既然能用burpsuite测试web,那就能用burpsuite测试APP(有大佬自称用burpsuite行走江湖多年,靠插件和经验打遍天下无敌手)
本次演示采用夜神模拟器+burpsuite v2020.11 (啊当然不是因为夜神最niubility,而是我手头就有它了 ,如果要抓的APP不能在夜神上运行、或者框架安不了,确定是模拟器的问题,就换一个模拟器,什么mumu、雷电、天天、逍遥...)
系统为安卓7 (版本太低的不予讨论)
为了抓HTTPS的包,没安装证书的,自行下载、导入、安装(简单说一下,比如浏览器安装证书,如果burpsuite监听的是本机的8080端口,那就浏览器访问http://localhost:8080,下载CA证书,然后在浏览器中导入cacert.der,安到受信任的根证书颁发机构,直到看到PortSwigger CA,证明导入成功)
在模拟器配置,长按网络修改网络,采用代理,IP为本地主机IP,端口也设一个,啥都行比如8081
然后在burpsuite中新建一个绑定代理,选择本机IP和刚刚写的端口
最终变成
然后在夜神模拟器中用浏览器访问192.168.25.203:8081下载证书(嫌安全警告弹得烦,也可以在本地机器设代理后上访问http://192.168.25.203:8081,下载证书后再共享到模拟器中安装)
下载CA证书,然后打开模拟器中“下载”可以看到证书
别忘了把后缀从.der改成.cer(der安不了),然后拖到SD卡的路径中,到设置-》安全-》从SD卡安装,选择这个证书
为证书起个名字,设置PIN码,随便搞一个记得住的,安装成功之后会提示安装成功
完活儿,然后正常来说就可以用burpsuite抓一些模拟器中APP或者其他什么的数据包了
but,这只是比较理想的情况
实际上会出现各种问题:
1.本机不允许设置网络代理
像我最初做的例子,就属于开了模拟器本机的代理,那有些APP就是会检测代理,你设置了本机代理我干脆就不让你正常运行!怎么搞嘛
常见的一种方法是在模拟器外部抓包来规避检测,比较常规的办法就是利用proxifier(当然,先要按照之前的步骤安证书,区别在于这回不用手动修改模拟器网络代理配置)
配置代理服务器,选本机IP,端口8080(burpsuite怎么写,这里就怎么写,burpsuite默认监听8080),HTTPS
再配置规则,名字随便起,把夜神模拟器进程Nox.exe(不一定就是这个,看你机器上显示的是什么就写什么)导入规则,代理选之前配的
启用此规则
然后用burpsuite即可绕过限制抓包(吧)
模拟器-》proxifier-》burpsuite
2.APP认证机制
有一个问题:HTTPS抓包一个朴素的思想是什么?
答:MITM,对客户端伪装成服务端,对服务端伪装成客户端
这里有一篇介绍HTTPS认证原理(单向认证、双向认证)的文章,总结了一下 https://www.cnblogs.com/yaphetsfang/articles/12858356.html
但是有些APP会采用SSL-Pinning 机制来进行抵抗抓包
那么,如何绕过SSL-Pinning机制呢?(很多东西,模拟器上是用不了的,必须真实手机环境)
(1)老版本安卓系统(7以下)可能会没有针对第三方证书的限制,无此机制限制,可按照常规办法抓包(但前提是APP能在上面正常运行)
(2)或者有root权限,能把这些个第三方证书安到系统默认预置的证书区里面
(3)再或者 Xposed+JustTrustMe、VitualXposed+JustTrustMe
VitualXposed可以在不需要设备root的情况下,修改App的行为 https://vxposed.com/
Xpose框架是一款可以在不修改APK的情况下影响程序运行或修改系统的框架服务 https://github.com/rovo89/Xposed
JustTrustMe是Github上面的一个开源项目,是xposed中的一个模块,用于禁止SSL证书验证 https://github.com/Fuzion24/JustTrustMe?utm_source=testingpai.com
使用较为复杂,请参考:
https://blog.csdn.net/u011215939/article/details/95461286
http://www.yxssp.com/23278.html
(4)frida,仍然是比较复杂,参考:
https://xz.aliyun.com/t/6102
https://www.cnblogs.com/Eeyhan/p/12916162.html
(5)反编译APK
有壳先脱壳,我等渣渣脱壳只能用大佬写的工具
之后用工具反编译,之后。。。之后我就不会了(理直气壮),安卓一窍不通,正常来说需要修改内容
哪位大佬给条明路
3.root检测问题
很多模拟器默认root(先不讨论这玩意有没有实际效果),这可能导致部分APP被限制。。。功能,打不开、闪退,更没法抓包
要么关掉root
要么绕过root检测,检测可能会通过检测系统版本、看看有没有安什么root管理器啊、需要root的框架啦什么的
相关软件有很多,但本菜鸡安卓逆向玩的不好,所以这里就只是提一下,具体方法参考其他师傅们的文章吧
剩下的,就基本上和web测试一样了,该用代理池用代理池,该用扫描器用扫描器
网上相关的文章比较多,可以参考一下
https://www.secpulse.com/archives/4325.html