Android hook方式抓包
创始人
2024-04-06 18:04:15
0

前言

在跟大佬学习的时候发现另一种抓包方式,采用frida hook socket 字节流即可,哪里还需要管什么证书绑定,双向认证?

HTTP抓包原理

样本案例

class MainActivity : AppCompatActivity() {override fun onCreate(savedInstanceState: Bundle?) {super.onCreate(savedInstanceState)setContentView(R.layout.activity_main)findViewById

我们分析HttpURLConnection如何发送网络请求才能明白一些hook点,这里使用Android Studio自带的profiler。

在这里插入图片描述
在这里插入图片描述

当然上面分析比较多路径,这里采用别的方式分析,我们知道http会通过socket进行通信必然要通过socket输入输出流,然后断点获取输入流和输出流的地方即可。

在这里插入图片描述

可以看到最终返回的时java.net.SocketInputStream.
在这里插入图片描述
然后你只需要在下一个断点在这个类所有读取方法上
在这里插入图片描述

可以看到会走到其相关read
在这里插入图片描述
我们观察下这个字节数组数据方法

在这里插入图片描述
在这里插入图片描述
可以看到这个就是我们需要的相关数据,当然IDE显示的数据可能不是很正确。因为结构体body是被gzip压缩的。

所以我们这里使用frida hook这个类的读写函数即可。对http请求也如法复制即可。所以大佬根据上面的原理写出了如下的代码

//一个16进制打印工具
function jhexdump(array,off,len) {var ptr = Memory.alloc(array.length);for(var i = 0; i < array.length; ++i)Memory.writeS8(ptr.add(i), array[i]);//console.log(hexdump(ptr, { offset: off, length: len, header: false, ansi: false }));//console.log(hexdump(ptr, { offset: 0, length: array.length, header: false, ansi: false }));
}function hook_socket(){Java.perform(function(){Java.use("java.net.SocketOutputStream").write.overload('[B', 'int', 'int').implementation = function(bytearry,int1,int2){var result = this.write(bytearry,int1,int2);var ByteString = Java.use("com.android.okhttp.okio.ByteString");console.log("write bytearray contents=>\r\n", ByteString.of(bytearry).hex())//console.log(jhexdump(bytearry,int1,int2));//console.log(jhexdump(bytearry));return result;}Java.use("java.net.SocketInputStream").read.overload('[B', 'int', 'int').implementation = function(bytearry,int1,int2){var result = this.read(bytearry,int1,int2);var ByteString = Java.use("com.android.okhttp.okio.ByteString");console.log("read bytearray contents=>\r\n", ByteString.of(bytearry).hex())//console.log(jhexdump(bytearry,int1,int2));// console.log(jhexdump(bytearry));return result;}})
}function main(){hook_socket()
}
setImmediate(main)

我们举例说明:
在这里插入图片描述

将上面的16进制拷贝到010editor

在这里插入图片描述
其中响应体被gzip压缩

在这里插入图片描述
我们把压缩内容内容保存的桌面取名httpcontent.gz

在这里插入图片描述
在这里插入图片描述
解压得到正确输出

HTTPS抓包原理

如法炮制断点输出流写入
在这里插入图片描述
在这里插入图片描述
如果无法关联源码可以请导入AOSP中extern/okhttp 源码(需要改包名等,内部使用jarjar.jar工具替换的)

在这里插入图片描述

com.android.org.conscrypt.ConscryptFileDescriptorSocket$SSLOutputStream

输入流同理
在这里插入图片描述
在这里插入图片描述

在Android10 上面的代码可能有变化

以下为大佬写的写的相关代码

function jhexdump(array,off,len) {var ptr = Memory.alloc(array.length);for(var i = 0; i < array.length; ++i)Memory.writeS8(ptr.add(i), array[i]);//console.log(hexdump(ptr, { offset: off, length: len, header: false, ansi: false }));//console.log(hexdump(ptr, { offset: 0, length: array.length, header: false, ansi: false }));
}function hook_socket(){Java.perform(function(){console.log("hook_socket;")Java.use("java.net.SocketOutputStream").write.overload('[B', 'int', 'int').implementation = function(bytearry,int1,int2){var result = this.write(bytearry,int1,int2);var ByteString = Java.use("com.android.okhttp.okio.ByteString");console.log("write bytearray contents=>\r\n", ByteString.of(bytearry).hex())//console.log(jhexdump(bytearry,int1,int2));//console.log(jhexdump(bytearry));return result;}Java.use("java.net.SocketInputStream").read.overload('[B', 'int', 'int').implementation = function(bytearry,int1,int2){var result = this.read(bytearry,int1,int2);var ByteString = Java.use("com.android.okhttp.okio.ByteString");console.log("read bytearray contents=>\r\n", ByteString.of(bytearry).hex())//console.log(jhexdump(bytearry,int1,int2));// console.log(jhexdump(bytearry));return result;}})
}function hook_SSLsocketandroid8(){Java.perform(function(){console.log("hook_SSLsocket")Java.use("com.android.org.conscrypt.ConscryptFileDescriptorSocket$SSLOutputStream").write.overload('[B', 'int', 'int').implementation = function(bytearry,int1,int2){var result = this.write(bytearry,int1,int2);//console.log("HTTPS write result,bytearry,int1,int2=>",result,bytearry,int1,int2)var ByteString = Java.use("com.android.okhttp.okio.ByteString");console.log("bytearray contents=>", ByteString.of(bytearry).hex())//console.log(jhexdump(bytearry,int1,int2));console.log(jhexdump(bytearry));return result;}Java.use("com.android.org.conscrypt.ConscryptFileDescriptorSocket$SSLInputStream").read.overload('[B', 'int', 'int').implementation = function(bytearry,int1,int2){var result = this.read(bytearry,int1,int2);console.log("HTTPS read result,bytearry,int1,int2=>",result,bytearry,int1,int2)var ByteString = Java.use("com.android.okhttp.okio.ByteString");//console.log("bytearray contents=>", ByteString.of(bytearry).hex())//console.log(jhexdump(bytearry,int1,int2));//console.log(jhexdump(bytearry));return result;}})
}function hook_SSLsocket2android10(){Java.perform(function(){console.log(" hook_SSLsocket2")var ByteString = Java.use("com.android.okhttp.okio.ByteString");Java.use("com.android.org.conscrypt.NativeCrypto").SSL_write.implementation = function(long,NS,fd,NC,bytearray,int1,int2,int3){var result = this .SSL_write(long,NS,fd,NC,bytearray,int1,int2,int3);console.log("SSL_write(long,NS,fd,NC,bytearray,int1,int2,int3),result=>",long,NS,fd,NC,bytearray,int1,int2,int3,result)console.log(ByteString.of(bytearray).hex());return result;}Java.use("com.android.org.conscrypt.NativeCrypto").SSL_read.implementation = function(long,NS,fd,NC,bytearray,int1,int2,int3){var result = this .SSL_read(long,NS,fd,NC,bytearray,int1,int2,int3);console.log("SSL_read(long,NS,fd,NC,bytearray,int1,int2,int3),result=>",long,NS,fd,NC,bytearray,int1,int2,int3,result)console.log(ByteString.of(bytearray).hex());return result;}      })
}function main(){console.log("Main")// hook_socket();hook_SSLsocketandroid8();//hook_SSLsocket2android10();
}
setImmediate(main)

相关内容

热门资讯

AWSECS:访问外部网络时出... 如果您在AWS ECS中部署了应用程序,并且该应用程序需要访问外部网络,但是无法正常访问,可能是因为...
AWSElasticBeans... 在Dockerfile中手动配置nginx反向代理。例如,在Dockerfile中添加以下代码:FR...
AWR报告解读 WORKLOAD REPOSITORY PDB report (PDB snapshots) AW...
AWS管理控制台菜单和权限 要在AWS管理控制台中创建菜单和权限,您可以使用AWS Identity and Access Ma...
北信源内网安全管理卸载 北信源内网安全管理是一款网络安全管理软件,主要用于保护内网安全。在日常使用过程中,卸载该软件是一种常...
​ToDesk 远程工具安装及... 目录 前言 ToDesk 优势 ToDesk 下载安装 ToDesk 功能展示 文件传输 设备链接 ...
Azure构建流程(Power... 这可能是由于配置错误导致的问题。请检查构建流程任务中的“发布构建制品”步骤,确保正确配置了“Arti...
群晖外网访问终极解决方法:IP... 写在前面的话 受够了群晖的quickconnet的小水管了,急需一个新的解决方法&#x...
AWSECS:哪种网络模式具有... 使用AWS ECS中的awsvpc网络模式来获得最佳性能。awsvpc网络模式允许ECS任务直接在V...
不能访问光猫的的管理页面 光猫是现代家庭宽带网络的重要组成部分,它可以提供高速稳定的网络连接。但是,有时候我们会遇到不能访问光...