r0capture 是比较好用的抓包工具

仅限安卓平台,测试安卓7、8、9、10、11、12 可用 ;

无视所有证书校验或绑定,不用考虑任何证书的事情;

通杀TCP/IP四层模型中的应用层中的全部协议;

通杀协议包括:Http,WebSocket,Ftp,Xmpp,Imap,Smtp,Protobuf等等、以及它们的SSL版本;

通杀所有应用层框架,包括HttpUrlConnection、Okhttp1/3/4、Retrofit/Volley等等;

无视加固,不管是整体壳还是二代壳或VMP,不用考虑加固的事情;

App收发包函数定位功能

App客户端证书导出功能

host连接方式“-H”,用于Frida-server监听在非标准端口时的连接

http 抓包分析

    Java.use("java.net.SocketOutputStream").socketWrite0.overload('java.io.FileDescriptor', '[B', 'int', 'int').implementation = function (fd, bytearry, offset, byteCount) {

      var result = this.socketWrite0(fd, bytearry, offset, byteCount);

      var message = {};

      message["function"] = "HTTP_send";

      message["ssl_session_id"] = "";

      message["src_addr"] = ntohl(ipToNumber((this.socket.value.getLocalAddress().toString().split(":")[0]).split("/").pop()));

      message["src_port"] = parseInt(this.socket.value.getLocalPort().toString());

      message["dst_addr"] = ntohl(ipToNumber((this.socket.value.getRemoteSocketAddress().toString().split(":")[0]).split("/").pop()));

      message["dst_port"] = parseInt(this.socket.value.getRemoteSocketAddress().toString().split(":").pop());

      message["stack"] = Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()).toString();

      var ptr = Memory.alloc(byteCount);

      for (var i = 0; i < byteCount; ++i)

        Memory.writeS8(ptr.add(i), bytearry[offset + i]);

      send(message, Memory.readByteArray(ptr, byteCount))

      return result;

    }

    Java.use("java.net.SocketInputStream").socketRead0.overload('java.io.FileDescriptor', '[B', 'int', 'int', 'int').implementation = function (fd, bytearry, offset, byteCount, timeout) {

      var result = this.socketRead0(fd, bytearry, offset, byteCount, timeout);

      var message = {};

      message["function"] = "HTTP_recv";

      message["ssl_session_id"] = "";

      message["src_addr"] = ntohl(ipToNumber((this.socket.value.getRemoteSocketAddress().toString().split(":")[0]).split("/").pop()));

      message["src_port"] = parseInt(this.socket.value.getRemoteSocketAddress().toString().split(":").pop());

      message["dst_addr"] = ntohl(ipToNumber((this.socket.value.getLocalAddress().toString().split(":")[0]).split("/").pop()));

      message["dst_port"] = parseInt(this.socket.value.getLocalPort());

      message["stack"] = Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()).toString();

      if (result > 0) {

        var ptr = Memory.alloc(result);

        for (var i = 0; i < result; ++i)

          Memory.writeS8(ptr.add(i), bytearry[offset + i]);

        send(message, Memory.readByteArray(ptr, result))

      }

      return result;

    }

这里通过的是hook jdk 中提供的SocketInputStream 的socketWrite0 ,socketRead0 这两个底层的api接口,实现对数据进行dump,

那么不管是任何java层的第三方或者系统接口,最终会调取到socketWrite0 ,socketRead0来实现流量的收发, 这样就实现了不管是okhttp 还是retrofit ,流量最终都可以dump下来

HTTPS 抓包分析

Interceptor.attach(addresses["SSL_read"],

  {

    onEnter: function (args) {

      var message = getPortsAndAddresses(SSL_get_fd(args[0]), true);

      message["ssl_session_id"] = getSslSessionId(args[0]);

      message["function"] = "SSL_read";

      message["stack"] = SSLstackread;

      this.message = message;

      this.buf = args[1];

    },

    onLeave: function (retval) {

      retval |= 0; // Cast retval to 32-bit integer.

      if (retval <= 0) {

        return;

      }

      send(this.message, Memory.readByteArray(this.buf, retval));

    }

  });

Interceptor.attach(addresses["SSL_write"],

  {

    onEnter: function (args) {

      var message = getPortsAndAddresses(SSL_get_fd(args[0]), false);

      message["ssl_session_id"] = getSslSessionId(args[0]);

      message["function"] = "SSL_write";

      message["stack"] = SSLstackwrite;

      send(message, Memory.readByteArray(args[1], parseInt(args[2])));

    },

    onLeave: function (retval) {

    }

  });

通过hook http://aospxref.com/android-8.1.0_r81/xref/external/conscrypt/common/src/main/java/org/conscrypt/NativeCrypto.java

的 native 方法 SSL_read SSL_write, 使流量进入SSL层时对数据进行dump

客户端证书导出功能

    function storeP12(pri, p7, p12Path, p12Password) {

      var X509Certificate = Java.use("java.security.cert.X509Certificate")

      var p7X509 = Java.cast(p7, X509Certificate);

      var chain = Java.array("java.security.cert.X509Certificate", [p7X509])

      var ks = Java.use("java.security.KeyStore").getInstance("PKCS12", "BC");

      ks.load(null, null);

      ks.setKeyEntry("client", pri, Java.use('java.lang.String').$new(p12Password).toCharArray(), chain);

      try {

        var out = Java.use("java.io.FileOutputStream").$new(p12Path);

        ks.store(out, Java.use('java.lang.String').$new(p12Password).toCharArray())

      } catch (exp) {

        console.log(exp)

      }

    }

    //在服务器校验客户端的情形下,帮助dump客户端证书,并保存为p12的格式,证书密码为r0ysue

    Java.use("java.security.KeyStore$PrivateKeyEntry").getPrivateKey.implementation = function () {

      var result = this.getPrivateKey()

      var packageName = Java.use("android.app.ActivityThread").currentApplication().getApplicationContext().getPackageName();

      storeP12(this.getPrivateKey(), this.getCertificate(), '/sdcard/Download/' + packageName + uuid(10, 16) + '.p12', 'r0ysue');

      var message = {};

      message["function"] = "dumpClinetCertificate=>" + '/sdcard/Download/' + packageName + uuid(10, 16) + '.p12' + '   pwd: r0ysue';

      message["stack"] = Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new());

      var data = Memory.alloc(1);

      send(message, Memory.readByteArray(data, 1))

      return result;

    }

    Java.use("java.security.KeyStore$PrivateKeyEntry").getCertificateChain.implementation = function () {

      var result = this.getCertificateChain()

      var packageName = Java.use("android.app.ActivityThread").currentApplication().getApplicationContext().getPackageName();

      storeP12(this.getPrivateKey(), this.getCertificate(), '/sdcard/Download/' + packageName + uuid(10, 16) + '.p12', 'r0ysue');

      var message = {};

      message["function"] = "dumpClinetCertificate=>" + '/sdcard/Download/' + packageName + uuid(10, 16) + '.p12' + '   pwd: r0ysue';

      message["stack"] = Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new());

      var data = Memory.alloc(1);

      send(message, Memory.readByteArray(data, 1))

      return result;

    }

通过hook KeyStore$PrivateKeyEntry 将证书导出到/sdcard/Download/

r0capture 原理分析的更多相关文章

  1. Handler系列之原理分析

    上一节我们讲解了Handler的基本使用方法,也是平时大家用到的最多的使用方式.那么本节让我们来学习一下Handler的工作原理吧!!! 我们知道Android中我们只能在ui线程(主线程)更新ui信 ...

  2. Java NIO使用及原理分析(1-4)(转)

    转载的原文章也找不到!从以下博客中找到http://blog.csdn.net/wuxianglong/article/details/6604817 转载自:李会军•宁静致远 最近由于工作关系要做一 ...

  3. 原子类java.util.concurrent.atomic.*原理分析

    原子类java.util.concurrent.atomic.*原理分析 在并发编程下,原子操作类的应用可以说是无处不在的.为解决线程安全的读写提供了很大的便利. 原子类保证原子的两个关键的点就是:可 ...

  4. Android中Input型输入设备驱动原理分析(一)

    转自:http://blog.csdn.net/eilianlau/article/details/6969361 话说Android中Event输入设备驱动原理分析还不如说Linux输入子系统呢,反 ...

  5. 转载:AbstractQueuedSynchronizer的介绍和原理分析

    简介 提供了一个基于FIFO队列,可以用于构建锁或者其他相关同步装置的基础框架.该同步器(以下简称同步器)利用了一个int来表示状态,期望它能够成为实现大部分同步需求的基础.使用的方法是继承,子类通过 ...

