首先配置模拟器，进行root，安装面具，常用工具等。在模拟器硬盘切换成可写系统盘开启root权限开机后打开ADB调试打开后会启动一个终端代表已经打开之后关闭即可使用adb命令可以查看到当前设备导出burp 和 yakit的证书到桌面之后转换证书格式并导入到模拟器的system证书文件夹下 #burpsuite openssl x509 -inform DER -in burp.der -out burp.pem hash=$(openssl x509 -inform PEM -subject_hash_old -in burp.pem | head -n 1) # 将 pem 证书改成 hash + .0 的格式 new_hash="${hash}.0" mv burp.pem "$new_hash" # 将证书直接放到系统证书文件夹下 adb push "$new_hash" /system/etc/security/cacerts/ #yakit hash=$(openssl x509 -inform PEM -subject_hash_old -in yakit.pem | head -n 1) # 将 pem 证书改成 hash + .0 的格式 new_hash="${hash}.0" mv yakit.pem "$new_hash" # 将证书直接放到系统证书文件夹下 adb push "$new_hash" /system/etc/security/cacerts/ 使用burp进行抓包测试 burp能抓到https包接下来安装面具 HuskyDG/magisk-files (github.com) 将apk拖到模拟器中进行安装之后打开app进行安装选择直接安装安装完成后进行重启开机后再打开面具会报错重启后需要再次打开adb 使用 root 权限删除之前冲突的 su 相关文件 adb connect 127.0.0.1:16385 adb shell su mv /system/xbin/su /system/xbin/su.bak mv /system/app/SuperUser/ /system/app/SuperUser-Bak/ 之后面具正常 frida测试 mac安装frida环境 pip3 install frida pip3 install frida-tools pip install Pyro4 下载frida-server-16.3.3-android-arm64 上传到模拟器中 adb push frida-server-16.3.3-android-arm64 /data/local/tmp/ 启动frida adb shell su cd /data/local/tmp/ chmod +x frida-server-16.3.3-android-arm64 ./frida-server-16.3.3-android-arm64 另起一个终端查看模拟器进程 frida-ps -U 安装常用app termux Drony ProxyDroid frida实战测试对某颜色APP进行抓包发现数据都是被加密了使用frida进行调试打印出调用栈信息 frida -U -f "cn.mciaa.yshxcp" -l hook-js/hook-js/打印调用栈/HashMap_Hook.js 根据调用栈信息找到加密函数使用jadx-gui进行反编译找到Java文件 ApiEncryptUtil.java 可以看到是AES加密函数和解密函数编写hook脚本调用解密函数a Java.perform(function () { var targetClass = Java.use('c.h.a.l.r'); targetClass.a.implementation = function(str) { console.log("Original argument: "+ str); var result = this.a(str); console.log('Original result: ' + result); return result; } }); 之后载入hook脚本发现数据已经解密 frida -U -f "cn.mciaa.yshxcp" -l decode.js 但是这样看非常费劲且不能对数据包进行测试下面使用BurpSuite插件Brida对数据包进行加解密配置好Brida 点击 Load JS file加载hook的js脚本按照Brida脚本编写规则进行编写hook函数 decode:function (str) { var ret; Java.perform(function () { var clazz = Java.use("c.h.a.l.r"); ret = clazz.a(str); }); return ret; }, encode:function (str) { var ret; Java.perform(function () { var clazz = Java.use("c.h.a.l.r"); ret = clazz.b(str); }); return ret; }, 对编写的函数进行测试先点击Spawn application 之后把加密数据放进去点击Run export 即可看到解密后的数据加密函数测试正常加入右键这样测试就方便多了

