android逆向学习--绕过非标准http框架和非系统ssl库app的sslpinning(SSL_CTX_set_custom_verify)

最新推荐文章于 2025-05-21 12:59:29 发布
最新推荐文章于 2025-05-21 12:59:29 发布
阅读量2k 收藏 3
点赞数
CC 4.0 BY-SA版权
分类专栏: 协议分析
原文链接:https://bbs.pediy.com/thread-268014.htm
博主在安卓应用市场下载的一个电子书app中遇到了SSL证书校验问题。通过抓包、解包和动态分析,发现app使用了自定义的网络框架,基于okhttp3进行了魔改,并使用了boringssl作为SSL库。通过hook SSL_write函数,确定证书校验发生在native层的libsscronet.so库中,进一步分析发现SSL_CTX_set_custom_verify和SSL_CTX_set_reverify_on_resume可能涉及证书验证。最后,成功找到了绕过SSLpinning的方法。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

随意在安卓应用市场上下载了一个电子书app,发现还是有点东西的:
Charles首次抓包报错如下:

 

图片描述


第一反应就是有sslpinning,感觉挺简单的,但是几乎找了所有公开的unsslpinning脚本都无济于事, dump证书也如此。

对apk解包时发现里面有okhttp3,以为使用了okhttp3库,但hook后发现并不如此。

既然okhttp3 hook不到,就找了更深层次点的函数SSLOutputStream的write, 奇怪的是也没发现有调用,突然意识到事情可能没那么简单了!。

对于这种情况,貌似就只能多对一些底层或者基础的涉及网络的函数进行hook,终于在java.net.url函数打开了突破口

 

图片描述


看这个调用栈大概能看出,这个app因该是自己根据okttp3魔改了一个自己的框架,看后面的文件名感觉有点熟悉。
图片描述
这不就是okhttp的拦截器吗?
Ok直接看源码
图片描述
这个地方能看出来跟okhttp还是有区别的,决定hook下打印出所有的拦截器类。
图片描述

在okhttp3中,tls连接的部分在倒数第二个拦截器中,但是在本app上并没有这样做,所以重要分析了最后一个拦截器callServerInterceptor,具体如下:
看这个excutecall函数很关键,继续往下跟,其实hook这个地方就已经能拿到请求体和响应内容了,但是以学习为目的的话还是要搞明白它是怎么做的。

这个executel最终会调到com.ttnet.org.chromium.net.impl.CronetUrlRequest$1 中,然后就进入了native层。

 

图片描述


至此在java层也没发现在哪里有对证书的操作,所以有充分的理由相信他在native层做了校验。

尝试hook了下libssl.so中的SSL_write函数,居然也没发现有调用,惊出了一生冷汗,难不成是用了自己的ssl库?尝试搜了以下app已加载的so库,果不其然:

 

图片描述


查了下这个boringssl是google开源的openssl分支,于是尝试hook了下 boringssl中的SSL_write函数,果然有调用,所以可以基本确定它使用了自己的ssl库。

根据SSL_write的调用栈,判断该函数的调用来自libsscronet.so,于是在该库中搜索判断是否有调用boringssl中涉及证书验证的函数。

图片描述

上面的不管,只看导入函数,有两个函数比较可疑 SSL_CTX_set_custom_verify和SSL_CTX_set_reverify_on_resume,于是下载了一份boringssl的源码,分别看了下这两个函数,果然是用来做证书校验的,并且都有调用。

 

图片描述


该函数的原型为:
图片描述
第二个参数为校验模式:
图片描述
第三个参数为回调函数。
回调函数的返回值用来确认证书验证是否成功,具体如下:
图片描述
Hook之:
图片描述
图片描述
图片描述
这里有个问题,不能直接替换他原本的回调函数,必须要调用一次,不然会出问题,具体是什么原因懒得去研究。
验证:
图片描述
既然这个函数可以unpinning,另一个函数现在就懒得去看了,有空在研究下。

