前言:
Flutter是谷歌的移动UI框架,可以快速在iOS和Android上构建高质量的原生用户界面。Flutter应用程序是用Dart编写的,这是一种由Google在7年多前创建的语言。
拦截 HTTPS 流量
我们不能通过将代理CA添加到系统CA存储来绕过SSL验证。为了解决这个问题,我们必须深入研究libflutter.so,并找出我们需要修补或hook的,以验证我们的证书。Dart使用Google的BoringSSL来处理与SSL相关的所有内容,幸运的是Dart和BoringSSL都是开源的。
当向Burp发送HTTPS流量时,Flutter应用程序实际上会抛出一个错误,我们可以将其作为起点:
E/flutter (10371): [ERROR:flutter/runtime/dart_isolate.cc(805)] Unhandled exception:
E/flutter (10371): HandshakeException: Handshake error in client (OS Error:
E/flutter (10371): NO_START_LINE(pem_lib.c:631)
E/flutter (10371): PEM routines(by_file.c:146)
E/flutter (10371): NO_START_LINE(pem_lib.c:631)
E/flutter (10371): PEM routines(by_file.c:146) E/flutter (10371): CERTIFICATE_VERIFY_FAILED: self signed certificate in certificate chain(handshake.cc:352))
我们需要做的第一件事是在BoringSSL库中找到这个错误。该错误实际上已向我们显示了触发错误的位置:handshake.cc:352。Handshake.cc确实是BoringSSL库的一部分,并且包含了执行证书验证的逻辑。第352行的代码如下所示,这很可能就是我们看到的错误。行数并不完全匹配,但这很可能是版本差异的结果。
if (ret == ssl_verify_invalid) { OPENSSL_PUT_ERROR(SSL, SSL_R_CERTIFICATE_VERIFY_FAILED); ssl_send_alert(ssl, SSL3_AL_FATAL, alert); }
这是ssl_verify_peer_cert函数的一部分,该函数返回ssl_verify_result_t枚举,它在第2290行的ssl.h中被定义:
enum ssl_verify_result_t BORINGSSL_ENUM_INT { ssl_verify_ok, ssl_verify_invalid, ssl_verify_retry, };
如果我们可以将ssl_verify_peer_cert的返回值更改为ssl_verify_ok (=0),那么我们就可以继续了。然而,在这个方法中有很多事情正在发生,Frida只能更改函数的返回值。如果我们更改这个值,它仍会因为上面的ssl_send_alert()函数调用而失败(相信我,我试过)。
让我们找一个更好的hook的方法。handshake.cc的代码段正上方是以下代码,这是验证链的方法的实际部分:
ret = ssl->ctx->x509_method->session_verify_cert_chain( hs->new_session.get(), hs, &alert) ? ssl_verify_ok : ssl_verify_invalid;
session_verify_cert_chain函数在第362行的ssl_x509.cc中被定义。此函数还返回原始数据类型(布尔值),并且是一个更好的hook选项。如果此函数中的检查失败,则它仅通过OPENSSL_PUT_ERROR报告问题,但它没有像ssl_verify_peer_cert函数那样的问题。OPENSSL_PUT_ERROR是err.h中第418行被定义的宏,其中包含源文件名。这与用于Flutter应用程序的错误的宏相同。
#define OPENSSL_PUT_ERROR(library, reason) \ ERR_put_error(ERR_LIB_##library, 0, reason, __FILE__, __LINE__)
既然我们知道要hook哪个函数了,现在我们要做的就是在libflutter.so中找到它。在session_verify_cert_chain函数中多次调用OPENSSL_PUT_ERROR宏,这样可以使用Ghidra轻松的找到正确的方法。因此,将库导入Ghidra,使用Search -> Find Strings并搜索x509.cc。
这里只有4个XREF,因此很容易找到一个看起来像session_verify_cert_chain的函数:
其中一个函数取2个整数,1个“undefined未定义”,并且包含一个对OPENSSL_PUT_ERROR(FUN_00316500)的单独调用。在我的libflutter.so版本中为FUN_0034b330。现在你要做的是从一个导出函数计算该函数的偏移量并将其hook。我通常会采用一种懒惰的方法,复制函数的前10个字节,并检查该模式出现的频率。如果它只出现一次,我就知道我找到了这个函数,并且我可以hook它。这很有用,因为我经常可以为库的不同版本使用相同的脚本。 使用基于偏移的方法,这更加困难。这很有用,因为我可以经常对不同版本的库使用相同的脚本。对于基于偏移量的方法,更加困难。
所以,现在我们让Frida在libflutter.so库中搜索这个模式:
Java.perform(function () {
var m = Process.findModuleByName("libflutter.so");
var pattern = "2d e9 f0 4f a3 b0 82 46 50 20 10 70";
var res = Memory.scan(m.base, m.size, pattern, {
onMatch: function(address, size){
console.log('[+] ssl_verify_result found at: ' + address.toString());
},
onError: function(reason){
console.log('[!] There was an error scanning memory');
},
onComplete: function() {
console.log("All done")
}
});
});
在我的Flutter应用程序上运行此脚本的结果如下:
[+] ssl_verify_result found at: 0x08647fd0
All done
现在,我们只需使用Interceptor将返回值更改为1 (true):
function hook_ssl_verify_result(address) {
Interceptor.attach(address, {
onEnter: function(args) {
console.log("Disabling SSL validation")
},
onLeave: function(retval) {
console.log("Retval: " + retval);
retval.replace(0x1);
}
});
}
Java.perform(function () {
var m = Process.findModuleByName("libflutter.so");
var pattern = "2d e9 f0 4f a3 b0 82 46 50 20 10 70";
var res = Memory.scan(m.base, m.size, pattern, {
onMatch: function(address, size){
console.log('[+] ssl_verify_result found at: ' + address.toString());
hook_ssl_verify_result(address.add(0x01));
},
onError: function(reason){
console.log('[!] There was an error scanning memory');
},
onComplete: function() {
console.log("All done")
}
});
});
设置Drony并使用此脚本Hook应用程序后,我们就可以抓到包了: