frida如何抓apk网络包

frida如何抓apk网络包

一 . 埋头分析踩坑路

从系统的角度去寻找hook点,而不是为了抓包而抓包。

1.okhttp调用流程

public static final MediaType JSON= MediaType.get("application/json; charset=utf-8");OkHttpClient client = new OkHttpClient();String post(String url, String json) throws IOException {RequestBody body = RequestBody.create(json, JSON);Request request = new Request.Builder().url(url).post(body).build();try (Response response = client.newCall(request).execute()) {return response.body().string();}}

上面是okhttp官网的一个demo,关键代码就在client.newCall。从此处接口调用开始,终会调用至okhttp框架, okhttp本是sdk,后来aosp已经集成至系统,所以可以归类至框架层。

框架层不详述,主要就是这几个java类:

com.android.okhttp.internal.huc.HttpURLConnectionImplcom.android.okhttp.internal.http.HttpEnginecom.android.okhttp.internal.http.RetryableSinkcom.android.okhttp.internal.http.CacheStrategy$Factory

其实client.newCall终会通过URL获取一个connection

HttpURLConnection urlConnection = (HttpURLConnection) url.openConnection();

这里的urlConnection其实就是HttpURLConnectionImpl的实例,该类有getInputStream getOutputStream方法,内部分别会调用HttpEngine的getBufferedRequestBody,getResponse。刚开始我尝试hook过这两个接口,比如hook getResponse后,可以将response打印出来.

之后我发现Request只能打印header,并不能打印body。所以又埋头继续分析,getBufferedRequestBody这个函数刚好可以入手,获取一个sink,最后以RetryableSink为突破点,比如hook 其write函数就可以将body打印出来。write函数对应于app层面的urlConnection.getOutputStream().write。

后来发现一个Request,调用getBufferedReuqestBody函数可能不止一次,所以会有数据重复的问题,后来我又寻找到了CacheStrategy$Factory.get点进行Hook,发现还是有数据重复。发现以上hook均有弊端

  • 数据重复

  • 非okhttp调用无法抓取

接着又继续从native层的send,sendmsg,write,recv,read打印调用栈。最后折腾了三天,决定放弃治疗,还是采取工具吧。

okhttp流程:sdk接口->okhttp框架->native(libc)

2.分析过程中frida踩到的坑(重点都在注释中)

  1. android.util.Log不打印

    var Logd = function Logd(tag, msg) {Java.use("android.util.Log").d(tag, msg);};Logd('http-body-', '11111111111111');//该log不打印Logd('http-body', '11111111111111');//该log打印
  2. 匿名内部类获取成员需要反射

    var printRequest = function(request) {var Buffer = Java.use("com.android.okhttp.okio.Buffer");var bodyField = request.getClass().getDeclaredField('body');bodyField.setAccessible(true);if (request == null) return;Logd('http', 'printRequest: request' + request);//var requestBody = request.body();//gadget直接报错var requestBody = bodyField.get(request);var requestBodyClass = requestBody.getClass();var ClassInstanceArray = Java.array('java.lang.Class', []);//var contentLengthMethod = requestBodyClass.getMethod("contentLength");//gadget直接报错var contentLengthMethod = requestBodyClass.getMethod("contentLength", ClassInstanceArray);contentLengthMethod.setAccessible(true);var ObjectInstanceArray = Java.array('java.lang.Object', []);var contentLength = requestBody ? contentLengthMethod.invoke(requestBody, ObjectInstanceArray) : 0;//if (contentLength == 0) contentLength = contentLen;Logd('http', 'printRequest contentLength: ' + contentLength);if (contentLength > 0) {var BufferObj = Buffer.$new();requestBody.writeTo(BufferObj);Logd(TAG, "\nrequest body :\n" + BufferObj.readString() + "\n");}};
  3. android.os.Bundle打印,需要将Bundle unparcel

    var printIntentAndExtras = function printIntentAndExtras(intentObj) {if (intentObj == null) return;var Intent = Java.use("android.content.Intent");var Bundle = Java.use("android.os.Bundle");var bundleObj = Intent.getExtras.call(intentObj);if (bundleObj != null) {Bundle.getSize.call(bundleObj, null);//调用getSize即可反序列化}Logd(TAG, ‘printIntentAndExtras ’ + bundleObj);};

踩到的坑其实不只上面的,刚开始也百度过一些frida网络拦截的方案,还仔细的研究了okhttp的Interceptor方案,最后发现app也是用了拦截器,所以就发生冲突,导致无法使用该方案。

也纯粹的分析过app的smali,寻找调用栈以及网络请求,最后,只有几个比较小的收获,可能对读者没有用处,不过记录一下,方便自己以后回忆。

  1. java.net.URL拦截

    var URLHook = function() {var URL = Java.use('java.net.URL');URL.openConnection.overload().implementation = function() {var retval = this.openConnection();Logd('URL', openConnection' + retval);return retval;};};//URL.openConnection调用概率比较大,但是不一定对网络进行请求
  2. 拦截app调用http请求前使用json的地方,这只是其中之一

    var jsonHook = function() {var xx = Java.use('e.h.a.a');//app smalivar xxa_method = xx.a.overload('org.json.JSONObject', 'java.lang.String', 'java.lang.String');xxa_method.implementation = function(jsonObj, str1, str2) {Logd("json", jsonObj + " str1: " + str1 + " str2" + str2);xxa_method.call(this, jsonObj, str1, str2);}}
  3. trace http相关class

    var traceAllHttpClass = function() {Java.perform(function() {Java.enumerateLoadedClasses({onMatch: function(name, handle) {/*"e.h.a.a$a",起初也拦截过app的该混淆类*/if (name.indexOf("com.android.okhttp.Http") != -1 || name.indexOf("com.android.okhttp.Request") != -1|| name.indexOf("com.android.okhttp.internal") != -1) {traceClass(name);//对这三个class进行trace}},onComplete: function() {}});});};
  4. Request$Builder拦截

    var BuilderClass = Java.use('com.android.okhttp.Request$Builder')BuilderClass.build.implementation = function () {//LOG('com.android.okhttp.HttpUrl$Builder.build overload', { c: Color.Light.Cyan });//printBacktrace();var retval = this.build();Logd(TAG, "retval:" + retval);printRequest(retval);return retval;}
  5. property_get拦截

    var nativePropertyGetAddr = Module.findExportByName(null, '__system_property_get');Interceptor.attach(nativePropertyGetAddr, {onEnter: function onEnter(args) {this._name = args[0].readCString();this._value = args[1];},onLeave: function onLeave(retval) {if (this._name.indexOf("ro.build.id") != -1) {var virtualDevice = getVirtualDevice();if (DEBUG_PROP) Logd(TAG, "__system_property_get fake " + this._name + "=>to " + virtualDevice.build_id);this._value.writeUtf8String(virtualDevice.build_id);}var strFilter = /^ro\./g;if (DEBUG_PROP && this._name.match(strFilter) != null) Logd(TAG, "__system_property_get " + this._name);}});

二 . 设备android_id导致用户过期的处理

var DEBUG_PROP = false;var DEVICE_CONFIG = "/sdcard/.device";function getVirtualDevice() {var nativeOpen = new NativeFunction(Module.findExportByName(‘libc.so’, 'open'), 'int', ['pointer', 'int']);var nativeRead = new NativeFunction(Module.findExportByName('libc.so', 'read'), 'int', ['int', 'pointer', 'int']);var fd = nativeOpen(Memory.allocUtf8String(DEVICE_CONFIG), 0);var mem = Memory.alloc(1024);var readLen = nativeRead(fd, mem, 1024);var json = JSON.parse(mem.readCString(readLen));return json;}Secure.getString.implementation = function () {var retval = this.getString(arguments[0], arguments[1]);if (DEBUG_PROP) Logd(TAG, "Settings.Secure get " + arguments[1] + " val " + retval);if (arguments[1].indexOf("android_id") != -1) {var virtualDevice = getVirtualDevice();return virtualDevice.android_id;}return retval;};

三 . 使用抓包工具fiddle抓包脱坑

1.fiddle代理设置OK,app却无法登陆

分析adb log,进程有 java.security.cert.CertPathValidatorException的打印,之前也看过一些frida拦截抓包绕过证书的帖子。先试一把暴力搜索:

Java.perform(function(){const groups = Java.enumerateMethods('*!verify/u');var classes = null;for(var i in groups){var classes = groups[i]['classes'];for(var i in classes){Java.use(classes[i]['name']).verify.overload('java.lang.String', 'javax.net.ssl.SSLSession').implementation = function() {printBacktrace();LOG("[+] invoke verify", { c: Color.Red });return true;}}}});

调用verify直接暴力返回true,依然无法登陆,报错是同样的ssl问题。百度搜索后找到了答案。apktool解包,然后修改

res/xml/network_security_config.xml<?xml version="1.0" encoding="utf-8"?><network-security-config><base-config cleartextTrafficPermitted="true"><trust-anchors><certificates src="system" /><!--添加fiddle证书可信任<certificates src="user" />--></trust-anchors></base-config></network-security-config>

重打包签名后运行一把,fiddle抓到了包,app也能正常登陆了,这次也是运气好吧,app的ssl校验只有单向app校验,服务器并没有进行校验。

四.结束

从周二下午一直折腾到周五,最后从系统层面的HttpEngine寻找hook点并不是很好的方法,弊端也已明了。所以趁着周日的时间,再试一下各种百度到的方法—-抓包工具,然后一步步将遇到的问题pass掉。

下面是抓到的两个包:

HTTP/1.1 200 OKDate: Sun, 16 Aug 2020 06:27:34 GMTContent-Type: application/jsonContent-Length: 101Connection: keep-aliveGrpc-Metadata-Content-Type: application/grpcVary: OriginVary: Accept-Encoding{"result":{"errno":"OK","errmsg":"成功"},"data":{"version":"xxxxxxxx-351e-40cf-aaa9-3177d6df9b7f"}}-----------------------------------HTTP/1.1 200 OKDate: Sun, 16 Aug 2020 06:27:34 GMTContent-Type: application/jsonContent-Length: 99Connection: keep-aliveGrpc-Metadata-Content-Type: application/grpcVary: OriginVary: Accept-Encoding{"result":{"errno":"OK","errmsg":"成功"},"data":{"nodeToken":"xxxxxxxc24d79f55c0b07beaf50cb566"}}
POST https://tap-xxxxxxx.xxxxxx.com/api/v2/Android/analytics/basic HTTP/1.1Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cjbcjdsabcjvbXVCJ9.eyJ1aWQiOjE4ODMzMDEsInNlY3JldCI6IjAzNzE0M2Y3LTExMTUtNGY2Yi1iNzQxLWUyMjc5ZDM3MGY3MCIsImV4cCI6MTU5NzgxNjQ0MiwiaXNzIjoiZ3Vlc3QgbG9naW4ifQ.W3SiO0-afbhxPITjRinnhyWhZLy1bzZhYexm5VCWklIX-Device-ID: 9xxxxxxx84d4542eX-Loc: ["China","Shanghai","Shanghai","","ChinaUnicom","31.224349","121.4767528","Asia/Shanghai","UTC+8","310000","86","CN","AP","xxx.166.xxx.xxx"]X-App-Version: 2.2.0Content-Type: application/json; charset=utf-8Content-Length: 208Host: xx-xxxx.xxxxxx.comConnection: Keep-AliveAccept-Encoding: gzipUser-Agent: okhttp/4.7.2{"deviceID":"9xxxxxxx84d4542e","model":"V1813BA","systemVersion":"9","version":"2.2.0","location":{"latitude":xx.x99x990990991,"longitude":xxx.26689769073256},"network":{"g2":0,"g3":0,"g4":4,"g5":0,"wifi":4}}-----------------------------------HTTP/1.1 200 OKDate: Sun, 16 Aug 2020 06:27:35 GMTContent-Type: application/jsonContent-Length: 43Connection: keep-aliveGrpc-Metadata-Content-Type: application/grpcVary: OriginVary: Accept-Encoding{"result":{"errno":"OK","errmsg":"成功"}}

以上就是frida如何抓apk网络包的全部内容了,更多与frida如何抓apk网络包相关的内容可以搜索亿速云之前的文章或者浏览下面的文章进行学习哈!相信小编会给大家增添更多知识,希望大家能够支持一下亿速云!