从0开始Frida逆向解密某APP流量实战

55026

首先配置模拟器，进行root，安装面具，常用工具等。
在模拟器硬盘切换成可写系统盘

Untitled

开启root权限

Untitled

开机后打开ADB调试

Untitled

打开后会启动一个终端代表已经打开之后关闭即可

Untitled

使用adb命令可以查看到当前设备

Untitled

导出burp 和 yakit的证书到桌面

Untitled

之后转换证书格式并导入到模拟器的system证书文件夹下

#burpsuite

openssl x509 -inform DER -in burp.der -out burp.pem

hash=$(openssl x509 -inform PEM -subject_hash_old -in burp.pem | head -n 1)
# 将 pem 证书改成 hash + .0 的格式
new_hash="${hash}.0"
mv burp.pem "$new_hash"  

# 将证书直接放到系统证书文件夹下
adb push "$new_hash" /system/etc/security/cacerts/

#yakit
hash=$(openssl x509 -inform PEM -subject_hash_old -in yakit.pem | head -n 1)
# 将 pem 证书改成 hash + .0 的格式
new_hash="${hash}.0"
mv yakit.pem "$new_hash"  

# 将证书直接放到系统证书文件夹下
adb push "$new_hash" /system/etc/security/cacerts/

Untitled

使用burp进行抓包测试

Untitled

burp能抓到https包

Untitled

接下来安装面具

HuskyDG/magisk-files (github.com)

Untitled

将apk拖到模拟器中进行安装

之后打开app进行安装

Untitled

选择直接安装

Untitled

安装完成后进行重启

Untitled

开机后再打开面具会报错

Untitled

重启后需要再次打开adb

使用 root 权限删除之前冲突的 su 相关文件

adb connect 127.0.0.1:16385
adb shell
su

Untitled

mv /system/xbin/su /system/xbin/su.bak
mv /system/app/SuperUser/ /system/app/SuperUser-Bak/

之后面具正常

Untitled

frida测试

mac安装frida环境

pip3 install frida
pip3 install frida-tools
pip install Pyro4

下载frida-server-16.3.3-android-arm64

上传到模拟器中

adb push frida-server-16.3.3-android-arm64 /data/local/tmp/

Untitled

启动frida

adb shell
su
cd /data/local/tmp/
chmod +x frida-server-16.3.3-android-arm64
./frida-server-16.3.3-android-arm64

Untitled

另起一个终端查看模拟器进程

frida-ps -U

Untitled

安装常用app

termux
Drony
ProxyDroid

frida实战测试

对某颜色APP进行抓包发现数据都是被加密了

Untitled

使用frida进行调试打印出调用栈信息

frida -U -f "cn.mciaa.yshxcp" -l hook-js/hook-js/打印调用栈/HashMap_Hook.js

根据调用栈信息找到加密函数

Untitled

使用jadx-gui进行反编译找到Java文件 ApiEncryptUtil.java

可以看到是AES加密函数和解密函数

Untitled

编写hook脚本

调用解密函数a

Untitled

Java.perform(function () {
    var targetClass = Java.use('c.h.a.l.r');
    targetClass.a.implementation = function(str) {
        console.log("Original argument: "+ str);

        var result = this.a(str);

        console.log('Original result: ' + result);

        return result;
    }
    
});

之后载入hook脚本发现数据已经解密

frida -U -f "cn.mciaa.yshxcp" -l decode.js

Untitled

但是这样看非常费劲且不能对数据包进行测试

下面使用BurpSuite插件Brida对数据包进行加解密

配置好Brida

Untitled

点击 Load JS file加载hook的js脚本

Untitled

按照Brida脚本编写规则进行编写hook函数

decode:function (str) {
        var ret;
        Java.perform(function () {
    		var clazz = Java.use("c.h.a.l.r");
    		ret = clazz.a(str);
    });

    return ret;

    },

	encode:function (str) {
        var ret;
        Java.perform(function () {
    		var clazz = Java.use("c.h.a.l.r");
    		ret = clazz.b(str);
    });

    return ret;

    },

对编写的函数进行测试

先点击Spawn application

之后把加密数据放进去点击Run export 即可看到解密后的数据

Untitled

加密函数测试正常

Untitled

加入右键

Untitled

这样测试就方便多了