另一个生鲜App 抓包和mfsig签名分析(二) 针对flutter抓包

一、目标

拿到App之后，抓不到包是件很令人抓狂的事情。今天我们通过排除法来分析抓包失败的原因，并提供一个通用的 针对flutter抓包 的方案。

• 抓包工具和环境介绍
• 抓包失败的几种原因和对应的解决方案
• 针对flutter抓包

今天我们分析的还是 某生鲜App v9.9.59

二、步骤

抓包工具和环境介绍

飞哥手头有两个不同的抓包环境，一台手机是通过手工设置代理到pc上，通过 mitmproxy 来抓包，另一台手机是不需要手工设置代理，通过手机上的 #Drony# 启动一个vpn，然后PC上用 Charles 来抓包。

两个环境的共同点是：都需要把对应的证书放到系统证书里面。

因为https需要通过证书获取的公钥来加密数据，而抓包工具伪装成中间人服务器，让App使用抓包工具的证书来实现分析https数据包的目的。

我们后面的故事都是围绕这个 证书 来展开。

抓包失败的几种原因和对应的解决方案

不走系统代理

最简单的抓包失败的原因是：app检测是否设置了代理，如果设置了，就不走这个代理，继续直接访问。

这样我们的第一种抓包环境就失效了。解决方法就是用第二种抓包环境，app发现不了被代理了。

使用QUIC或者Spdy协议

这个在某手App里出现过，我们的解决方法是利用App自身的配置，强制它继续使用https协议来解决。

SSL证书双向认证

91fans.com.cn/post/social… 里介绍过，把客户端证书搞出来，然后导入到抓包软件里解决。

Java层的 SSL Pinning

APP代码内置仅接受指定域名的证书，而不接受操作系统或浏览器内置的CA根证书对应的任何证书，通过这种授权方式，保障了APP与服务端通信的唯一性和安全性。

Xposed的插件 JustTrustMe和SSLUnPinning 还有Objection的 android sslpinning disable 命令都是对付它的。

Native层的 SSL Pinning

Native层也就是so里面做的SSL Pinning，目前没有通用的解决方案，只能见招拆招，具体情况具体去搞。

今天我们遇到的就是 so里面做的SSL Pinning，导致抓不到包。

针对flutter抓包

在对这个生鲜App的分析中，我们发现只有很少的数据包被截获，明显有很多包被漏掉了。

所以毫不犹豫的上第二台手机了。

这次要好一些，但是还是有些图片无法显示。应该还是有些包漏了。

我们用排除法，搜quic、spdy，然后再试试是不是ssl证书双向认证。

坏消息是都不对。 好消息是我们发现它的lib文件夹里面有个 #libflutter.so#。

早就听说flutter不好搞了。既然确定了它的身份，就好说了。

看雪上找到了一篇文章

一种基于frida和drony的针对flutter抓包的方法

function hook_ssl_verify_result(address)
{
    Interceptor.attach(address, {
        onEnter: function(args) {
            console.log("Disabling SSL validation")
        },
        onLeave: function(retval)
        {
            console.log("Retval: " + retval)
            retval.replace(0x1);
        }
    });
}
function disablePinning()
{
    var m = Process.findModuleByName("libflutter.so");
  console.log(m);
    var pattern = "2d e9 f0 4f a3 b0 81 46 50 20 10 70"
    var res = Memory.scan(m.base, m.size, pattern, {
        onMatch: function(address, size){
            console.log('[+] ssl_verify_result found at: ' + address.toString());
            // Add 0x01 because it's a THUMB function
            hook_ssl_verify_result(address.add(0x01));
        }, 
        onError: function(reason){
            console.log('[!] There was an error scanning memory');
        },
        onComplete: function()
        {
            console.log("All done")
        }
    });
}

由于这个生鲜App加壳了，并且so的加载也需要时间，所以我们在js中加上延迟10s。

setTimeout(main, 10000);

这次效果不错。

三、总结

libflutter.so版本不同，不要硬搬教程的 pattern, 先确定你的手机环境是64位还是32位，然后用Ida打开Apk中的libflutter.so， 搜索字符串 ssl_client 来定位函数。

ADD R1, PC  ; "ssl_client"

定位到这条指令所在的函数，然后取函数开头前10来个字节做 pattern 即可。

遇到问题多在lib里面翻翻，说不定有惊喜。

问: "如何是道?" 曰:"只在目前。"  问:"为甚么不见?"  曰:"瞎。"

TIP: 本文的目的只有一个就是学习更多的逆向技巧和思路，如果有人利用本文技术去进行非法商业获取利益带来的法律责任都是操作者自己承担，和本文以及作者没关系，本文涉及到的代码项目可以去 奋飞的朋友们 知识星球自取，欢迎加入知识星球一起学习探讨技术。有问题可以加我wx: fenfei331 讨论下。

关注微信公众号: 奋飞安全，最新技术干货实时推送