后来大概查了下,这个app是今日头条旗下的,难怪如此。接下来去干签名算法了。。。。

转:https://bbs.pediy.com/thread-268014.htm

Android 开发中的SSL pinning
xiangzhihong8的专栏
12-17 1168
在日常的安全渗透过程中,我们经常会遇到瓶颈无处下手,这时候如果攻击者从APP进行突破,往往会有很多惊喜。但是目前市场上的APP都会为防止别人恶意盗取恶意篡改进行一些保护措施,比如模拟器检测、root检测、APK加固、代码混淆、代码反调试、反脱壳、签名校验等等对抗机制。而测试人员对APP进行渗透的首步操作通常就是上burp或者Charles这类抓包工具进行抓包,查看请求记录里的域名及链接地址是否可以进一步利用。我们都知道http协议传输的是明文信息,是可以直接捕获的,从而造成了数据泄露。
绕过 Android SSL Pinning
WLANQY的博客
02-12 688
转载请注明出处。请前往 Tiga on Tech查看原文以及更多有趣的技术文章。SSL Pinning 指的是,对于 target sdk version > 23 的 Android AppApp 默认指信任系统的根证书或 App 内指定的证书,而不信任用户添加的第三方证书。
抖音app通用抓包方案
2503_90751938的博客
02-26 1724
后, 获取参数3并hook它, 让此函数执行完成后的返回值保持为0即可。让回调函数的返回值保持为0, 即ssl_verify_ok即可。当监听到so被加载时进行hook操作, hook到。spwan模式启动下应用。的参数3(回调函数)
某yin2.52.3版libsscronet.so替换文件:性能提升新选择
最新发布
gitblog_06743的博客
05-21 432
某yin2.52.3版libsscronet.so替换文件:性能提升新选择 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 某yin2.5 2.3版libsscronet.so替换文件项目,为您提供了一种高效的方式来替换原有文件,旨在优化性能、修复潜在错误,并增强用户体验。通过简单的文件替换操作,您可以享受到更为流畅稳定的应用表现。 项目技术分析 在技术层面上,此项...
ssl pining_通过android上的ssl pining保护您的https连接
weixin_26745383的博客
09-17 554
ssl piningWelcome to this serie of articles about Android Security and how you can improve tremendously the protection of your users, by implementing 3 things that provide a great effort/safety ratio....
Android-SSL-Pinning-WebViews:一个简单的演示应用程序,演示了Android WebViews中的证书固定schemedomain白名单
05-13
Android WebView中的证书固定方案/域白名单 一个简单的演示应用程序,演示: Android WebViews中的证书固定 Android WebView中的方案域白名单 使用OkHttp在网络级别实现固定白名单。 然后,通过扩展WebViewClient并使用OkHttp进行请求来保护WebView。 该解决方案具有性能缺陷:通过扩展WebViewClient并覆盖shouldInterceptRequest ,所有请求将按顺序执行,这会缩短加载时间。 请让我知道是否有解决方案。
抖音新版抓包方案,绕过sslpinning 直接修改so 抓https数据包
热门推荐
android_so的博客
05-03 1万+
前言 一般需要抓取https的数据包,只需要电脑安装抓包工具例如fiddler、charles 。然后手机上配置代理,保证手机跟电脑在同一网络下,然后手机安装抓包工具的证书,基本都可以抓到https的数据包。(安卓版本控制在6.0想下兼容,高于6.0就无法抓到https的包,因为google在Android N (24)其之上的一个安全行为变更,系统默认不再信任用户app或者系统自定义添加的证书)。 当你把这些需要的环境都准备好以后,发现新版某音apk用了SSLPinning, 又当你写完frida脚
iOS系统抓包入门实践之短链
成小新的博客
04-05 1392
前言 作为爬虫工程师的基本功,抓包是经常遇到且常重要的技能之一,尤其是现在的移动端的发展,更是在App抓包这里做了很多防护措施,本文主要是针对iOS系统App的数据包抓取进行大概总结,主要是针对常规App数据包抓取、突破路由直连抓包以及通过简单的逆向Hook手段突破SSL Ping防护抓取数据包。 常规抓包 对于常规无抓包防护的App数据抓取,可以直接在手机上通过设置HTTP代理的方式,配合Charles便可以抓取到目标App的数据包,不需要使用其他复杂的或者逆向Hook技术进行辅助。 设备:iPhon
小红书frida绕过
03-25
好的,用户想了解如何用Frida绕过小红书的安全检测。首先,我需要回忆一下Frida的基本原理。...SSL_CTX_set_cert_verify_callback.implementation = function(ctx, callback) { return 1; // 强制返回验证成功 }; ```
LWIP编程实践教程:构建稳定可靠的网络通信系统
[LWIP编程实践教程:构建稳定可靠的网络通信系统](https://opengraph.githubassets.com/2fc0b45bf9ee5aa334a5a5f54d7bf92f72515dd239de580baaed92b81b5bb798/lwip-tcpip/lwip) # 摘要 本文全面介绍了LWIP...
Android 7.0+抓包https突破ssl-pinning方案抓包插件.zip
03-17
Android 7.0+ 抓包https方案,突破ssl-pinning 使用方法:https://blog.youkuaiyun.com/u014644574/article/details/104930877
linux源码解读(三十):quic协议分析(一)
lingshengxiyou的博客
03-27 664
同时,因为quic不依赖操作系统,而是在应用层实现,所以开发人员对于quic有常强的操控能力:完全可以根据不同的业务场景,实现配置不同的拥塞控制算法以及参数;这些都是操作系统内核封装的,app的开发人员是不需要、也是没法改变的,所以站在安全防护的角度,部分大厂基于传输层自研了类似quic的通信协议,逆向时需要人工挨个分析协议字段的含义了,现成的fiddler/charles/burpsuit等https/http的抓包工具是无效的,用wireshark这类工具抓包也无法自动解析这些厂家自研的协议!
Android APP SSLPinning证书绑定绕过
samli的博客
03-20 3148
现在测试过程中有没有感觉遇到能直接抓包的APP,简直要拜菩萨,经常测试APP的心路历程是,欸,我的证书怎么又出问题了,重新导证书后,欸,怎么还是抓不到MMP…。 为什么https的网站使用伪证书可以抓到,而在app里面同样的方法就抓不到? 浏览器允许用户忽略证书告警; 浏览器允许用户导入证书到证书信任区,从而伪造证书; 也就是我们常用的burpsuite导证书操作,所以网站可以利用这种方式...
Android 7.0+抓包https突破ssl-pinning方案
u014644574的博客
03-17 6356
一、背景 Android 7.0 之后增加了对第三方证书的限制,抓包工具(charles、fiddler等)提供的证书都无法通过校验,也就无法抓取HTTPS请求了。 解决该问题一般思路: 将设备root,将证书安装到system分区。 利用Xposed框架,利用justTrustme/SSL-killer等模块绕过第三方ssl的校验。 二、virtualXposed简介 经常折腾 And...
Android逆向】okhttp 证书绑定流程 ssl pinning分析
tx123hy的博客
12-31 1655
本次通过代码实现了 https 证书绑定也就是 ssl pinning。分析了 okhttp 的证书校验逻辑,其中 startHandshake 是一个hook点。在这时刻往下就是app中的证书校验逻辑。文章后半部分给出了证书校验的绕过逻辑,总体来说在 app 端的证书校验,使用 hook手段绕过。服务端的证书校验,是把 app 端的证书导入抓包工具解决,其中app端的证书定位与证书密码获取也是通过hook进行定位。文章很难面面俱到,如果有更多想要交流的可以来深入探讨一下哈 lvdouzhou_。
[免费专栏] Android安全之绕过SSL Pinning抓HTTPS数据
橙留香Park的博客
08-08 1万+
转移发布平台通知:将不再在优快云博客发布新文章,敬请移步知识星球
安卓逆向_简单过代理检测
weixin_44066403的博客
02-29 3844
过简单代理检测 1.判断是APP是否使用代理 public static boolean isWifiProxy(Context context) { final boolean IS_ICS_OR_LATER = Build.VERSION.SDK_INT >= Build.VERSION_CODES.ICE_CREAM_SANDWICH; String proxyAddr...
高通android逆向分析,逆向修改内核,绕过TracerPID反调试
weixin_36480423的博客
05-25 797
前言上次DDCTF结束后,BinCrack师傅交流,他提到用了自己编译的安卓内核,直接修改源码更改了TracerPID,之后在国赛也遇到了对status的检测,虽然可以修改内存绕过(ref 4),但是还是想试一试把内核patch掉。查阅了很多资料后,大概有三种方法:1.修改源码,重新编译内核 (ref 2)2.逆向修改内核文件,patch二进制文件3.hook fopen 函数,检测/proc/...
SSL_CTX_set_verify
03-19
