android黑科技系列——Wireshark和Fiddler分析Android中的TLS协议包数据(附带案例样本)
一、前言
在之前一篇文章已经介绍了一款网络访问软件的破解教程,当时采用的突破口是应用程序本身的一个漏洞,就是没有关闭日志信息,我们通过抓取日志获取到关键信息来找到突破口进行破解的。那篇文章也说到了,如果这个app应用没有日志信息,我们该怎么办呢?那么这时候就需要采用抓包来寻找突破口了。
二、安装Fiddler证书
我们通过Fiddler连接手机进行抓包查看,应用访问数据信息都是用的HTTPS协议,也就是加密的数据,我们可能无法查看,比较麻烦,本文就来讲解如何查看这些加密数据了。
首先我们知道Fiddler抓包工具是可以抓HTTPS数据的,就是把Fiddler证书安装到设备中即可。安装过程也很简单:
第一步:导出Fidder的证书文件
进入Fiddler选项中:
然后直接选择导出证书到桌面即可。
第二步:把证书安装到设备中
先把上一步导出来的证书文件,放到设备的SD目录下,然后在设备中直接打开这个证书文件,会提示安装信息,当然这里在老版本系统中,可能还需要去设置页面进行操作:
在设置中,选择安全,然后选择从SD卡安装证书,就可以正常安装了。安装成功之后,可以查看这个证书信息:
三、抓取样本app的数据包
这样,我们的设备就有了Fiddler证书,这时候在用Fiddler抓包会看到正常的HTTPS协议数据了:
我们可以查看返回的数据信息:
可惜的是,这里的数据显示是不全的。所以这时候,我们得想办法获取返回的全部数据,可以借助Wireshark工具进行操作了,而Wireshark工具相对于Fiddler工具来说会分析的更加详细,但是Fiddler更加方便快捷。但是Wireshark工具只能在PC端抓包运行,所以如果想用这个工具抓取手机端数据的话,可以用两种方式:
第一种:Wireshark+Fiddler工具
Fiddler作为手机端的代理在PC上访问流量。然后Wireshark可以抓取PC上的请求,这样来做到用Wireshark抓取手机端的请求。
第二种:Wireshark+tcpdump工具
当然我们还可以利用tcpdump工具来直接抓取手机端的请求数据,一般保存为pcap文件格式,然后在PC端用Wireshark来分析pcap文件格式即可。关于tcpdump如何抓包生成pcap文件,可以自行搜索即可。这里不做解释了。
很多同学会考虑第二种,但是第二种会失败的,因为这里需要抓取HTTPS协议的数据,所以有证书相关的信息,如果直接用tcpdump工具抓包生成文件,然后用Wireshark工具分析是会失败的。因为Wireshark分析TLS协议数据是需要设置证书信息的,不然是解析失败的。所以这里采用第一种方式进行操作。
四、Wireshark分析TLS数据包
因为Wireshark分析TLS协议的数据是需要设置证书信息的,不然看到的也是加密数据信息:
那么这里的问题其实就转化成,如何利用Wireshark来解密TLS数据信息了,这个就比较简单了,我们可以借助浏览器自动生成的证书信息,来作为解密的工具。这里需要借助一个知识点:就是浏览器在访问HTTPS协议信息的时候都会有这么个提示:
让我们信任这个证书:
然后,我们确认安全,这时候,如果设置了一个系统环境变量。浏览器会把证书信息保存到指定文件中的,这个系统环境变量就是:SSLKEYLOGFILE,然后自定义一个SSLKEY的保存文件名称即可。
因为我们在上面用Fiddler可以抓到HTTPS请求链接的,这时候我们把这个链接放到浏览器中访问一次:
然后就会有相对应的SSLKEY数据保存下来了,可以去看看这个信息:
这样我们就弄到了这个url对应的证书信息了,这里可以看到其实是借助浏览器的功能获取到的,下面就来Wireshark中设置这个证书信息:
在Wireshark的Edit->Preferences->Protocols->SSL,设置刚刚保存的SSLKEY信息文件位置,保存即可。
下面就来开始抓包分析吧,在启动Wireshark抓包的时候,可能有的同学无法看到抓包的网络接口信息:
这个就需要启动系统的npf服务了,我们可以这么做:
01、在开始–>运行
02、输入:%windir%/system32
03、将会开启一个文件夹窗口,在里面找到CMD.EXE(cmd.exe)
04、点击右键,选择”以管理员身份运行”
05、输入命令:net start npf
06、系统提示NetGroup Packet Filter Driver 服务已经启动成功。
07、至此,Wireshark再点击Interfaces list就可以正常选择需要捕捉的接口了。
08、如果需要关闭此服务,是要在命令行输入命令:net stop npf 即可。
操作成功之后,再去Wireshark选择接口列表信息就有了网络接口信息了:
这里运行的时候,一定要记得把本地连接和无线网络连接都选择上,以免请求被遗漏:
点击开始之后,就会发现很多请求在刷屏,为了想看到我们关心的数据,可以利用一些过滤规则来进行过滤,而这里其实有很多过滤规则命令的,感兴趣的同学可以自行搜索操作实验即可,这里我们只想看到SSL协议的请求信息:
然后我们在利用浏览器去刷新刚刚那个HTTPS的请求,会发现多了很多TLS协议请求,如果这里没有设置上面的SSLKEY信息的话,看到的都是加密信息:
这里简单说一下TLS协议的原理,直接盗了网上的一张图:
设置了SSLKEY信息之后,就可以看到Application Data会被解密:
而且,这时候,底部会多出一个Decrypted SSL选项卡。这里解密之后会发现在SSL层后面多了一个超文本传输层,也就是HTTP等信息了。然后我们在选中这条信息,右键查看他的HTTP信息流:
记得是有OK字样的那条HTTP协议数据信息条目,这里是因为已经解密了,所以看到的是HTTP协议:
五、解密返回数据信息
这里就可以清晰的看到这次请求信息和返回信息了。然后我们把这部分的数据,在用AES进行解密:
看到打印的结果就是一个返回json信息:
关于这里的解密方法,之前一篇文章在用Jadx分析样本已经看到了:
我们直接把这个方法拷贝出来,写一个简单的Java成功就可解密了。不了解的同学去回顾上一篇介绍的内容吧。
六、TLS知识点总结
好了,到这里我们就介绍完了,如何利用Wireshark和Fiddler这两个抓包神器,解密HTTPS请求信息。关于TLS协议可能有的同学还不太了解,而且他和SSL的区别是啥,其实TLS是SSL的升级版:
现在很多协议都会用到TLS了,而且TLS1.3版本已经出来了。比如WX就采用了这个协议进行数据加密的。我们有了这个技能之后,后面就可以很轻松的分析TLS协议数据了,当然我们一定要熟练掌握Wireshark这个工具的用法,我们在学习过网络工程课的时候,都知道网络协议栈,比如物理层,网络层,传输层,应用层:
我们在上面看到Wireshark的底部信息栏中也是有这么几层信息的:
在SSL层,需要解密才能看到后面的超文本传输层协议的详细信息了,也就是上面的解密方法进行操作的结果。
七、问题解惑
其实看到这里有的同学会有好奇的地方:
- 第一个:开始利用Fiddler可以直接进行解密数据了,为何还要用Wireshark去抓包呢?因为我们可以看到Fiddler抓取的信息是不全的。当然有时候可能是全的,那么就不需要在用Wireshark进行抓包分析了。
- 第二个:在把Fiddler中抓取到的链接放到浏览器中访问,生成对应的SSLKEY信息文件。在浏览器中不是直接可以看到返回数据了吗?为什么还要用Wireshark进行抓包呢?这个的确是可以看到全部的返回信息在浏览器中访问的话,但是利用Wireshark抓包是为了更加信息的看到TLS协议的访问流程。这个也是为了以后熟练操作做准备。
在逆向研究中,有时候抓包是一个非常重要的一个突破口点。所以抓包分析包信息也是至关重要的技能。
转载自:http://www.wjdiankong.cn/category/android%e6%8a%80%e6%9c%af%e7%af%87/
android黑科技系列——Wireshark和Fiddler分析Android中的TLS协议包数据(附带案例样本)的更多相关文章
- 【转】Wireshark和Fiddler分析Android中的TLS协议包数据(附带案例样本)
本文转自:http://www.wjdiankong.cn/wireshark%E5%92%8Cfiddler%E5%88%86%E6%9E%90android%E4%B8%AD%E7%9A%84tl ...
- android黑科技系列——修改锁屏密码和恶意锁机样本原理分析
一.Android中加密算法 上一篇文章已经介绍了Android中系统锁屏密码算法原理,这里在来总结说一下: 第一种:输入密码算法 将输入的明文密码+设备的salt值,然后操作MD5和SHA1之后在转 ...
