安卓应用通信安全（四）

本文主要介绍绕过 SSL 校验的相关方法和知识。文中用到的 vuls 漏洞应用及工具可以在 https://github.com/AndroidAppSec/resources 中下载。

四、绕过 SSL 校验

通过前几篇的介绍，我们了解到，对于 SSL 可以通过可信 CA、hostname、SSL Pinning 等进行校验。校验可以在 Dalvik 层实现，也可以在 native 层实现。本文我们主要介绍在 Dalvik 层绕过校验的方式。

1、当前基本情况

主要使用到 vuls 漏洞应用的以下功能：

在设置手机代理为 burp，并且不安装 burp 证书时，基本情况如下表所示。

功能

校验情况是否能抓取数据

默认请求校验CA和host否

不做任何校验无是

只校验 HOST校验 host否

OKHTTPSSL Pinning否

2、重打包

APK 重打包是指将 APK 文件反编译成 smali 代码之后，修改其中的关键逻辑，然后再重新打包成 APK 文件的过程。当我们可以拿到要分析 APP 的 APK 文件时候，可以考虑使用这种方式来绕过 SSL 校验。

回顾一下“只校验 HOST”功能的代码：

我们要请求的域名是 www.baidu.com，而代码里面去校验域名是否为 www.google.com。

为了绕过此处的校验，使用 Androidkiller 打开 APK 文件，搜索 google 关键字，找到以下的关键代码。将 google 改为 baidu，并保存。

点击下图的编译，重新打包apk。

覆盖安装之后，可以看到成功能够抓到数据了

同样，为了绕过 SSL Pinning，回顾一下校验代码如下：

反编译后，定位到以下关键代码，

将红框中的域名改为无意义的域名即可，比如 www.nothing.com。重打包覆盖安装，并且安装 burp 证书之后，即可抓到请求数据。

3、Hook

HOOK 技术可以实现无需重打包即可修改程序的逻辑，于是我们可以使用 HOOK 技术来绕过 SSL 校验的逻辑。安卓平台下主流的 HOOK 框架有 xposed、frida、substrate 等。本文主要介绍如何使用 xposed 框架来绕过 SSL 校验。使用 Hook 技术，需要有 root 权限。

首先，安装 xposed 框架。执行命令

adb install XposedInstaller_3.1.5.apk ，安装成功如下：

目前有一些基于 xposed 的绕过 SSL 校验的插件，比如JustTrustMe、SSLKiller、SSLUnpinning 等。

于是我们安装上了JustTrustMe 插件。

重启之后，抓包情况如下：

功能

校验情况是否能抓取数据

默认请求校验CA和host是

不做任何校验无是

只校验 HOST校验 host否

OKHTTPSSL Pinning是

确实可以成功抓到“默认请求”和“OKHTTP”两个功能的数据包了，但是“只校验 HOST”功能却还不能抓包。

在 github 上看了一下 JustTrustMe 最后一次更新是在 26 Jun 2017，已经一年多没有更新了。那么初步分析是，我们的请求没有被JustTrustMe Hook到。打印一下错误日志，发现确实是提示 hostname 校验失败。

定位到错误代码如下：

源码中明明是HttpsURLConnection，而错误日志中却显示的是com.android.okhttp.internal.http.HttpsURLConnectionImpl。查阅资料之后，发现是安卓4.4之后就在源码中用 okhttp 替换了 HttpsURLConnection，作为 URLConnection 的实现。而JustTrustMe 中没有相应的 hook。

于是我们添加上相应的 hook 即可，代码如下：

重新安装修改后的 JustTrustMe 即可正常抓包。

4、后记

今天主要讲了两种绕过的方式：重打包和 Hook。两个各有优劣：重打包无需 root 权限，但需要对 smali 代码有一定的了解，可能还会需要去绕过一些签名的限制；Hook编码较简单，无需重新签名，无需对 smali 代码深入了解，但是需要有root权限才可以。在实战中，可以自行选择自己喜欢的方式，或者两个结合使用。

参考：

https://github.com/Fuzion24/JustTrustMe

https://github.com/ac-pm/SSLUnpinning_Xposed

https://github.com/liuyufei/SSLKiller

欢迎关注微信公众号 “安卓APP安全测试”