使用Frida脚本绕过抓包限制

博主： huoyu
发布时间：2023 年 12 月 22 日
181 次浏览
暂无评论
3666字数
分类： Frida app - 逆向

设置burp证书

先在burp里设置本机代理

访问代理地址并下载burp证书

将下载的burp证书导入到手机中/data/local/tmp目录下，并重命名为cert-der.crt（此名称在接下来的fridascript.js脚本中使用，如果该名字命名为其他则脚本中相对应的地方也需要进行替换）

adb push cacert.der /data/local/tmp/cert-der.crt

模拟器设置代理，在安卓手机设置->wlan选择对应网络设置代理

打开你想抓包的软件，使用frida-ps -U命令列出设备上运行的服务，找到对应的包名

在本地新建一个js文件，并将一下内容写入

```js
/* 
   Android SSL Re-pinning frida script v0.2 030417-pier

$ adb push burpca-cert-der.crt /data/local/tmp/cert-der.crt
   $ frida -U -f it.app.mobile -l frida-android-repinning.js --no-pause

https://techblog.mediaservice.net/2017/07/universal-android-ssl-pinning-bypass-with-frida/
   
   UPDATE 20191605: Fixed undeclared var. Thanks to @oleavr and @ehsanpc9999 !
*/

setTimeout(function(){
    Java.perform(function (){
        console.log("");
        console.log("[.] Cert Pinning Bypass/Re-Pinning");

var CertificateFactory = Java.use("java.security.cert.CertificateFactory");
        var FileInputStream = Java.use("java.io.FileInputStream");
        var BufferedInputStream = Java.use("java.io.BufferedInputStream");
        var X509Certificate = Java.use("java.security.cert.X509Certificate");
        var KeyStore = Java.use("java.security.KeyStore");
        var TrustManagerFactory = Java.use("javax.net.ssl.TrustManagerFactory");
        var SSLContext = Java.use("javax.net.ssl.SSLContext");

// Load CAs from an InputStream
        console.log("[+] Loading our CA...")
        var cf = CertificateFactory.getInstance("X.509");
  
        try {
            var fileInputStream = FileInputStream.$new("/data/local/tmp/cert-der.crt");
        }
        catch(err) {
            console.log("[o] " + err);
        }
  
        var bufferedInputStream = BufferedInputStream.$new(fileInputStream);
        var ca = cf.generateCertificate(bufferedInputStream);
        bufferedInputStream.close();

var certInfo = Java.cast(ca, X509Certificate);
        console.log("[o] Our CA Info: " + certInfo.getSubjectDN());

// Create a KeyStore containing our trusted CAs
        console.log("[+] Creating a KeyStore for our CA...");
        var keyStoreType = KeyStore.getDefaultType();
        var keyStore = KeyStore.getInstance(keyStoreType);
        keyStore.load(null, null);
        keyStore.setCertificateEntry("ca", ca);
  
        // Create a TrustManager that trusts the CAs in our KeyStore
        console.log("[+] Creating a TrustManager that trusts the CA in our KeyStore...");
        var tmfAlgorithm = TrustManagerFactory.getDefaultAlgorithm();
        var tmf = TrustManagerFactory.getInstance(tmfAlgorithm);
        tmf.init(keyStore);
        console.log("[+] Our TrustManager is ready...");

console.log("[+] Hijacking SSLContext methods now...")
        console.log("[-] Waiting for the app to invoke SSLContext.init()...")

SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").implementation = function(a,b,c) {
            console.log("[o] App invoked javax.net.ssl.SSLContext.init...");
            SSLContext.init.overload("[Ljavax.net.ssl.KeyManager;", "[Ljavax.net.ssl.TrustManager;", "java.security.SecureRandom").call(this, a, tmf.getTrustManagers(), c);
            console.log("[+] SSLContext initialized with our custom TrustManager!");
        }
    });
},0);
```

脚本里的30行其中对应的就是burp证书的信息

将fridascript.js注入到目标应用程序中

frida -U -f com.xxxx.app.ui -l C:\Users\xxx\Desktop\fridascript.js --no-pause

-f选项表示强制启动一个应用程序，-l选项表示加载指定脚本，–no-pause选项表示不中断应用程序的启动

然后愉快抓包

[文章地址](https://www.jianshu.com/p/af6db3f032e4)

最后修改：2023 年 12 月 22 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱

地址

使用Frida脚本绕过抓包限制

huoyu • 2023 年 12 月 22 日

设置burp证书

先在burp里设置本机代理

访问代理地址并下载burp证书

adb push cacert.der /data/local/tmp/cert-der.crt

模拟器设置代理，在安卓手机设置->wlan选择对应网络设置代理

打开你想抓包的软件，使用frida-ps -U命令列出设备上运行的服务，找到对应的包名

在本地新建一个js文件，并将一下内容写入

```js
/* 
   Android SSL Re-pinning frida script v0.2 030417-pier

$ adb push burpca-cert-der.crt /data/local/tmp/cert-der.crt
   $ frida -U -f it.app.mobile -l frida-android-repinning.js --no-pause

https://techblog.mediaservice.net/2017/07/universal-android-ssl-pinning-bypass-with-frida/
   
   UPDATE 20191605: Fixed undeclared var. Thanks to @oleavr and @ehsanpc9999 !
*/

setTimeout(function(){
    Java.perform(function (){
        console.log("");
        console.log("[.] Cert Pinning Bypass/Re-Pinning");

var certInfo = Java.cast(ca, X509Certificate);
        console.log("[o] Our CA Info: " + certInfo.getSubjectDN());

console.log("[+] Hijacking SSLContext methods now...")
        console.log("[-] Waiting for the app to invoke SSLContext.init()...")

脚本里的30行其中对应的就是burp证书的信息

将fridascript.js注入到目标应用程序中

frida -U -f com.xxxx.app.ui -l C:\Users\xxx\Desktop\fridascript.js --no-pause

-f选项表示强制启动一个应用程序，-l选项表示加载指定脚本，–no-pause选项表示不中断应用程序的启动

然后愉快抓包

[文章地址](https://www.jianshu.com/p/af6db3f032e4)

使用Frida脚本绕过抓包限制

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

速注册OpenAi（ChatGPT），国内也可以

Frida 代码自动补全

ubuntu 实现内网穿透

最新Fiddler Web Debugger v5.0 20202.18177中文版

windows一键启动雷电模拟器的frida-server

Auto.js Pro 数据获取与异常捕获

python如何把模块上传到PyPI

Sekiro 使用方法

文章内挂载视频

UnicodeEncodeError: ‘latin-1‘ codec can‘t encode characters in position 问题

使用Frida脚本绕过抓包限制

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

使用Frida脚本绕过抓包限制

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款