文章标题:frida如何抓apk网络包,发布者:亿速云,转载请注明出处:https://worktile.com/kb/p/23847

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年9月8日 下午10:36
下一篇 2022年9月8日 下午10:37

相关推荐

  • 如何分析绕过Tumblr用户注册过程中的reCAPTCHA验证

    今天就跟大家聊聊有关如何分析绕过Tumblr用户注册过程中的reCAPTCHA验证,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。 大家好,下面分享的writeup是作者通过在Tumblr用户注册过程中,发现Tumblr的“人机身份验证”机制(…

    2022年9月15日
    9300
  • MySQL优化器hash join怎么使用

    前言 数据库的优化器相当于人类的大脑,大部分时候都能做出正确的决策,制定正确的执行计划,走出一条高效的路,但是它毕竟是基于某些固定的规则、算法来做的判断,有时候并没有我们人脑思维灵活,当我们确定优化器选择执行计划错误时该怎么办呢,语句上加hint,提示它选择哪条路是一种常见的优化方法。 我们知道Or…

    2022年9月15日
    10000
  • php如何将数组转为json数据

    在php中,可以使用json_encode()函数来将数组转化为json格式数据,语法为“json_encode(数组变量,$options)”。json_encode()函数能对PHP变量进行JSON编码,如果转化成功则返回JSON格式数据,如果转化失败则会返回FALSE。 php将数组转为jso…

    2022年9月16日
    12200
  • win10系统怎么设置以管理员权限运行软件

    在我们使用win10系统的过程中,经常会遇到一些软件的权限问题,这时我们就需要以管理员身份才可以正常运行操作软件,但是有的用户发现我们的win10系统中没有以管理员权限运行软件的选项怎么办呢?   具体方法如下:   1、在桌面右击此电脑也就是我的电脑,选择“管理”;   2、展开至计算机管理 → …

    2022年9月8日
    20800
  • Redis变慢的原因是什么及怎么排查

    原因1:实例内存达到上限 排查思路 如果你的 Redis 实例设置了内存上限 maxmemory,那么也有可能导致 Redis 变慢。 当我们把 Redis 当做纯缓存使用时,通常会给这个实例设置一个内存上限 maxmemory,然后设置一个数据淘汰策略。而当实例的内存达到了 maxmemory 后…

    2022年9月10日
    8700
  • Word字体放大如何操作

    Word字体放大的方法 1、首先电脑打开word文档。 2、然后选中自己要放大的文字。 3、选中要放大的文字后,同时按住Ctrl+SHift+>就可以把文字无限放大, 想放多大就可以放多大。 4、选中文字按Ctrl+Shift+<就可以缩小文字 关于“Word字体放大如何操作”这篇文章的…

    2022年9月15日
    4700
  • php判断数组中指定值是不是最后一个元素

    两种判断方法:1、利用end()函数和“===”运算符,获取数组最后一个元素的值,比较该元素值是否为指定值即可,语法“end($arr===”指定值”)”,如果相等则是,反之则不是。2、利用array_pop()函数和“===”运算符,语法“array_pop($arr===…

    2022年9月16日
    6300
  • git如何删除submodule

    git删除submodule的方法:1、利用“vim .gitmodules”删除Submodule对应的文件;2、利用“vim .git/config”更改git配置文件中的信息,删除掉submodule相关内容;3、将modules目录下的submoudle删除即可。 git删除submodul…

    2022年6月27日
    1.5K00
  • easyrecovery如何恢复U盘

    easyrecovery恢复U盘的方法 1、打开软件,找到你要恢复的文件类型,点击下一步。 2、选择你要恢复的硬盘。 3、手动查找需要恢复文件,这里有三种板块功能,可以都点开看看,找到你想要的那个文件。 4、等你找到你想要恢复的文件之后,点击恢复就可以了。 到此,相信大家对“easyrecovery…

    2022年9月26日
    2500
  • SQL增删改操作实例分析

    插入记录 SQL1 插入记录(一) 表exam_record结构 题目描述牛客后台会记录每个用户的试卷作答记录到exam_record表,现在有两个用户的作答记录详情如下:用户1001在2021年9月1日晚上10点11分12秒开始作答试卷9001,并在50分钟后提交,得了90分;用户1002在202…

    2022年9月21日
    5300
联系我们
关注微信
关注微信
分享本页
返回顶部
PingCode 比 Jira 更好用的研发管理工具。免费试用