由于新安全机制,系统不再信任用户安装的证书,解决方案无非两种:
- 修改apk包,增加 network_security_config.xml 配置文件
- 把 charles 或 brupsuit 的证书塞入系统中
这里我选择第二种方法,更安全隐蔽,并且一劳永逸
一. 根证书安装
具体证书转换的方法网络上已经到处都是,这里简述一下,以crt格式为例(其他格式自行查找转换方法):
- openssl x509 -inform PEM -subject_hash_old -in CA_Name.crt | head -1
得到类似字符串:9a5ba575 - cat CA_Name.crt(或者CA_Name.cer) > 9a5ba575.0
- openssl x509 -inform PEM -text -in CA_Name.crt -out /dev/null >> 9a5ba575.0
- 把生成好的文件放入 /system/etc/security/cacerts 目录下
注意,这里有个坑点,我的手机是Pixel 1刷的Lineage OS,第一步命令的参数 -subject_hash_old 在 Android 6.0时是有效的,然而在本测试机却无效。在使用 -subject_hash_old 参数生成第一个证书文件后,还需要再使用 -subject_hash 生成第二个证书文件。
最神奇的是这两个证书文件需要同时放入/cacerts 目录下,缺一不可,我之前测试的时候只放了第一个或第二个都没办法抓包。
- 重启手机,如果生成的文件正确,可以在 信任的凭据 -> 系统 中找到如下 brupsuit 的证书
certs.png
二. SSL Pinning绕过
如果做了客户端单向校验,还需要进行证书校验绕过。在Android 9.0版本,Xposed已经不再更新无法使用,也就没法直接通过Xposed使用JustTrustMe插件,但还是有2种替代思路。
1. 太极框架
借用官网介绍:简单来说,太极就是一个 类Xposed框架,它能够加载 Xposed 模块、修改系统和APP、拦截方法,执行 hook 逻辑等。
我们可以通过这个框架使用JustTrustMe插件绕过单向证书校验。
- 首先需要配置太极框架环境,这里需要一部解锁、可刷入Magisk的测试机,然后按照官方文档完成框架安装
- 安装 JustTrustMe模块
-
打开太极框架管理器,点击右下角添加需要抓包的App
add_app.png -
右下角模块管理中激活JustTrustMe,这样就可以进行愉快的抓包了
active.png
active.png
2. Frida 框架
也可以用 Frida Hook 框架绕过证书校验,Frida 安装和配置教程可以参考《Frida操作手册》这些文章,这里不多说了。环境配置完成之后,可以按以下操作:
-
关闭selinux,启动Frida Server:adb.png
- 注入以下脚本即可 ,https://codeshare.frida.re/@masbog/frida-android-unpinning-ssl/
- 使用命令注入,或者用下面的python脚本注入也行
# -*- coding: UTF-8 -*-
import frida
import io
def inject_code():
print("begin to inject")
device = frida.get_usb_device()
pid = device.spawn(["your.package.name"])
# time.sleep(1)
session = device.attach(pid)
device.resume(pid)
with io.open("unpinning.js", 'r', encoding='utf-8') as f:
script = session.create_script(f.read())
script.load()
input()
if __name__ == '__main__':
inject_code()
