本文主要介绍绕过 SSL 校验的相关方法和知识。文中用到的 vuls 漏洞应用及工具可以在 https://github.com/AndroidAppSec/resources 中下载。
四、绕过 SSL 校验
通过前几篇的介绍,我们了解到,对于 SSL 可以通过可信 CA、hostname、SSL Pinning 等进行校验。校验可以在 Dalvik 层实现,也可以在 native 层实现。本文我们主要介绍在 Dalvik 层绕过校验的方式。
1、当前基本情况
主要使用到 vuls 漏洞应用的以下功能:
在设置手机代理为 burp,并且不安装 burp 证书时,基本情况如下表所示。
功能
校验情况是否能抓取数据
默认请求校验CA和host否
不做任何校验无是
只校验 HOST校验 host否
OKHTTPSSL Pinning否
2、重打包
APK 重打包是指将 APK 文件反编译成 smali 代码之后,修改其中的关键逻辑,然后再重新打包成 APK 文件的过程。当我们可以拿到要分析 APP 的 APK 文件时候,可以考虑使用这种方式来绕过 SSL 校验。
回顾一下“只校验 HOST”功能的代码:
我们要请求的域名是 www.baidu.com,而代码里面去校验域名是否为 www.google.com。
为了绕过此处的校验,使用 Androidkiller 打开 APK 文件,搜索 google 关键字,找到以下的关键代码。将 google 改为 baidu,并保存。
点击下图的编译,重新打包apk。
覆盖安装之后,可以看到成功能够抓到数据了
同样,为了绕过 SSL Pinning,回顾一下校验代码如下:
反编译后,定位到以下关键代码,
将红框中的域名改为无意义的域名即可,比如 www.nothing.com。重打包覆盖安装,并且安装 burp 证书之后,即可抓到请求数据。
3、Hook
HOOK 技术可以实现无需重打包即可修改程序的逻辑,于是我们可以使用 HOOK 技术来绕过 SSL 校验的逻辑。安卓平台下主流的 HOOK 框架有 xposed、frida、substrate 等。本文主要介绍如何使用 xposed 框架来绕过 SSL 校验。使用 Hook 技术,需要有 root 权限。
首先,安装 xposed 框架。执行命令
adb install XposedInstaller_3.1.5.apk ,安装成功如下:
目前有一些基于 xposed 的绕过 SSL 校验的插件,比如JustTrustMe、SSLKiller、SSLUnpinning 等。
于是我们安装上了JustTrustMe 插件。
重启之后,抓包情况如下:
功能
校验情况是否能抓取数据
默认请求校验CA和host是
不做任何校验无是
只校验 HOST校验 host否
OKHTTPSSL Pinning是
确实可以成功抓到“默认请求”和“OKHTTP”两个功能的数据包了,但是“只校验 HOST”功能却还不能抓包。
在 github 上看了一下 JustTrustMe 最后一次更新是在 26 Jun 2017,已经一年多没有更新了。那么初步分析是,我们的请求没有被JustTrustMe Hook到。打印一下错误日志,发现确实是提示 hostname 校验失败。
定位到错误代码如下:
源码中明明是HttpsURLConnection,而错误日志中却显示的是com.android.okhttp.internal.http.HttpsURLConnectionImpl。查阅资料之后,发现是安卓4.4之后就在源码中用 okhttp 替换了 HttpsURLConnection,作为 URLConnection 的实现。而JustTrustMe 中没有相应的 hook。
于是我们添加上相应的 hook 即可,代码如下:
重新安装修改后的 JustTrustMe 即可正常抓包。
4、后记
今天主要讲了两种绕过的方式:重打包和 Hook。两个各有优劣:重打包无需 root 权限,但需要对 smali 代码有一定的了解,可能还会需要去绕过一些签名的限制;Hook编码较简单,无需重新签名,无需对 smali 代码深入了解,但是需要有root权限才可以。在实战中,可以自行选择自己喜欢的方式,或者两个结合使用。
参考:
https://github.com/Fuzion24/JustTrustMe
https://github.com/ac-pm/SSLUnpinning_Xposed
https://github.com/liuyufei/SSLKiller
欢迎关注微信公众号 “安卓APP安全测试”
网友评论