- android黑科技系列——分析某直播App的协议加密原理以及调用加密方法进行协议参数构造
一.前言 随着直播技术火爆之后,各家都出了直播app,早期直播app的各种请求协议的参数信息都没有做任何加密措施,但是慢慢的有人开始利用这个后门开始弄刷粉关注工具,可以让一个新生的小花旦分分钟变成网红 ...
- android黑科技系列——手机端破解神器MT的内购VIP功能破解教程
一.前言 在破解app的时候,我们现在几乎都是在PC端进行操作,但是之前bin神的MT管理器,可以在手机端直接破解,不过也有很大的局限性,但是对于一些简单的app破解没问题的.这个工具其实原理也很简单 ...
- android黑科技系列——静态分析技术来破解Apk
一.前言 从这篇文章开始我们开始我们的破解之路,之前的几篇文章中我们是如何讲解怎么加固我们的Apk,防止被别人破解,那么现在我们要开始破解我们的Apk,针对于之前的加密方式采用相对应的破解技术,And ...
- android黑科技系列——Apk的加固(加壳)原理解析和实现
一.前言 今天又到周末了,憋了好久又要出博客了,今天来介绍一下Android中的如何对Apk进行加固的原理.现阶段.我们知道Android中的反编译工作越来越让人操作熟练,我们辛苦的开发出一个apk, ...
- android黑科技系列——爆破一款应用的签名验证问题
一.前言 在之前的文章中说过Android中的安全和破解是相辅相成的,为了防止被破解,很多应用做了一些防护策略,但是防护策略也是分等级,一般简单的策略就是混淆代码和签名校验,而对于签名校验很多应用都是 ...
- android黑科技系列——自动注入代码工具icodetools
一.前言 在前面已经介绍完了 自动给apk中注入日志代码工具icodetools原理了,在那里我们曾经说过其实离真正的可使用价值有点距离,本篇就对这个工具进行一些优化,让其真正意义上开始能工作量产.当 ...
- android黑科技系列——解析公众号文章消息和链接文章消息自动打开原理
一.辅助功能方案分析 关于WX的各种功能插件已经非常普遍了,而现在的插件都是依赖于Xposed框架进行的,所以个人觉得WX应该在这方便应对Xposed框架的使用防护,防止插件满天飞的现象,本文来介绍一 ...
随机推荐
- BZOJ 3732 Network 【模板】kruskal重构树
[题解] 首先,我们可以发现,A到B的所有路径中,最长边的最小值一定在最小生成树上.我们用Kruskal最小生成树时,假设有两个点集U,V,若加入一条边w(u,v)使U,V联通,那么w就是U中每个点到 ...
- Oracle学习总结(5)—— SQL语句经典案例
--0.所有员工信息 SELECT * FROM emp --1.选择部门30的所有员工 SELECT * FROM emp WHERE deptno=20 --2.列出所有办事员(CLERK)的姓名 ...
- (39.3) Spring Boot Shiro权限管理【从零开始学Spring Boot】
在学习此小节之前您可能还需要学习: (39.1) Spring Boot Shiro权限管理[从零开始学Spring Boot] http://412887952-qq-com.iteye.com/b ...
- Django获取当前页面的URL——小记
获取带参数URL:request.get_all_path() 获取不带参数URL:request.path 获取主机地址:request.get_host()
- 固定一个div在浏览器底部
转自原文 如何固定一个div在浏览器底部 方法1:使用CSS绝对定位 div{ position:absolute; bottom:0px; left:0px; } 方法2:使用CSS固定定位 d ...
- linux UID,GID,EUID,EGID,SUID,SGID
SUID, SGID, sticky位可以参考: http://onlyzq.blog.51cto.com/1228/527247/ SUID属性只能运用在可执行文件上,当用户执行该执行文件时,会临时 ...
- 关于重置IOS App请求推送的授权请求
项目要加入推送通知.測试完本地通知后.发现測不了远程通知.于是想重置授权请求. 下面是重置授权请求的方法: 方法一: 通用->还原->抹掉全部内容和设置 可是第一种方法非常费时,抹掉内容预 ...
- IO 字节流学习
复制图片和MP3 import java.io.BufferedInputStream; import java.io.BufferedOutputStream; import java.io.Fil ...
- Swift开发教程--怎样清除模拟器的数据
打开xcode->preference->location->derived Data,进入文件夹下,删除里面所以后的文件夹就能够了.
- 605B. Lazy Student(codeforces Round 335)
B. Lazy Student time limit per test 2 seconds memory limit per test 256 megabytes input standard inp ...