另一个生鲜App 抓包和mfsig签名分析(二) 针对flutt
一、目标
拿到App之后,抓不到包是件很令人抓狂的事情。今天我们通过排除法来分析抓包失败的原因,并提供一个通用的 针对flutter抓包 的方案。
- 抓包工具和环境介绍
- 抓包失败的几种原因和对应的解决方案
- 针对flutter抓包
今天我们分析的还是 某生鲜App v9.9.59
二、步骤
抓包工具和环境介绍
飞哥手头有两个不同的抓包环境,一台手机是通过手工设置代理到pc上,通过 mitmproxy 来抓包,另一台手机是不需要手工设置代理,通过手机上的 Drony 启动一个vpn,然后PC上用 Charles 来抓包。
两个环境的共同点是:都需要把对应的证书放到系统证书里面。
因为https需要通过证书获取的公钥来加密数据,而抓包工具伪装成中间人服务器,让App使用抓包工具的证书来实现分析https数据包的目的。
我们后面的故事都是围绕这个 证书 来展开。
抓包失败的几种原因和对应的解决方案
不走系统代理
最简单的抓包失败的原因是:app检测是否设置了代理,如果设置了,就不走这个代理,继续直接访问。
这样我们的第一种抓包环境就失效了。解决方法就是用第二种抓包环境,app发现不了被代理了。
使用QUIC或者Spdy协议
这个在某手App里出现过,我们的解决方法是利用App自身的配置,强制它继续使用https协议来解决。
SSL证书双向认证
http://91fans.com.cn/post/socialsignone/ 里介绍过,把客户端证书搞出来,然后导入到抓包软件里解决。
Java层的 SSL Pinning
APP代码内置仅接受指定域名的证书,而不接受操作系统或浏览器内置的CA根证书对应的任何证书,通过这种授权方式,保障了APP与服务端通信的唯一性和安全性。
Xposed的插件 JustTrustMe和SSLUnPinning 还有Objection的 android sslpinning disable 命令都是对付它的。
Native层的 SSL Pinning
Native层也就是so里面做的SSL Pinning,目前没有通用的解决方案,只能见招拆招,具体情况具体去搞。
今天我们遇到的就是 so里面做的SSL Pinning,导致抓不到包。
针对flutter抓包
在对这个生鲜App的分析中,我们发现只有很少的数据包被截获,明显有很多包被漏掉了。
所以毫不犹豫的上第二台手机了。
main.jpg这次要好一些,但是还是有些图片无法显示。应该还是有些包漏了。
我们用排除法,搜quic、spdy,然后再试试是不是ssl证书双向认证。
坏消息是都不对。 好消息是我们发现它的lib文件夹里面有个 #libflutter.so#。
早就听说flutter不好搞了。既然确定了它的身份,就好说了。
看雪上找到了一篇文章
一种基于frida和drony的针对flutter抓包的方法
function hook_ssl_verify_result(address)
{
Interceptor.attach(address, {
onEnter: function(args) {
console.log("Disabling SSL validation")
},
onLeave: function(retval)
{
console.log("Retval: " + retval)
retval.replace(0x1);
}
});
}
function disablePinning()
{
var m = Process.findModuleByName("libflutter.so");
console.log(m);
var pattern = "2d e9 f0 4f a3 b0 81 46 50 20 10 70"
var res = Memory.scan(m.base, m.size, pattern, {
onMatch: function(address, size){
console.log('[+] ssl_verify_result found at: ' + address.toString());
// Add 0x01 because it's a THUMB function
hook_ssl_verify_result(address.add(0x01));
},
onError: function(reason){
console.log('[!] There was an error scanning memory');
},
onComplete: function()
{
console.log("All done")
}
});
}
由于这个生鲜App加壳了,并且so的加载也需要时间,所以我们在js中加上延迟10s。
setTimeout(main, 10000);
rc.jpg
这次效果不错。
三、总结
libflutter.so版本不同,不要硬搬教程的 pattern, 先确定你的手机环境是64位还是32位,然后用Ida打开Apk中的libflutter.so, 搜索字符串 ssl_client 来定位函数。
ADD R1, PC ; "ssl_client"
定位到这条指令所在的函数,然后取函数开头前10来个字节做 pattern 即可。
遇到问题多在lib里面翻翻,说不定有惊喜。
ffshow.jpeg问: "如何是道?" 曰:"只在目前。" 问:"为甚么不见?" 曰:"瞎。"