android - 应用程序中的某些请求未被查尔斯代理解密
问题描述
我目前正在尝试分析来自官方 Home Connect 应用程序的请求。
然而,我遇到了一个非常奇怪的问题,大多数请求通过 Charles 解密(由于 FRIDA“ssl-unpinner”脚本附加到应用程序),但是,有些请求没有。
我的设置如下:
一个真正的 android 设备,以 Magisk 为根,运行 frida 服务器和应用程序,其代理配置为通过 Charles 代理。
然后告诉 Frida 使用以下脚本附加到应用程序:
/*
Android SSL Re-pinning frida script v0.2 030417-pier
$ adb push burpca-cert-der.crt /data/local/tmp/cert-der.crt
$ frida -U -f it.app.mobile -l frida-android-repinning.js --no-pause
https://techblog.mediaservice.net/2017/07/universal-android-ssl-pinning-bypass-with-frida/
UPDATE 20191605: Fixed undeclared var. Thanks to @oleavr and @ehsanpc9999 !
*/
setTimeout(function(){
Java.perform(function (){
console.log("");
console.log("[.] Cert Pinning Bypass/Re-Pinning");
var CertificateFactory = Java.use("java.security.cert.CertificateFactory");
var FileInputStream = Java.use("java.io.FileInputStream");
var BufferedInputStream = Java.use("java.io.BufferedInputStream");
var X509Certificate = Java.use("java.security.cert.X509Certificate");
var KeyStore = Java.use("java.security.KeyStore");
var TrustManagerFactory = Java.use("javax.net.ssl.TrustManagerFactory");
var SSLContext = Java.use("javax.net.ssl.SSLContext");
// Load CAs from an InputStream
console.log("[+] Loading our CA...")
var cf = CertificateFactory.getInstance("X.509");
try {
var fileInputStream = FileInputStream.$new("/data/local/tmp/cert-der.crt");
}
catch(err) {
console.log("[o] " + err);
}
var bufferedInputStream = BufferedInputStream.$new(fileInputStream);
var ca = cf.generateCertificate(bufferedInputStream);
bufferedInputStream.close();
var certInfo = Java.cast(ca, X509Certificate);
console.log("[o] Our CA Info: " + certInfo.getSubjectDN());
// Create a KeyStore containing our trusted CAs
console.log("[+] Creating a KeyStore for our CA...");
var keyStoreType = KeyStore.getDefaultType();
var keyStore = KeyStore.getInstance(keyStoreType);
keyStore.load(null, null);
keyStore.setCertificateEntry("ca", ca);
// Create a TrustManager that trusts the CAs in our KeyStore
console.log("[+] Creating a TrustManager that trusts the CA in our KeyStore...");
var tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
var tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
tmf.init(keyStore);
console.log("[+] Our TrustManager is ready...");
console.log("[+] Hijacking SSLContext methods now...")
console.log("[-] Waiting for the app to invoke SSLContext.init()...")
SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").implementation = function(a,b,c) {
console.log("[o] App invoked javax.net.ssl.SSLContext.init...");
SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").call(this, a, tmf.getTrustManagers(), c);
console.log("[+] SSLContext initialized with our custom TrustManager!");
}
});
},0);
我知道它有效,因为当我在 Chrome 中访问网站时,它不会警告我不安全的 HTTPS,并且它自豪地显示它已验证 SSL 连接是安全的(见截图一)。
问题
我可以在 Charles 中看到应用程序发出的 OAuth2 请求之一(见屏幕截图二),这是为 OAuth2 登录页面提供服务的请求。
屏幕截图三显示了我真正感兴趣的请求(为访问和刷新令牌打开了授权码),失败并显示“handshake_failure (40) - 无法协商一组可接受的安全参数,这可能意味着没有密码套件共同”。
好的和失败的请求中使用的密码套件都是“TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256”,所以我认为这不是问题所在。
你知道发生了什么事吗?这是某种未知且奇怪的方式来真正强制 SSL 证书与存储的证书匹配吗?我一无所知。任何帮助,将不胜感激。
谢谢!
截图
截图 1
截图 2
截图 3
解决方案
推荐阅读
- html - base64到图像不转换
- php - 如何在 PHP mysql 中计算已读和未读消息
- pyspark - 使用 pySpark 将部分文件从 hdfs 读入数据帧
- azure - Azure 管道:错误 MSB4019 WebApplication.targets 未找到
- windows - 为 IOCP 创建线程池
- angular - Angular cli 在 app.component.html 中添加 css 和额外的 html
- flutter - Listview.builder 中的小部件在 Row 中的空间不均匀
- node.js - Mongoose:如何只填充、排序和返回嵌套对象?
- reactjs - ESLint 不建议 useEffect 必要的订阅者(CRA + TS + ESLint + Prettier)
- java - 从 SQLITE 回收器视图获取图像路径错误