Android系统应用的抓包与防护

最近对抓包这块比较感兴趣，在被问到抓包时的一些问题：证书、单向认证、双向认证怎么处理，以及绕过背后的原理时，一时很难说清个大概，于是整理了下思绪，将这些知识进行总结和整理，末尾再对一个APP进行实战抓包。

一、单向认证与双向认证

先熟悉几个概念：

• 对称加密与非对称加密
  对称加密：加密和解密使用同一个秘钥。加密和解密速度很快，常见的如AES。
  非对称加密：加密和解密使用不同秘钥，这两个秘钥成双成对，叫做公钥和秘钥。数据使用公钥加密后，使用私钥进行解密，使用私钥加密，那就用公钥解密。一般是把公钥给别人，让别人进行加密后再传给自己用私钥解密，比如RSA。

• CA证书相关知识
  CA证书是由CA机构发布的数字证书。其内容包含：电子签证机关的信息、公钥客户信息、公钥、签名和有效期。这里的公钥服务端的公钥，签名是指：hash散列函数计算公开的明文信息的信息摘要，可以理解成身份证信息，然后CA的私钥对信息摘要进行加密，加完密之后就是签名。
  证书 = 公钥+信息摘要+签名
  由于在客户端操作系统中就预留了CA的公钥，所以支持解密签名。

有了这些概念，来看看https是怎么做到安全认证的。

1、HTTPS单向认证

这个过程图中都可以看得出来它的流程是啥，对于我的理解是，它是服务器将证书信息全部发到客户端这来，因为客户端系统中拥有自带的CA公钥，可以解密server发来的数字签名拿到server给的公钥，然后产生随机数(F秘钥)经由server给的公钥进行加密，然后发给服务器使用秘钥得到F秘钥，随后两者就用F秘钥进行交流。

在单向认证的实现上，占据主动性的还是客户端，因为只要客户端认可了server发来的签名和认证，然后直接告诉服务器我们下次使用什么秘钥进行通讯就行了。单向认证是在客户端上验证的。

利用单向认证来进行反抓包。

可以利用SSL-Pinning的技术来进行反抓包。中间人攻击的要点是伪造了一个假的服务器证书，让客户端信以为真，那么我在客户端内置了一个server的证书，两者进行比较一下就知道是不是真的了。

突破思路：有函数会对内置证书或者公钥进行比照验证，如果让它一直返回通过，就可以绕过了。xpose+justTrustme模块，它将所有的HTTP请求库中用于校验证书的API都进行HOOK，将结果返回正常，所以基于这个思路，xpose+justTruseme就完成了对单向认证的突破。

2、双向认证

双向认证和单向认证过程差不多，但是多了客户端向server发送证书并校验的过程。然后客户端按照服务器约定的方式将F秘钥发给server，双方按照这个方式来进行通讯。

利用双向认证来进行反抓包。

防抓包策略，将证书进行加密或者伪造，这样没有秘钥就无法打开证书内容。也就无法使用客户端的证书。

突破方式：
一般在app/assert、或者raw，搜索.p12或者.pks，直接逆向APK，找到对应加载证书和密码的地方，将其密码打印出来。

二、实战soul

网上也有关于soul的抓包破解，但是都是基于soul未加壳的老版本，直接反编译，然后IDA找到native层的秘钥硬编码，我这里针对soul最新版的双向认证破解。

直接抓soul的包，返回400。

使用frida-unpack砸壳成功。

将砸壳后的dex一一进行查找，搜索"client.p12"。

发现调用加载的so层函数，丢入IDA中试图找到秘钥。

在IDA中找到getStorePasswd函数。

F5伪代码查看。

发现秘钥并没有硬编码，但是我们回头看加载证书和密码处的代码。

使用jeb反编译，发现加载点，根据参数追踪，最终定位到了SoulNetworkSDK函数a，然后使用frida 编写脚本hook打印出load的第二个参数(密码)。

'use strict'
//frida -U -f cn.soulapp.android -l password.js --no-pause
//adb forward tcp:27042 tcp:27042
//adb forward tcp:27043 tcp:27043
if(Java.available){
    Java.perform(function(){
        var application = Java.use("android.app.Application");
        console.log("application: "+application);
        application.attach.overload('android.content.Context').implementation = function(context){
            var result = this.attach(context);
            var classloader = context.getClassLoader();
            Java.classFactory.loader = classloader;

            //
            var soulNetworkSDK = Java.classFactory.use("cn.soulapp.android.net.SoulNetworkSDK");
            console.log('SDK = ' + soulNetworkSDK);

            soulNetworkSDK.a.overload("java.lang.String").implementation = function(arg1){
                console.log('进入了password环节==========')
                var password = this.a(arg1);
                console.log('密码= '+password);
                console.log('退出了password环节==========')
            }
        }

    });
}

将证书导入到burp中

填入证书所在位置和填入密码即可。

不会再出现400了，成功绕开soul的双向认证。