弄错了这步，后面的工作就都无法开展。这也是为什么要求最好使用真机的原因。
   

   查看APP二进制包支持的CPU架构类型

2. 安装frida以及下载frida-server
   Python使用pip安装：pip install frida
   frida-server下载：https://github.com/frida/frida/releases
   

   查看所有frida
   用Ctrl+F 搜索server，快速找到frida-server
   选择对应CPU架构下载frida-server

注意：

1. pip 安装的frida版本要和frida-server版本一致，否则会导致frida崩溃或者无法hook。
2. 下载的frida-server一定要和客户端的版本一致，根据cpu确定版本。安卓手机一般都是arm64，x86是Intel和AMD的CPU（电脑模拟器选这个）
3. 安卓手机一定要是已经ROOT过的，否则frida无法hook到应用。

3. 安卓手机端准备
   下载安装adb，通过adb连接手机。adb下载：https://adbdownload.com/
   设置adb到系统的path，方便调用。如不会可百度。
   手机开发开发USB调试，建议使用USB调试，网络如果比较稳定，可以使用无线调试。
   • 3.1 手机连接USB调试后，在cmd窗口输入adb devices查看当前连接的设备信息，USB数据线调试，adb会自动连接。如果是无线连接，则是会显示IP和端口。
     adb 查看连接设备
   • 3.2 输入adb connect IP:端口连接无线调试设备，输入adb connect IP:端口/设备名断开连接。
   • 3.3 进入adb shell并开启root。& adb root是非必要的，部分机型会有这个要求。进入shell后，su切换root用户，如果显示Permission denied 则是获取root权限失败，需要重新授权。
     adb shell& root
   • 3.4 上传frida-server到手机。首先exit退出adb shell，然后adb push D:\apktool\frida-server-16.0.8-android-arm64 /data/local/tmp/frida-server将frida-server上传到安卓机的指定目录。然后进入目录，切换root用户，查看是否上传成功。
     上传frida-server
   • 3.5 修改权限并启动frida-server。修改权限chmod 775 frida-server 。启动frida./frida-server。
     启动frida-server
4. 电脑端运行代码

# -*- coding:utf-8 -*-
# date: 2023/1/4 17:49
# author: me
"""
功能主治：破解XXX的flutter SSL认证，让它以为证书是正常的，从而通过drony把流量导入到电脑端的fiddler
    1. 启动APP
    2. cmd：adb connect 127.0.0.1:7555 && adb root // usb链接会自动connect 链接虚拟机和root，实测虚拟机不行，真机才有
    3. cmd: adb shell  cd /data/local/tmp  以root ./frida-server，root需要su
    4. 端口映射: adb forward tcp:27042 tcp:27042  adb forward tcp:27043 tcp:27043，这一步可有可无，实测不输入执行没影响
    4. 运行本注入程序，显示[+] ssl_verify_result found at: 0x7a52febf74，若地址改变，需要重新使用ida操作！
"""
import frida
import sys

# https://bbs.pediy.com/thread-261941.htm
jscode = """
    function hook_flutter(){
    Java.perform(function () {
        var m = Process.findModuleByName("libflutter.so");
        var pattern = "FF C3 01 D1 FD 7B 01 A9 FC 6F";  // 只是前面的这10个无法起作用，需要搞个完整的4*9=36个
        pattern += " 02 A9 FA 67 03 A9 F8 5F 04 A9 F6 57 05 A9 F4 4F 06 A9 08 0A 80 52 48 00 00 39";
        var res = Memory.scan(m.base, m.size, pattern, {
        onMatch: function(address, size){
            console.log('[+] ssl_verify_result found at: ' + address.toString());
            hook_ssl_verify_result(address); 
        },
        onError: function(reason){
            console.log('[!] There was an error scanning memory');
        },
        onComplete: function() {
            console.log("All done")
        }
    });
});
}
function hook_ssl_verify_result(address) {
    address = address
    Interceptor.attach(address, {
            onEnter: function(args) {
                console.log("Disabling SSL validation")
            },
            onLeave: function(retval) {
                console.log("Retval: " + retval);
                retval.replace(0x01);
            }
        }); 
}

setImmediate(hook_flutter);
//setTimeout(hook_flutter, 100);
/*
function siguoyi(){
    try {
        var flutterSoAddr = Module.findBaseAddress("libflutter.so");
        var flutterSoAddr2 = Process.findModuleByName("libflutter.so");
        console.log("flutter.so addr 1: ", flutterSoAddr);
        console.log("flutter.so addr 2: ", flutterSoAddr2);
        hookFlutter()
    }catch(e){
        console.error(e)
    }
}
//Module.load("libflutter.so");
//setTimeout(siguoyi, 2000);
console.log(Process.isDebuggerAttached());
console.log(Process.id);
let ps = Process.enumerateModules()
for(let i in ps){

    //console.log(JSON.stringify(ps[i]));
    //console.log(JSON.stringify(ps[i].name));
}
siguoyi()
*/
"""

def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)


print(frida.get_usb_device())
print(frida.get_remote_device())

# 启动后注入
process = frida.get_usb_device().attach("APP的名字")
print(process)
script = process.create_script(jscode)
script.on('message', on_message)
script.load()
sys.stdin.read()

启动要抓包的app，然后运行上述代码 运行结果

5. 打开drony进行抓包。如果不会可以看我上一篇教程。安卓APP抓包教程（二）——使用drony配合fiddler抓包

6. 打开fiddler进行抓包。如果不会可以看我上上篇教程。安卓APP抓包教程（一）——使用fiddler抓包

7. fiddler抓包效果

   
   fiddler抓包结果展示
   

   Python控制台显示：

   
   成功控制了函数返回值

---

总结

1. 搜索不到flutter.so，无论是Process.findModuleByName("libflutter.so")还是Module.findBaseAddress("libflutter.so")都无法搜索到flutter.so。
   因为这个问题我卡了很久，最终找到了原因，app在打包的时候为了精简体积，大概率不会一次性添加好几种CPU平台的so包，而是有针对性地打包。所以我在模拟器进行测试，虽然还是安卓系统，但是CPU平台是X86的架构，X86架构并没有放进去flutter.so，所以一直搜不到。最后使用真机解决。

2. 怎么找到这个hook地址的，方法论？
   这个问题也是一个很神奇的问题，在最开始的时候，我搜遍了教程都无法hook。感觉大家的flutter版本似乎差得很多，而每个版本的flutter对应函数的地址完全可能不一样，所以没法使用别人的代码直接run起来。
   怎么才可以自己hook到数据，然后自己找地址呢？
   2.1. 要自己找地址，需要先安装一个IDA Pro。后面两个任选一个安装即可，反汇编神器IDA Pro 7.7.220118 (SP1)汉化版、IDA Pro 7.7.220118 (SP1) 全插件绿色版，打开IDA之后，把flutter.so拖进去。
   2.2 不会操作IDA？我也不会，但是跟着[原创]一种基于frida和drony的针对flutter抓包的方法这个文章的操作，基本上还是能够找到对应函数的地址。

3. 有的教程为什么10个或者12个地址就能定位到函数，但是我不行？
   经过实测，就是不行。必须4*9=36就可以成功找到了，输出一个地址就说明成功找到了。按照教程继续走下去就可以了。

有问题欢迎交流！