  6. Camel运行原理分析

    Camel运行原理分析 以一个简单的例子说明一下camel的运行原理,例子本身很简单,目的就是将一个目录下的文件搬运到另一个文件夹,处理器只是将文件(限于文本文件)的内容打印到控制台,首先代码如下: ...

  7. NOR Flash擦写和原理分析

    NOR Flash擦写和原理分析 1. NOR FLASH 的简单介绍 NOR FLASH 是很常见的一种存储芯片,数据掉电不会丢失.NOR FLASH支持Execute On Chip,即程序可以直 ...

  8. 使用AsyncTask异步更新UI界面及原理分析

    概述: AsyncTask是在Android SDK 1.5之后推出的一个方便编写后台线程与UI线程交互的辅助类.AsyncTask的内部实现是一个线程池,所有提交的异步任务都会在这个线程池中的工作线 ...

  9. (转)Android 系统 root 破解原理分析

    现在Android系统的root破解基本上成为大家的必备技能!网上也有很多中一键破解的软件,使root破解越来越容易.但是你思考过root破解的 原理吗?root破解的本质是什么呢?难道是利用了Lin ...

  10. SPI协议及工作原理分析

    说明.文章摘自:SPI协议及其工作原理分析 http://blog.csdn.net/skyflying2012/article/details/11710801 一.概述. SPI, Serial ...

随机推荐

  1. [转帖]TIDB - TIDB集群的扩容和缩容及TIUP指令说明

    一.TIUP工具简介 前面介绍了使用TIUP搭建TIDB集群,本篇文章详细介绍下使用TIUP对集群进行扩容和缩容. 在面对双十一这种流量突峰的场景,我们平常的TIDB集群有可能承受不住,因此需要提前进 ...

  2. [转帖]Jmeter接口测试:参数化

    Jmeter接口请求中的参数经常需要通过参数进行赋值 引用形式:${} 变量时:${变量名} 函数时,${_函数名(参数1,参数2,参数3)} 值中"${n}"中,n为变量名:&q ...

  3. 【转帖】Alpaca 7B:斯坦福从LLaMA-7B微调的语言模型

    https://www.jianshu.com/p/f8f8f660d2c3 https://crfm.stanford.edu/2023/03/13/alpaca.html https://crfm ...

  4. [转帖]【JVM】类文件结构

    Class文件的定义 一组以8字节为基础单位的二进制流, 各个数据项目严格按照顺序紧凑排列在class文件中, 中间没有任何分隔符,这使得class文件中存储的内容几乎是全部程序运行的程序. 注:Ja ...

  5. Mysql数据库部分管理命令极简学习总结

    背景 今天遇到一个得很奇怪的问题. Mysql一个运行时间很长的select阻塞了对select里面左连接表做create index 操作的SQL 当时感觉不应该, 一直以为读锁不会与独占更新锁互斥 ...

  6. 手把手带你开发starter,点对点带你讲解原理

    京东物流 孔祥东 _____ _ ____ _ / ____| (_) | _ \ | | | (___ _ __ _ __ _ _ __ __ _| |_) | ___ ___ | |_ \___ ...

  7. vue如何在render函数中使用判断(2)

    h函数的三个参数 第一个参数是必须的. 类型:{String | Object | Function} 一个 HTML 标签名.一个组件.一个异步组件.或一个函数式组件. 是要渲染的html标签. 第 ...

  8. 动态添加input,然后获取所有的input框中的值

    今天遇见一个问题. 点击按钮,动态添加input框(可以添加多个) 然后搜集用户在input中输入的值. 我刚刚在纠结,给input框中注入事件. 但是这样会很麻烦. 经过同事的指点. 我直接去拿v- ...

  9. vue同步组件和异步组件的区别

    异步组件 异步组件:只在组件需要渲染(组件第一次显示)的时候进行加载渲染并缓存,缓存是以备下次访问. Vue实现按需加载 在打包的时候,会打包成单独的js文件存储在static/js文件夹里面** 在 ...

  10. Java 自增自减运算符和移位运算符介绍

    摘自 JavaGuide (「Java学习+面试指南」一份涵盖大部分 Java 程序员所需要掌握的核心知识.准备 Java 面试,首选 JavaGuide!) 自增自减运算符 在写代码的过程中,常见的 ...