SSLPinning简介，使用Xposed+JustTrustMe来突破SSL Pinning

0x00 前面

如果你是一干Web安全的，当你在测试目前大多数的手机APP应用程序时，你一定遇到过burpsuite无法抓到数据包的情况，开始你以为只是https的问题，但是当你使用了burpsuite伪证书也无法抓取到时，你心里除了有句“MMP……”外，你一定也在思考这其中的蹊跷。

为什么https的网站使用伪证书可以抓到，而在app里面同样的方法就抓不到？答案是：app启用了SSL Pinning（又叫“ssl证书绑定“）.

HTTPS的原理你必然懂，在建立ssl通道的过程中，当客户端向服务端发送了连接请求后，服务器会发送自己的证书(包括公钥、证书有效期、服务器信息等)给客户端，如果客户端是普通的浏览器，比如IE浏览器，则：

1. 使用内置的CA证书去校验服务器证书是否被信任，如果不被信任，则会弹出https的告警提示信息，由用户自己决定是否要继续.

2. 同样，用户也可以主动的将服务器证书导入到浏览器的受信任区，下次打开时该服务器证书将会自动被信任.

为啥中间人可以劫持https流量，以及在浏览器上我们为什么可以使用burp伪造证书，正是因为上面的2点，既：

1. 浏览器允许用户自行忽略证书告警，用户在无足够的信息安全意识时，可能会直接忽略刘浏览器的安全提示，在这篇文章的前2天以太坊钱包MyEtherWallet 就因为黑客使用“BGP流量劫持+HTTPS证书伪造“导致被干的鼻青脸肿.

2. 浏览器允许“导入证书到浏览器信任区“这个操作让浏览器信任burp伪造的证书.

这种伪造证书的中间人攻击给HTTPS带来了很大的威胁。

0x01 SSLPinning了解一下

如果能够这样做，是不是就可以解决这种“中间人劫持+伪造证书“攻击的问题：

客户端在收到服务器的证书后，对该证书进行强校验，验证该证书是不是客户端承认的证书，如果不是，则直接断开连接。

浏览器其实已经这样做了，但是如“前面”所说，选择权交给了用户，且浏览器由于其开放性允许让用户自导入自己的证书到受信任区域。

但是在APP里面就不一样，APP是HTTPS的服务提供方自己开发的客户端，开发者可以先将自己服务器的证书打包内置到自己的APP中，或者将证书签名内置到APP中，当客户端在请求服务器建立连接期间收到服务器证书后，先使用内置的证书信息校验一下服务器证书是否合法，如果不合法，直接断开。

当然攻击者也可以通过把这个APP源码给逆出来，然后找到证书校验这段逻辑，给他干掉，或者干脆把证书信息换成自己的服务器证书信息，然后重新打包签名，但是一旦APP做了代码加密和混淆，这个操作也会变得比较难搞。

因此这样看来，通过预先把服务器的证书信息“绑定“在APP的native端，然后建立连接时使用预先内置的绑定信息进行服务器证书校验,同时使用足够的代码加密或混淆，是比较合适的解决办法, 这个搞法就是“ssl pinning”.

补充：

不要将ssl pinning和https双向认证搞混了，HTTPS协议本身是支持双向认真的，既除了客户端对服务器证书进行验证外，服务器也可以要求客户端提供自己的证书信息并对其进行验证，在APP上，HTTPS双向认真的方案也可以防止中间人劫持，但这种双向认证开销较大，且安全性与”ssl pinning”一致，因此目前大多数APP都采用SSL Pinning这种方案。

0x02 使用Xposed + JustTruestMe来突破SSL pinning

如果你逆向比较在行，你就自己逆源码，然后过加密混淆，然后干掉SSL pinning. 不过使用Xposed + JustTruestMe应该也不丢人。

Xposed是一个框架，它可以改变系统和应用程序的行为，而不接触任何APK。

它支持很多模块，每个模块可以用来帮助实现不同的功能。

JustTrustMe 是一个用来禁用、绕过 SSL 证书检查的基于 Xposed 模块。JustTrustMe 是将 APK 中所有用于校验 SSL 证书的 API 都进行了 Hook，从而绕过证书检查。

n 准备工作：

1. 准备一个有root权限的andorid手机，安装Xposed框架（注意：手机容易变砖）。

2. 下载JustTrustMe模块

https://github.com/Fuzion24/JustTrustMe/releases/tag/v.2

注意下载 JustTrustMe.apk版本

如果是抓支付宝的包，还需要安装【阿里系Xposed反检测】模块。

本文转自：https://bbs.pediy.com/thread-226435.htm，并稍做修改。