Android系統(tǒng)HTTPS原理及抓包問題分析

每次分析app時(shí)都免不了抓包這一環(huán)節(jié)。想要抓到包就要看app采取的什么通信協(xié)議了。由于http存在的種種不安全性，當(dāng)前大部分的app基本都已經(jīng)是采用https的通信協(xié)議。所以連抓包也變得越來越不友好。不論是使用burpsuite還是fiddler，當(dāng)前的抓包工具基本原理都是采用的中間人的方式。原理就是這些工具作為中間人，對客戶端偽裝成服務(wù)端，對服務(wù)端偽裝成客戶端。

HTTPS

http即超文本傳輸協(xié)議，是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議 ，是一個(gè)客戶端和服務(wù)器端請求和應(yīng)答的標(biāo)準(zhǔn)（TCP），用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議，它可以使瀏覽器更加高效，使網(wǎng)絡(luò)傳輸減少。然而他也存在著一些缺點(diǎn)，比如通信使用明文，內(nèi)容極易被竊聽；不驗(yàn)證通信方的身份，因此有可能遭遇偽裝；無法證明報(bào)文的完整性，所以有可能遭到篡改。因此，http的加強(qiáng)版https應(yīng)運(yùn)而生。https中的s是ssl或者tls，就是在原HTTP的基礎(chǔ)上加上一層用于數(shù)據(jù)加密、解密、身份認(rèn)證的安全層。

https需要CA證書，我們之前說的中間人需要對客戶端偽裝成真正的服務(wù)端，要求就是當(dāng)客戶端向我們發(fā)送網(wǎng)絡(luò)請求時(shí)，我們必須能夠給指定域名簽發(fā)公鑰證書，且公鑰證書能夠通過系統(tǒng)的安全校驗(yàn)。對于我們是不是真正的客戶端，通常來說服務(wù)器是不太會(huì)關(guān)心的，他是不會(huì)去關(guān)心你是谷歌瀏覽器還是百度瀏覽器，當(dāng)然了也會(huì)有例外。接下來要說的雙向驗(yàn)證就是如此。

單向驗(yàn)證與雙向驗(yàn)證

首先了解一下什么是https的單雙向驗(yàn)證，主要說一下雙向驗(yàn)證，雙向驗(yàn)證相比較單向驗(yàn)證，增加了服務(wù)端對客戶端的認(rèn)證。

雙向認(rèn)證詳細(xì)過程如下：

SSL pinning

SSL Pinning是一種防止中間人攻擊的技術(shù)，主要機(jī)制是在客戶端發(fā)起請求–>收到服務(wù)器發(fā)來的證書進(jìn)行校驗(yàn)，如果收到的證書不被客戶端信任，就直接斷開連接不繼續(xù)求情?？梢园l(fā)現(xiàn)中間人攻擊的要點(diǎn)的偽造了一個(gè)假的服務(wù)端證書給了客戶端，客戶端誤以為真。解決思路就是，客戶端也預(yù)置一份服務(wù)端的證書，比較一下就知道真假了。

證書鎖定（Certificate Pinning） 和公鑰鎖定（ Public Key Pinning）

證書鎖定

需要在客戶端代碼內(nèi)置僅接受指定域名的證書，而不接受操作系統(tǒng)或?yàn)g覽器內(nèi)置的CA根證書對應(yīng)的任何證書，通過這種授權(quán)方式，保障了APP與服務(wù)端通信的唯一性和安全性，因此客戶端與服務(wù)端（例如API網(wǎng)關(guān)）之間的通信是可以保證絕對安全。但是CA簽發(fā)證書都存在有效期問題，缺點(diǎn)是在
證書續(xù)期后需要將證書重新內(nèi)置到APP中。

公鑰鎖定

提取證書中的公鑰并內(nèi)置到客戶端中，通過與服務(wù)器對比公鑰值來驗(yàn)證連接的正確性。制作證書密鑰時(shí)，公鑰在證書的續(xù)期前后都可以保持不變（即密鑰對不變），所以可以避免證書有效期問題，一般推薦這種做法。

雙向驗(yàn)證與SSL pinning的區(qū)別

突破雙向認(rèn)證抓包

由于私鑰是受密碼保護(hù)的，所以主要的逆向目標(biāo)就是找到key--密碼?？戳撕枚啾砀绲奈恼?，終于學(xué)會(huì)了一些奇淫巧計(jì)。由于當(dāng)前的app都會(huì)有加殼混淆等等防護(hù)手段。所以可以到一些應(yīng)用商店（如360手機(jī)助手，豌豆莢等等）下載應(yīng)用的歷史版本。低版本的保護(hù)不多分析難度相對較低。容易找到目標(biāo)。
首先是到./assets目錄下尋找證書。
確實(shí)是有密碼保護(hù)的。根據(jù)證書名找到相關(guān)代碼


繼續(xù)往下看可以看到一些相關(guān)信息。
這個(gè)getSocketFactory就是關(guān)鍵函數(shù)

sSLContext = SSLContext.getInstance("TLS");
????????????????InputStream open = context.getAssets().open("client.pfx");
????????????????KeyStore instance = KeyStore.getInstance("PKCS12");
????????????????instance.load(open, toCharArray);
????????????????KeyManagerFactory instance2 = KeyManagerFactory.getInstance("X509");
????????????????instance2.init(instance, toCharArray);

try?{
?????????char[] toCharArray = EncryptUtils.getHttpSign(context).toCharArray();
?????????if?(Arrays.hashCode(toCharArray) != -551029868) {
?????????s.d("pku %s is not valid", new?Object[]{Arrays.toString(toCharArray)});
??????????}
?????????sSLContext = SSLContext.getInstance("TLS");
?????????InputStream open = context.getAssets().open("client.pfx");
?????????KeyStore instance = KeyStore.getInstance("PKCS12");
?????????instance.load(open, toCharArray);
?????????KeyManagerFactory instance2 = KeyManagerFactory.getInstance("X509");
?????????instance2.init(instance, toCharArray);
}

可以看到EncryptUtils函數(shù)。
看到native需要分析so層。進(jìn)入so后解密即可找到。
找到密碼后，輸入密碼即可。

使用xposed hook繞過SSL證書驗(yàn)證

在全球最大的同性交流網(wǎng)站某hub 下載JustTrustMe
然后在xposed上安裝這個(gè)框架就可以了。JustTrustMe的原理就是將各種已知的的HTTP請求庫中用于校驗(yàn)證書的API都進(jìn)行Hook，使無論是否是可信證書的情況，校驗(yàn)結(jié)果返回都為正常狀態(tài)，從而實(shí)現(xiàn)繞過證書檢查的效果。

總結(jié)

抓包是進(jìn)行app逆向分析的第一步，走好每一步才能走向最后的成功。

原文：https://www.52pojie.cn/thread-1213657-1-1.html

對逆向有興趣的同學(xué)，后臺(tái)回復(fù)【逆向】和【反編譯】即可獲取相關(guān)工具和視頻教程。

PS：逆向雖好，但不要貪杯哦