另一个生鲜App 抓包和mfsig签名分析(二) 针对flutter抓包

公众号: 奋飞安全
• 阅读 943

一、目标

拿到App之后,抓不到包是件很令人抓狂的事情。今天我们通过排除法来分析抓包失败的原因,并提供一个通用的 针对flutter抓包 的方案。

  • 抓包工具和环境介绍
  • 抓包失败的几种原因和对应的解决方案
  • 针对flutter抓包

今天我们分析的还是 某生鲜App v9.9.59

二、步骤

抓包工具和环境介绍

飞哥手头有两个不同的抓包环境,一台手机是通过手工设置代理到pc上,通过 mitmproxy 来抓包,另一台手机是不需要手工设置代理,通过手机上的 #Drony# 启动一个vpn,然后PC上用 Charles 来抓包。

两个环境的共同点是:都需要把对应的证书放到系统证书里面。

因为https需要通过证书获取的公钥来加密数据,而抓包工具伪装成中间人服务器,让App使用抓包工具的证书来实现分析https数据包的目的。

我们后面的故事都是围绕这个 证书 来展开。

抓包失败的几种原因和对应的解决方案

不走系统代理

最简单的抓包失败的原因是:app检测是否设置了代理,如果设置了,就不走这个代理,继续直接访问。

这样我们的第一种抓包环境就失效了。解决方法就是用第二种抓包环境,app发现不了被代理了。

使用QUIC或者Spdy协议

这个在某手App里出现过,我们的解决方法是利用App自身的配置,强制它继续使用https协议来解决。

SSL证书双向认证

[http://91fans.com.cn/post/socialsignone/] (http://91fans.com.cn/post/socialsignone/) 里介绍过,把客户端证书搞出来,然后导入到抓包软件里解决。

Java层的 SSL Pinning

APP代码内置仅接受指定域名的证书,而不接受操作系统或浏览器内置的CA根证书对应的任何证书,通过这种授权方式,保障了APP与服务端通信的唯一性和安全性。

Xposed的插件 JustTrustMe和SSLUnPinning 还有Objection的 android sslpinning disable 命令都是对付它的。

Native层的 SSL Pinning

Native层也就是so里面做的SSL Pinning,目前没有通用的解决方案,只能见招拆招,具体情况具体去搞。

今天我们遇到的就是 so里面做的SSL Pinning,导致抓不到包。

针对flutter抓包

在对这个生鲜App的分析中,我们发现只有很少的数据包被截获,明显有很多包被漏掉了。

所以毫不犹豫的上第二台手机了。

另一个生鲜App 抓包和mfsig签名分析(二) 针对flutter抓包

这次要好一些,但是还是有些图片无法显示。应该还是有些包漏了。

我们用排除法,搜quic、spdy,然后再试试是不是ssl证书双向认证。

坏消息是都不对。 好消息是我们发现它的lib文件夹里面有个 #libflutter.so#。

早就听说flutter不好搞了。既然确定了它的身份,就好说了。

看雪上找到了一篇文章

https://bbs.pediy.com/thread-261941.htm

function hook_ssl_verify_result(address)
{
    Interceptor.attach(address, {
        onEnter: function(args) {
            console.log("Disabling SSL validation")
        },
        onLeave: function(retval)
        {
            console.log("Retval: " + retval)
            retval.replace(0x1);
        }
    });

}

function disablePinning()
{
    var m = Process.findModuleByName("libflutter.so");
    console.log(m);

    var pattern = "2d e9 f0 4f a3 b0 81 46 50 20 10 70"

    var res = Memory.scan(m.base, m.size, pattern, {
        onMatch: function(address, size){
            console.log('[+] ssl_verify_result found at: ' + address.toString());
            // Add 0x01 because it's a THUMB function
            hook_ssl_verify_result(address.add(0x01));
        }, 

        onError: function(reason){
            console.log('[!] There was an error scanning memory');
        },
        onComplete: function()
        {
            console.log("All done")
        }
    });
}

由于这个生鲜App加壳了,并且so的加载也需要时间,所以我们在js中加上延迟10s。

setTimeout(main, 10000);

另一个生鲜App 抓包和mfsig签名分析(二) 针对flutter抓包

这次效果不错。

三、总结

libflutter.so版本不同,不要硬搬教程的 pattern, 先确定你的手机环境是64位还是32位,然后用Ida打开Apk中的libflutter.so, 搜索字符串 ssl_client 来定位函数。

ADD R1, PC  ; "ssl_client"

定位到这条指令所在的函数,然后取函数开头前10来个字节做 pattern 即可。

遇到问题多在lib里面翻翻,说不定有惊喜。

另一个生鲜App 抓包和mfsig签名分析(二) 针对flutter抓包

问: "如何是道?" 曰:"只在目前。" 问:"为甚么不见?" 曰:"瞎。"

TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路,如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担,和本文以及作者没关系,本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取,欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全,最新技术干货实时推送

点赞
收藏
评论区
推荐文章
blmius blmius
3年前
MySQL:[Err] 1292 - Incorrect datetime value: ‘0000-00-00 00:00:00‘ for column ‘CREATE_TIME‘ at row 1
文章目录问题用navicat导入数据时,报错:原因这是因为当前的MySQL不支持datetime为0的情况。解决修改sql\mode:sql\mode:SQLMode定义了MySQL应支持的SQL语法、数据校验等,这样可以更容易地在不同的环境中使用MySQL。全局s
某车联网App 通讯协议加密分析
一、目标李老板:最近刚买了辆新车,他带的App挺有意思,要不要盘一盘?奋飞:我去,加壳了,还挺有意思,搞一搞。v6.1.0二、步骤抓包我的抓包环境是Mac10.14.6httpToolKit,这一步很顺利的抓到包了。1:main可以看到,http请求和返回值都是加密的,我们的目标就是这个 request 和 response的来历的。脱壳
雷厉风行 雷厉风行
1年前
Mac程序员开发必备-Charles for Mac 完美激活使用-抓包代理调试工具、类 Fiddler
CharlesforMac是一款完美激活使用的抓包代理调试工具,被誉为类Fiddler的大师级工具,是Mac程序员开发必备的一款集成环境。它可以用于HTTP和HTTPS网络通信抓包和分析,极大地简化了程序员的开发调试工作。
另一个生鲜App 抓包和mfsig签名分析(一)
一、目标市面上生鲜App一大堆,买菜也确实是高频次的刚需,这些生鲜App还都有一些有意思的共性:大都加壳了大都不好抓包今天我们分析的是某生鲜Appv9.9.59的mfsig签名。二、步骤上jadx看看这么少的包名和类名,基本可以断定是加壳了。那就先复习下BlackDex脱壳脱完壳的结果拖到PC上,赶紧jadx一下,搜一搜"mfsig"
某音乐App 抓包和signature签名分析
一、目标李老板:奋飞呀,最近我想下个歌,现在听歌软件都这么顽固了,包都抓不到?奋飞:抓不到包的原因太多了,咱们得用排除法分析下。某音乐App10.8.4二、步骤排查协议李老板也跟我们混了这么多期,所以基本排除抓包环境的问题。那么另一个可能就是像某手使用的quic协议或者某鱼使用的spdy协议了。上jadx搜一下"quic",如果搜不到还可
Stella981 Stella981
3年前
Android端Charles抓包
目录介绍01.下载安装02.抓包代理设置03.抓包Https操作04.抓包原理介绍05.抓包数据介绍06.常见问题总结07.Android拦截抓包01.下载安装下载地址(下载对应的平台软件即可)https://www.charlesp
Wesley13 Wesley13
3年前
Linux服务器下的HTTP抓包分析
说到抓包分析,最简单的办法莫过于在客户端直接安装一个Wireshark或者Fiddler了,但是有时候由于客户端开发人员(可能是第三方)知识欠缺或者其它一些原因,无法顺利的在客户端进行抓包分析,这种情况下怎么办呢?本文中,我们将给大家介绍在服务端进行抓包分析的方法,使用tcpdump抓包,配合Wireshark对HTTP请求进行分析,非常简单有效。本
Wesley13 Wesley13
3年前
mysql设置时区
mysql设置时区mysql\_query("SETtime\_zone'8:00'")ordie('时区设置失败,请联系管理员!');中国在东8区所以加8方法二:selectcount(user\_id)asdevice,CONVERT\_TZ(FROM\_UNIXTIME(reg\_time),'08:00','0
Wesley13 Wesley13
3年前
IP 和 TCP 抓包分析实验
IP和TCP抓包分析实验!IP和TCP抓包分析实验(https://s4.51cto.com/images/blog/202012/06/e1730643da9aa4348d66b90ddd5a3626.png?xossprocessimage/watermark,size_16,text_QDUxQ
Wesley13 Wesley13
3年前
MySQL部分从库上面因为大量的临时表tmp_table造成慢查询
背景描述Time:20190124T00:08:14.70572408:00User@Host:@Id:Schema:sentrymetaLast_errno:0Killed:0Query_time:0.315758Lock_
公众号:  奋飞安全
公众号: 奋飞安全
Lv1
奋飞,国家高级信息系统项目管理师,独立安全研究员。 http://91fans.com.cn/
文章
60
粉丝
4
获赞
44