<think>好的,用户想了解SSL_CTX_set_verify函数的用法示例。首先,我需要回忆一下OpenSSL中这个函数的作用。SSL_CTX_set_verify用于设置SSL上下文(SSL_CTX)的验证模式,控制证书验证的行为。这包括是否验证对端证书以及验证的回调函数。 接下来,我得确定函数原型参数。函数签名应该是这样的:void SSL_CTX_set_verify(SSL_CTX *ctx, int mode, int (*verify_callback)(int, X509_STORE_CTX *));。这里的mode参数是验证模式,比如SSL_VERIFY_PEER、SSL_VERIFY_FAIL_IF_NO_PEER_CERT等。第三个参数是回调函数,用户可以用来自定义验证逻辑,如果不需要可以设为NULL。 然后需要解释各个参数的具体含义。比如mode的不同选项如何影响验证行为,例如SSL_VERIFY_PEER会要求验证对端证书,而SSL_VERIFY_NONE则不验证。回调函数的作用是什么,比如在验证过程中可以检查证书的详细信息,或者记录日志。 接下来,给出示例代码是必要的。用户可能需要一个简单的例子,展示如何设置SSL_CTX,比如初始化,创建上下文,然后调用SSL_CTX_set_verify。同时,如果用户需要自定义验证,可以提供一个回调函数的示例,说明如何实现证书深度检查或特定主题名称的验证。 还需要注意一些常见问题,比如设置验证深度,虽然SSL_CTX_set_verify本身不处理深度,但需要用SSL_CTX_set_verify_depth来设置,避免中间证书过多导致验证失败。另外,回调函数的返回值会影响验证结果,正确返回1或0是关键。 用户可能遇到的问题包括:如何启用或禁用证书验证,如何调试验证失败的原因,或者如何处理自签名证书。因此,在回答中需要涵盖这些方面,提供代码片段解释。 最后,生成相关问题时要考虑用户可能进一步的需求,比如验证回调的细节、禁用验证的方法、错误处理或与旧版本协议的兼容性问题,如SSLv3。同时,确保引用提供的参考资料,比如引用[^1][^2],在适当的地方加入引用标记,例如提到SSLv3支持时引用,提到验证深度时引用[^2]。</think>### SSL_CTX_set_verify 函数用法详解 `SSL_CTX_set_verify` 是 OpenSSL 中用于设置 SSL/TLS 上下文验证模式的核心函数,主要控制证书验证行为。 #### 函数原型 ```c void SSL_CTX_set_verify(SSL_CTX *ctx, int mode, int (*verify_callback)(int, X509_STORE_CTX *)); ``` 参数说明: - `ctx`: SSL 上下文对象 - `mode`: 验证模式组合(通过位掩码设置) - `verify_callback`: 自定义验证回调函数(可为 `NULL`) #### 验证模式(mode) 1. **SSL_VERIFY_NONE** 不验证对端证书(仅用于测试环境) 2. **SSL_VERIFY_PEER** 要求验证对端证书(默认严格模式) 3. **SSL_VERIFY_FAIL_IF_NO_PEER_CERT** 客户端无证书时终止连接(需与 `SSL_VERIFY_PEER` 组合使用) #### 基础用法示例 ```c #include <openssl/ssl.h> int main() { SSL_CTX *ctx = SSL_CTX_new(TLS_method()); // 启用证书验证并强制客户端提供证书 SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER | SSL_VERIFY_FAIL_IF_NO_PEER_CERT, NULL); // 设置信任的CA证书位置 SSL_CTX_load_verify_locations(ctx, "ca_cert.pem", NULL); } ``` #### 自定义验证回调示例 ```c int custom_verify(int preverify_ok, X509_STORE_CTX *ctx) { if (!preverify_ok) { // 获取验证错误代码 int err = X509_STORE_CTX_get_error(ctx); printf("Certificate verification failed: %s\n", X509_verify_cert_error_string(err)); return 0; } // 检查证书深度(需配合 SSL_CTX_set_verify_depth 使用) int depth = X509_STORE_CTX_get_error_depth(ctx); if (depth > 4) { printf("Certificate chain too deep\n"); return 0; } return 1; } // 设置带回调的验证模式 SSL_CTX_set_verify(ctx, SSL_VERIFY_PEER, custom_verify); SSL_CTX_set_verify_depth(ctx, 4); // 设置最大证书链深度[^2] ``` ### 关键注意事项 1. **验证深度控制** 使用 `SSL_CTX_set_verify_depth()` 限制证书链深度防止过长的中间证书链 2. **协议版本兼容性** 注意旧版本协议(如 SSLv3)的兼容性问题,建议使用 `SSL_CTX_set_options()` 禁用不安全协议 3. **错误代码处理** 在回调函数中可通过 `X509_STORE_CTX_get_error()` 获取具体错误原因 4. **性能影响** 启用证书验证会增加计算开销,生产环境建议启用 OCSP Stapling 优化
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值