x信:8.0.27
安卓(root)版本:12
参考https://icode.best/i/44023036283895
原文作者的思路是:获取root->在android中安装根证书->突破ssl pinning->burp抓包
笔者采用fiddler抓包(相比原文不需要自己做一个root证书),在尝试原文“突破ssl pinning步骤”时,发现Xposed官网已炸,搜索发现Xposed是一个hook框架,考虑用frida替代,而JustTrustMe功能如此便利,肯定也有人用frida实现过,果然找到了写好的js脚本
为了回馈社会,特把自己的实现思路和踩坑填坑历程分享出来
安卓7.0以上有了network-security-config选项,可以让app只信任系统级证书,x信7.0以上则只信任微信自己信任的证书(ssl pinning)。
所以要用fiddler实现对微信小程序的抓包(https),必须
将fiddler证书加入系统证书中
绕过x信的ssl pinning
要将fiddler证书加入系统证书,需要
安卓有root权限
转换并安装证书
要绕过x信的ssl pinning,需要
hook x信
实现unpinning
使用非发行版的模拟器(没有app store)
冷启动:
复制代码 隐藏代码.\emulator.exe -avd [avd_name] -no-snapshot-load
获得设备列表,使用-s选项指定其中一个:
复制代码 隐藏代码adb -devices
adb -s [device_name] ...
打开任务管理器,找到设备的残留进程(qemu_system...),终止
不用科学上网下载太慢而失败,用全局科学上网报错而失败
下载时指定proxy:
复制代码 隐藏代码pip install frida --proxy='socks5://127.0.0.1:[kexue_port]'
将相应版本的frida_server上传至模拟器并启动
端口映射:
复制代码 隐藏代码adb forward tcp:27042 tcp:27042
显示模拟器进程:
复制代码 隐藏代码frida-ps -R
参考:http://wiki.cacert.org/FAQ/ImportRootCert
获取hash名:
复制代码 隐藏代码openssl x509 -inform DER -subject_hash_old -in root_X0F.crt
先上传crt,添加crt为用户级证书,再用find找到/storage/emulated/0/cacert/root_X0f.crt
直接重命名,不用转换
复制代码 隐藏代码cp root_X0f.crt [hash].0
复制到/system/etc/security/cacerts/中
清除所有用户级证书
mount: '/system' not in /proc/mounts
:
复制代码 隐藏代码> emulator -avd Pixel_3a_XL_API_30 -writable-system
> adb shell avbctl disable-verification
> adb disable-verity
> adb root
> adb remount
> adb shell "su 0 mount -o rw,remount /system
打开模拟器时使用 -writable-system
选项:
复制代码 隐藏代码> emulator -avd Pixel_3a_XL_API_30 -writable-system -no-snapshot-load
原因1:未把fiddler证书设置为系统证书
祥见证书的转换和安装部分
原因2:ssl问题
在所有使用CONNECT方法的请求中加上x-OverrideSslProtocols项,值设置为ssl3
确保代理证书存在于系统证书中,开启代理,使用bypass ssl pinning hook x信,成功打开小程序并抓到https的包
证书加载成功:
ssl unpinning成功:
用最近火热的某羊测试,https抓包成功:
原文链接:https://www.52pojie.cn/thread-1690097-1-1.html
注:如有侵权请联系删除
学习更多技术,关注我: