承接上一篇《一次不成功的抓包过程》,失败的原因是搞错了方向,也可以说自己技术不到家,解析app发现存在libflutter.so库,有这个库就可以确定APP是基于谷歌的Flutter框架开发出来的,网上搜罗一番,有现成的一些思路去抓包Flutter app,于是在Windows系统上安装了一个逍遥模拟器,模拟器直接就是root环境,就可以不用把自己的手机刷机root,很省事,刷机root是逆向抓包的关键环节,嫌麻烦,就用了逍遥模拟器,最后一番操作下来,发现安装在模拟器里的app,已经不加载libflutter.so库,所以还是按照Flutter框架,Frida抓包技术路线,后面没抓包成功。
这次换了一个思路,抓包成功了,不在用模拟器,直接使用一部OPPO Android手机,刷机root,使用Frida注入脚本
搭建软件环境
电脑端:
Windows:win 10 专业版 64位
Python:python-3.12.0
frida:16.1.4
frida-tools:16.1.4
frida-server:frida-server-16.1.4-android-arm64
adb:34.0.5
IDA Pro:7.7
QtScrcpy:QtScrcpy-win-x64-v2.1.2
Charles :v4.6.3
手机端:
Android手机:OPPO R11,Android 9
Android vpn 工具:socksdroid-1.0.4.apk
手机刷机
Android手机需要刷机,获取root权限,可以选择自己刷机,这样有变砖的的风险,得熟悉才行,也可以选择花几十块钱,在闲鱼上找人远程刷机。
安装证书
抓包工具使用Charles,手机端和Windows电脑需要安装Charles证书
Windows电脑安装Charles的root证书,手机里安装Charles的用户证书,安装参考这篇《使用Charles进行HTTPS抓包》
一般的app安装了这两个证书就可以抓包https,一个电脑端的root证书和一个手机里的用户证书,如果app里不信任用户证书,那抓包就会失败,所以还需要安装Charles的证书到Android的系统证书里。
安装Android的系统证书,这就需要获取root权限,本身Android系统是不允许任何人安装系统证书可以参考《安卓7.0以上手机写入安全证书》,手机需要通过数据线连接电脑,总结其中几个关键命令如下:
bash
adb device
adb root
adb remount
adb push e61d73f5.0 /system/etc/security/cacerts
adb shell
su
chmod 644 /system/etc/security/cacerts/e61d73f5.0
e61d73f5.0是openssl工具制作的证书
Frida脚本
以下脚本就是hook住flutter的证书校验,让其信任我们的Charles代理证书
javascript
var base = Module.findBaseAddress("libflutter.so")
Interceptor.attach(base.add(0x5DC3CC),{
onLeave:function(ret){
console.log(ret)
ret.replace(0x1)
}
})
0x5DC3CC 地址查找,可以参考《flutter框架app抓包》
配置VPN
为什么要配置vpn,这要看app本身是否允许使用代理,这是app开发过程中,通过代码可以控制的,类似这样设置:
java
OkHttpClient.Builder()
.proxy(Proxy.NO_PROXY)
.build()
如果app代码里出现了,类似上面这段代码,那就表明app的http请求不会走wifi的代理,那么手机即使wifi配置了代理,我们的电脑里安装的Charles,也抓不到数据请求,但是此时app还能正常请求,
遇到这样的情况,那就需要使用到手机里安装vpn工具,我这里使用的是socksdroid,目的是将手机的所有http请求拦截,然后vpn会将流量转发到我们的Charles代理工具上。
具体配置过程可以参考《Charles+Postern抓包》