遇到一个样本http://app.mi.com/details?id=com.msf.credit&ref=search，使用了https双向认证，记录一下解决问题的流程。

一、抓包分析

开始是 Failure SSLHandshake: Received fatal alert: certificate_unknown

image.png

使用frida hook ssl 认证，然后错误变了

image.png
错误信息是400 No required SSL certificate was sent，通过调研知道是HTTPS 双向认证
image.png

二、自己搭建环境

image.png

第一次遇见HTTPS双向认证，网上只有正向的搭建教程，没有逆向教程。而且这个app是kotlin编写的，逆向出的代码也跟java写的不太一样，这也加大了逆向难度。所以我想着先自己搭建一个环境在本地试试再说。

https://blog.imdst.com/nginx-ssl-shuang-xiang-ren-zheng-key-sheng-cheng-he-pei-zhi/，这篇文章是介绍如何配置nginx双向认证的，按照这个成功搭建了nginx双向认证，并实验成功。
没加载证书的时候:

image.png
加载证书的时候：
image.png
image.png

三、编码实现

通过自己搭建，已经基本了解了https的工作流程。下一步是从网上找类似的代码，然后通过特征代码去逆向。
实际过程并不顺利，因为app用的是kotlin，我之前没用过。
后来是这篇文章给了我思路，文中有一句话

把之前生成的证书（.cer）放到安卓项目的assets或者raw目录下，读取文件流用以下方法获取SSLSocketFactory 。

image.png

image.png

四、charles验证

修改Proxy->SSL Proxying Settings ->Client Certificates，导入证书。

image.png

再次请求，要求输入密码。

image.png

五、寻找密码

开始尝试的password，但是没有找到，然后尝试搜索证书的名字“client_product”，找到了。

image.png

推测mjcredit_product应该就是证书的密码。

image.png

六、charles验证成功

输入密码

image.png

点击OK

image.png
抓包成功了
image.png

七、curl测试

curl -H 'Content-Type: application/json' -H 'User-Agent: Android/23;com.msf.credit/39' -H 'Host: app.msfcredit.cn:6113' --data-binary '{"mobile":"176111100003","password":"xHiN9t3ixVpsqVoLZWyiEQ==","imei":"355455060644058"}' --compressed 'https://app.msfcredit.cn:6113/userService/login' -k --cert-type P12 --cert client_product.p12:mjcredit_product

其中-k是忽略检查服务器证书的合法性, --cert-type P12标明证书的类型，--cert client_product.p12:mjcredit_product标明证书的路径和密码。

image.png

八、代码验证

用HttpClient跑通了。
关键代码如下：

image.png

结果如下

image.png