本章接上一章，為了解決APP對SSL證書的內(nèi)部校驗，我們可以使用frida對app內(nèi)存進行hook，修改內(nèi)存的數(shù)據(jù)。frida是一款便攜的、自由的、支持全平臺的hook框架，可以通過編寫JavaScript、Python代碼來和frida_server端進行交互，實現(xiàn)對內(nèi)存等數(shù)據(jù)、函數(shù)的修改。
剛好這次遇到了一個flutter開發(fā)的app，flutter內(nèi)置了證書以及驗證，抓包沒法通過普通方法抓包，所以只好通過這個方法把驗證函數(shù)返回值進行修改。

原理解釋：

1. 手機端安裝frida-server程序，可以獲取安卓手機的內(nèi)存（需要root權(quán)限）。
2. 電腦端的frida通過與手機端的frida-server連接，在手機端運行電腦端創(chuàng)建的腳本代碼。
3. 通過這個代碼， 能夠hook到內(nèi)存的關(guān)鍵部分，比如ssl證書校驗的函數(shù)，讓這個函數(shù)的返回值永真或者永假，由此app運行的時候，所有的校驗都會返回通過校驗這個結(jié)果而不是攔截下來。

0. 準備工作

1. 一臺已經(jīng)root的安卓設(shè)備，最好是真機。
   如果使用模擬器，必須檢查app的lib里面，是否有x86平臺對應的so二進制文件。這個問題卡了我兩天，我每一步都按照教程完成了，可是怎么都搜不到flutter.so這個包，最后使用真機一次性就搜到了。對apk解壓縮后，查看lib文件夾下是否有x86架構(gòu)的文件夾，并且檢查想要hook的so文件是否在文件夾內(nèi)。我找到的這個app就只有arm64架構(gòu)，也就是只能在真機上運行才會有這個so文件。弄錯了這步，后面的工作就都無法開展。這也是為什么要求最好使用真機的原因。
   

   查看APP二進制包支持的CPU架構(gòu)類型

2. 安裝frida以及下載frida-server
   Python使用pip安裝：pip install frida
   frida-server下載：https://github.com/frida/frida/releases
   

   查看所有frida
   
   用Ctrl+F 搜索server，快速找到frida-server
   
   選擇對應CPU架構(gòu)下載frida-server

注意：

1. pip 安裝的frida版本要和frida-server版本一致，否則會導致frida崩潰或者無法hook。
2. 下載的frida-server一定要和客戶端的版本一致，根據(jù)cpu確定版本。安卓手機一般都是arm64，x86是Intel和AMD的CPU（電腦模擬器選這個）
3. 安卓手機一定要是已經(jīng)ROOT過的，否則frida無法hook到應用。

3. 安卓手機端準備
   下載安裝adb，通過adb連接手機。adb下載：https://adbdownload.com/
   設(shè)置adb到系統(tǒng)的path，方便調(diào)用。如不會可百度。
   手機開發(fā)開發(fā)USB調(diào)試，建議使用USB調(diào)試，網(wǎng)絡(luò)如果比較穩(wěn)定，可以使用無線調(diào)試。
   • 3.1 手機連接USB調(diào)試后，在cmd窗口輸入adb devices查看當前連接的設(shè)備信息，USB數(shù)據(jù)線調(diào)試，adb會自動連接。如果是無線連接，則是會顯示IP和端口。
     
     adb 查看連接設(shè)備
   • 3.2 輸入adb connect IP:端口連接無線調(diào)試設(shè)備，輸入adb connect IP:端口/設(shè)備名斷開連接。
   • 3.3 進入adb shell并開啟root。& adb root是非必要的，部分機型會有這個要求。進入shell后，su切換root用戶，如果顯示Permission denied 則是獲取root權(quán)限失敗，需要重新授權(quán)。
     
     adb shell& root
   • 3.4 上傳frida-server到手機。首先exit退出adb shell，然后adb push D:\apktool\frida-server-16.0.8-android-arm64 /data/local/tmp/frida-server將frida-server上傳到安卓機的指定目錄。然后進入目錄，切換root用戶，查看是否上傳成功。
     
     上傳frida-server
   • 3.5 修改權(quán)限并啟動frida-server。修改權(quán)限chmod 775 frida-server 。啟動frida./frida-server。
     
     啟動frida-server
4. 電腦端運行代碼

# -*- coding:utf-8 -*-
# date: 2023/1/4 17:49
# author: me
"""
功能主治：破解XXX的flutter SSL認證，讓它以為證書是正常的，從而通過drony把流量導入到電腦端的fiddler
    1. 啟動APP
    2. cmd：adb connect 127.0.0.1:7555 && adb root // usb鏈接會自動connect 鏈接虛擬機和root，實測虛擬機不行，真機才有
    3. cmd: adb shell  cd /data/local/tmp  以root ./frida-server，root需要su
    4. 端口映射: adb forward tcp:27042 tcp:27042  adb forward tcp:27043 tcp:27043，這一步可有可無，實測不輸入執(zhí)行沒影響
    4. 運行本注入程序，顯示[+] ssl_verify_result found at: 0x7a52febf74，若地址改變，需要重新使用ida操作！
"""
import frida
import sys

