另一个生鲜App 抓包和mfsig签名分析(二) 针对flutt

一、目标

拿到App之后，抓不到包是件很令人抓狂的事情。今天我们通过排除法来分析抓包失败的原因，并提供一个通用的 针对flutter抓包 的方案。

• 抓包工具和环境介绍
• 抓包失败的几种原因和对应的解决方案
• 针对flutter抓包

今天我们分析的还是 某生鲜App v9.9.59

二、步骤

抓包工具和环境介绍

飞哥手头有两个不同的抓包环境，一台手机是通过手工设置代理到pc上，通过 mitmproxy 来抓包，另一台手机是不需要手工设置代理，通过手机上的 Drony 启动一个vpn，然后PC上用 Charles 来抓包。

两个环境的共同点是：都需要把对应的证书放到系统证书里面。

因为https需要通过证书获取的公钥来加密数据，而抓包工具伪装成中间人服务器，让App使用抓包工具的证书来实现分析https数据包的目的。

我们后面的故事都是围绕这个 证书 来展开。

抓包失败的几种原因和对应的解决方案

不走系统代理

最简单的抓包失败的原因是：app检测是否设置了代理，如果设置了，就不走这个代理，继续直接访问。

这样我们的第一种抓包环境就失效了。解决方法就是用第二种抓包环境，app发现不了被代理了。

使用QUIC或者Spdy协议

这个在某手App里出现过，我们的解决方法是利用App自身的配置，强制它继续使用https协议来解决。

SSL证书双向认证

http://91fans.com.cn/post/socialsignone/ 里介绍过，把客户端证书搞出来，然后导入到抓包软件里解决。

Java层的 SSL Pinning

APP代码内置仅接受指定域名的证书，而不接受操作系统或浏览器内置的CA根证书对应的任何证书，通过这种授权方式，保障了APP与服务端通信的唯一性和安全性。

Xposed的插件 JustTrustMe和SSLUnPinning 还有Objection的 android sslpinning disable 命令都是对付它的。

Native层的 SSL Pinning

Native层也就是so里面做的SSL Pinning，目前没有通用的解决方案，只能见招拆招，具体情况具体去搞。

今天我们遇到的就是 so里面做的SSL Pinning，导致抓不到包。

针对flutter抓包

在对这个生鲜App的分析中，我们发现只有很少的数据包被截获，明显有很多包被漏掉了。

所以毫不犹豫的上第二台手机了。

main.jpg

这次要好一些，但是还是有些图片无法显示。应该还是有些包漏了。

我们用排除法，搜quic、spdy，然后再试试是不是ssl证书双向认证。

坏消息是都不对。 好消息是我们发现它的lib文件夹里面有个 #libflutter.so#。

早就听说flutter不好搞了。既然确定了它的身份，就好说了。

看雪上找到了一篇文章

一种基于frida和drony的针对flutter抓包的方法

function hook_ssl_verify_result(address)
{
    Interceptor.attach(address, {
        onEnter: function(args) {
            console.log("Disabling SSL validation")
        },
        onLeave: function(retval)
        {
            console.log("Retval: " + retval)
            retval.replace(0x1);
        }
    });

}

function disablePinning()
{
    var m = Process.findModuleByName("libflutter.so");
    console.log(m);

    var pattern = "2d e9 f0 4f a3 b0 81 46 50 20 10 70"
    
    var res = Memory.scan(m.base, m.size, pattern, {
        onMatch: function(address, size){
            console.log('[+] ssl_verify_result found at: ' + address.toString());
            // Add 0x01 because it's a THUMB function
            hook_ssl_verify_result(address.add(0x01));
        }, 

        onError: function(reason){
            console.log('[!] There was an error scanning memory');
        },
        onComplete: function()
        {
            console.log("All done")
        }
    });
}

由于这个生鲜App加壳了，并且so的加载也需要时间，所以我们在js中加上延迟10s。

setTimeout(main, 10000);

rc.jpg

这次效果不错。

三、总结

libflutter.so版本不同，不要硬搬教程的 pattern, 先确定你的手机环境是64位还是32位，然后用Ida打开Apk中的libflutter.so， 搜索字符串 ssl_client 来定位函数。

ADD R1, PC  ; "ssl_client"

定位到这条指令所在的函数，然后取函数开头前10来个字节做 pattern 即可。

遇到问题多在lib里面翻翻，说不定有惊喜。

ffshow.jpeg

问: "如何是道?" 曰:"只在目前。" 问:"为甚么不见?" 曰:"瞎。"