【Frida】【Android】 10_爬虫之WebSocket协议分析

🛫 系列文章导航

▒ 目录 ▒

🛫 导读

开发环境

版本号 描述
文章日期 2024-03-24
操作系统 Win11 - 22H2 22621.2715
node -v v20.10.0
npm -v 10.2.3
夜神模拟器 7.0.5.8
Android 9
python 3.9.9
frida 16.2.1
frida-tools 12.3.0
objection 1.11.0
gotify-windows-amd64.exe -v 2.4.0@2023-09-17-08:24:00
gotify-cli-windows-amd64.exe -v 2.2.3
Gotify.apk 2.7.1 com.github.gotify

1️⃣ WebSocket简介

WebSocket协议是为了改善HTTP中通信只能由客户端发起的弊端而产生的。

  • 在HTTP协议下,如果服务器存在连续的状态变化,那么客户端要想获取这种状态变化会十分麻烦,要解决这样的困境,只能使用"轮询",即每隔一段时间发出一次询问,以了解服务器有没有新的信息。
  • WebSocket协议出现后,很好地解决了上述问题:首先,服务器可以主动向客户端推送信息,客户端也可以主动向服务器发送信息,实现了服务器与客户端真正的双向平等对话,即全双工通信,这种通信方式为客户端获取服务端的状态变化提供了极大的方便。其次,与传统的HTTP这种非持久化的协议相比,WebSocket在建立连接后能够保持持久化连接,不需要向HTTP一样在一次请求中只能一个request对应一个response,极大地节约了每次发送请求需要重新建立连接所消耗的性能。
  • 需要声明的是,与Socket不同,WebSocket是一种端对端的通信方式,它只是借鉴了Socket的全双工通信的思想,本身仍然是建立在TCP之上的一种应用层协议

2️⃣ 搭建环境

针对WebSocket协议,笔者在gotify官网上找了一个应用用于测试。这个项目是一个开源的基于WebSocket的即时通信系统,提供了相应的客户端与服务器,整个项目的源代码存储在GitHub上,网址是https://github.com/gotify

也可以使用本节内容的绑定资源。

服务器

下载服务器软件包https://github.com/gotify/server/releases并解压,直接双击gotify-windows-amd64.exe即可

Android端

  • 从gotify的Android版本页面https://github.com/gotify/android/releases下载并安装最新版的Android客户端。
  • 查看主机ip,192.168.242.66;在输入框中输入http://192.168.242.66/,点击Check URL按钮
  • 忽略弹出的警告信息,输入用户名admin,密码admin
  • 点击Login,然后在弹出窗口中点击Create按钮
  • 最后进入Gotify界面。

    ps: 如果操作中弹出下面内容,表示无法连接网络。

在主机上请求http://192.168.242.66/version,可以正常访问,所以猜测是防火墙的问题。

将防火墙关闭即可正常访问了:

命令行客户端

为了让Android端接收到消息,我们需要下载gotify命令行客户端https://github.com/gotify/cli/releases

  • 打开CMD命令行窗口
  • 输入命令gotify init完成gotify配置的初始化
    • 依次输入服务器端的网址
    • 配置访问方式(这里选择用户名+密码的方式)
    • 用户名和密(admin/admin
    • Application name(用户随意)
    • 优先级别
  • 发送消息
    执行命令gotify-cli-windows-amd64.exe p "内容" -t "标题"
    其中,p参数后跟着的是想发的信息,-t参数后跟着的是消息的标题title。
  • 最后,我们在App中可以看到如下内容:

    至此,整个WebSocket的分析环境就搭建完毕了。

3️⃣ 发送封包分析

App操作步骤

  • 点击App左上角的三个点,打开菜单
  • 在菜单中,点击Push message按钮,打开发送界面
  • 输入Title、Content,点击Push Message即可

Socket尝试【失败】

根据之前的文章《【Frida】【Android】 09_爬虫之Socket https://blog.csdn.net/kinghzking/article/details/137284648》 ,我们可以知道最终封包会调用java.net.SocketOutputStream.write将封包发送出去,我们通过objection拦截该函数,查看堆栈内容。

  • objection连接
    objection -g com.github.gotify explore

  • hook 函数 java.net.SocketOutputStream.write
    android hooking watch class_method java.net.SocketOutputStream.write --dump-args --d ump-return --dump-backtrace

  • 通过gotify命令行客户端,发送消息,我们可以看到下面堆栈内容:

    结论:

  • 堆栈中,没有找到想要的方法!!!(独立线程,参数被封装到别的地方了)

  • 但是我们发现App中使用了okhttp3库,接下来对其进行分析。

okhttp3尝试

根据文章《【Frida】【Android】 08_爬虫之网络通信库okhttp3 https://blog.csdn.net/kinghzking/article/details/137227041》,我们可以尝试hook函数okhttp3.OkHttpClient.newCall。
android hooking watch class_method okhttp3.OkHttpClient.newCall --dump-args --dump-return --dump-backtrace

  • 再次发送消息,可以看到如下内容:

    这就是我们需要的内容了,到此未知即可拦截我们想要的内容了。
    ps: 有兴趣的,可以根据下面堆栈信息,编写frida脚本获取更详细的信息。

4️⃣ 接收封包分析

Socket尝试

根据之前的Socket分析,我们hook函数java.net.SocketInputStream.read:
android hooking watch class_method java.net.SocketInputStream.read --dump-args --dump-return --dump-bac ktrace

打印堆栈如下所示:

我们可以看到关键函数com.github.gotify.service.WebSocketService.onMessage

WebSocketService.onMessage

hook函数com.github.gotify.service.WebSocketService.onMessage
android hooking watch class_method com.github.gotify.service.WebSocketService.onMessage --dump-args --dump-return --dump-backtrace

可以看到下面结果:

可见,com.github.gotify.service.WebSocketService.onMessage就是我们需要的关键函数。

📖 参考资料

相关推荐
拭心4 小时前
Google 提供的 Android 端上大模型组件:MediaPipe LLM 介绍
android
njnu@liyong6 小时前
图解HTTP-HTTP报文
网络协议·计算机网络·http
数据小爬虫@6 小时前
利用Python爬虫快速获取商品历史价格信息
开发语言·爬虫·python
带电的小王6 小时前
WhisperKit: Android 端测试 Whisper -- Android手机(Qualcomm GPU)部署音频大模型
android·智能手机·whisper·qualcomm
小白学大数据6 小时前
如何使用Selenium处理JavaScript动态加载的内容?
大数据·javascript·爬虫·selenium·测试工具
梦想平凡7 小时前
PHP 微信棋牌开发全解析:高级教程
android·数据库·oracle
元争栈道7 小时前
webview和H5来实现的android短视频(短剧)音视频播放依赖控件
android·音视频
kaixin_learn_qt_ing7 小时前
了解RPC
网络·网络协议·rpc
阿甘知识库8 小时前
宝塔面板跨服务器数据同步教程:双机备份零停机
android·运维·服务器·备份·同步·宝塔面板·建站
qq_375872698 小时前
15爬虫:下载器中间件
爬虫