# https://bbs.pediy.com/thread-261941.htm
jscode = """
    function hook_flutter(){
    Java.perform(function () {
        var m = Process.findModuleByName("libflutter.so");
        var pattern = "FF C3 01 D1 FD 7B 01 A9 FC 6F";  // 只是前面的這10個無法起作用，需要搞個完整的4*9=36個
        pattern += " 02 A9 FA 67 03 A9 F8 5F 04 A9 F6 57 05 A9 F4 4F 06 A9 08 0A 80 52 48 00 00 39";
        var res = Memory.scan(m.base, m.size, pattern, {
        onMatch: function(address, size){
            console.log('[+] ssl_verify_result found at: ' + address.toString());
            hook_ssl_verify_result(address); 
        },
        onError: function(reason){
            console.log('[!] There was an error scanning memory');
        },
        onComplete: function() {
            console.log("All done")
        }
    });
});
}
function hook_ssl_verify_result(address) {
    address = address
    Interceptor.attach(address, {
            onEnter: function(args) {
                console.log("Disabling SSL validation")
            },
            onLeave: function(retval) {
                console.log("Retval: " + retval);
                retval.replace(0x01);
            }
        }); 
}

setImmediate(hook_flutter);
//setTimeout(hook_flutter, 100);
/*
function siguoyi(){
    try {
        var flutterSoAddr = Module.findBaseAddress("libflutter.so");
        var flutterSoAddr2 = Process.findModuleByName("libflutter.so");
        console.log("flutter.so addr 1: ", flutterSoAddr);
        console.log("flutter.so addr 2: ", flutterSoAddr2);
        hookFlutter()
    }catch(e){
        console.error(e)
    }
}
//Module.load("libflutter.so");
//setTimeout(siguoyi, 2000);
console.log(Process.isDebuggerAttached());
console.log(Process.id);
let ps = Process.enumerateModules()
for(let i in ps){

    //console.log(JSON.stringify(ps[i]));
    //console.log(JSON.stringify(ps[i].name));
}
siguoyi()
*/
"""

def on_message(message, data):
    if message['type'] == 'send':
        print("[*] {0}".format(message['payload']))
    else:
        print(message)


print(frida.get_usb_device())
print(frida.get_remote_device())

# 啟動后注入
process = frida.get_usb_device().attach("APP的名字")
print(process)
script = process.create_script(jscode)
script.on('message', on_message)
script.load()
sys.stdin.read()

運行結(jié)果

5. 打開drony進行抓包。如果不會可以看我上一篇教程。安卓APP抓包教程（二）——使用drony配合fiddler抓包

6. 打開fiddler進行抓包。如果不會可以看我上上篇教程。安卓APP抓包教程（一）——使用fiddler抓包

7. fiddler抓包效果

   
   
   fiddler抓包結(jié)果展示
   
   

   Python控制臺顯示：

   
   
   成功控制了函數(shù)返回值

總結(jié)

1. 搜索不到flutter.so，無論是Process.findModuleByName("libflutter.so")還是Module.findBaseAddress("libflutter.so")都無法搜索到flutter.so。
   因為這個問題我卡了很久，最終找到了原因，app在打包的時候為了精簡體積，大概率不會一次性添加好幾種CPU平臺的so包，而是有針對性地打包。所以我在模擬器進行測試，雖然還是安卓系統(tǒng)，但是CPU平臺是X86的架構(gòu)，X86架構(gòu)并沒有放進去flutter.so，所以一直搜不到。最后使用真機解決。

2. 怎么找到這個hook地址的，方法論？
   這個問題也是一個很神奇的問題，在最開始的時候，我搜遍了教程都無法hook。感覺大家的flutter版本似乎差得很多，而每個版本的flutter對應函數(shù)的地址完全可能不一樣，所以沒法使用別人的代碼直接run起來。
   怎么才可以自己hook到數(shù)據(jù)，然后自己找地址呢？
   2.1. 要自己找地址，需要先安裝一個IDA Pro。后面兩個任選一個安裝即可，反匯編神器IDA Pro 7.7.220118 (SP1)漢化版、IDA Pro 7.7.220118 (SP1) 全插件綠色版，打開IDA之后，把flutter.so拖進去。
   2.2 不會操作IDA？我也不會，但是跟著[原創(chuàng)]一種基于frida和drony的針對flutter抓包的方法這個文章的操作，基本上還是能夠找到對應函數(shù)的地址。

3. 有的教程為什么10個或者12個地址就能定位到函數(shù)，但是我不行？
   經(jīng)過實測，就是不行。必須4*9=36就可以成功找到了，輸出一個地址就說明成功找到了。按照教程繼續(xù)走下去就可以了。

有問題歡迎交流！