[原创] 字节系app通用抓包方案-Android安全-看雪-安全社区|安全招聘|kanxue.com

[原创] 字节系app通用抓包方案

发表于: 2024-1-11 12:28 17866

[原创] 字节系app通用抓包方案

墨穹呢

2024-1-11 12:28

17866

已测试某音(28.4.0), 某茄小说(6.0.5.32)

获取SSL_CTX_set_custom_verify的参数3(回调函数)

让回调函数的返回值保持为0, 即ssl_verify_ok即可

首先获取一下SSL_CTX_set_custom_verify

spwan模式启动下应用frida -U -f com.ss.xxx.xxx.aweme -l byteDance.js

注入后提示报错: Error: unable to find module 'libsscronet.so'

很明显, 问题的原因在于注入的时机过早, so还没有加载进来, 解决办法有2个:

当监听到so被加载时进行hook操作, hook到SSL_CTX_set_custom_verify后, 获取参数3并hook它, 让此函数执行完成后的返回值保持为0即可

完整代码已经上传至github

void SSL_CTX_set_custom_verify(SSL_CTX *ctx, int mode, enum ssl_verify_result_t (*callback)(SSL *ssl, uint8_t *out_alert)) {
    ctx->verify_mode = mode;
    ctx->custom_verify_callback = callback;
}

void SSL_CTX_set_custom_verify(SSL_CTX *ctx, int mode, enum ssl_verify_result_t (*callback)(SSL *ssl, uint8_t *out_alert)) {

ctx->verify_mode = mode;

ctx->custom_verify_callback = callback;

}

enum ssl_verify_result_t BORINGSSL_ENUM_INT {
    ssl_verify_ok,
    ssl_verify_invalid,
    ssl_verify_retry,
};

enum ssl_verify_result_t BORINGSSL_ENUM_INT {

ssl_verify_ok,

ssl_verify_invalid,

ssl_verify_retry,

};

function main() {
    Java.perform(function () {
        let SSL_CTX_set_custom_verify = Module.getExportByName('libsscronet.so', 'SSL_CTX_set_custom_verify');
    }
}
setImmediate(main);

function main() {

Java.perform(function () {

let SSL_CTX_set_custom_verify = Module.getExportByName('libsscronet.so', 'SSL_CTX_set_custom_verify');

}

setImmediate(main);

function onLoad(name, callback) {
    //void* android_dlopen_ext(const char* filename, int flag, const android_dlextinfo* extinfo);//原型
    const android_dlopen_ext = Module.findExportByName(null, "android_dlopen_ext");
    if (android_dlopen_ext != null) {
        Interceptor.attach(android_dlopen_ext, {
            onEnter: function (args) {
                if (args[0].readCString().indexOf(name) !== -1) {
                    this.hook = true;
                }
            }, 
            onLeave: function (retval) {
                if (this.hook) {
                    callback();
                }
            }
        });
    }
}
 
onLoad(soName, () => {
    let SSL_CTX_set_custom_verify = Module.getExportByName('libsscronet.so', 'SSL_CTX_set_custom_verify');
    if (SSL_CTX_set_custom_verify != null) {
        Interceptor.attach(SSL_CTX_set_custom_verify, {
            onEnter: function (args) {
                Interceptor.attach(args[2], {
                    onLeave: function (retval) {
                        if (retval > 0x0) retval.replace(0x0);
                    }
                });
            }
        });
    }
});

function onLoad(name, callback) {

//void* android_dlopen_ext(const char* filename, int flag, const android_dlextinfo* extinfo);//原型

const android_dlopen_ext = Module.findExportByName(null, "android_dlopen_ext");

if (android_dlopen_ext != null) {

Interceptor.attach(android_dlopen_ext, {

onEnter: function (args) {

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

最后于 2024-1-11 12:31 被墨穹呢编辑，原因：

#基础理论 #逆向分析 #协议分析 #工具脚本

收藏・48

免费・9

支持

最新回复 (16)
mb_ldbucrik 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 341 粉丝 3 关注私信	mb_ldbucrik 2 楼不错的思路，向大佬学习 2024-1-11 15:02 0
错了而已~ 雪币： 31 活跃值： (220) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	错了而已~ 3 楼已经失效了,最新的版本改方法了 2024-1-12 19:13 0
严启真雪币： 12208 活跃值： (1990) 能力值： ( LV2，RANK：15 ) 在线值：发帖 4 回帖 220 粉丝 2 关注私信	严启真 4 楼错了而已~ 已经失效了,最新的版本改方法了什么方法啊？ 2024-1-12 20:07 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 5 楼感谢分享 2024-1-12 20:45 0
错了而已~ 雪币： 31 活跃值： (220) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	错了而已~ 6 楼严启真什么方法啊？不知道啊 2024-1-13 13:58 0
REHEroadchik 雪币： 15 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	REHEroadchik 7 楼最新的某柿里面已经没有这个导入函数的符号了，想要继续hook返回值也许可以inlinehook 或者patch的方式，patch可能会被热修复 2024-1-20 11:02 0
mb_zzzqbbim 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_zzzqbbim 8 楼用iOS更简单点，只需改一个字段就可以抓包了 2024-1-25 16:13 0
ting802 雪币： 15 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ting802 9 楼 mb_zzzqbbim 用iOS更简单点，只需改一个字段就可以抓包了怎么改法呢？ 2024-2-19 16:19 0
mb_jbdhpyhd 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_jbdhpyhd 10 楼给力 2024-9-6 05:40 0
mb_ldbucrik 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 341 粉丝 3 关注私信	mb_ldbucrik 11 楼 REHEroadchik 最新的某柿里面已经没有这个导入函数的符号了，想要继续hook返回值也许可以inlinehook 或者patch的方式，patch可能会被热修复请问IOS如何修改呢 2024-9-6 07:08 0
overlords 雪币： 190 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 1 关注私信	overlords 12 楼 REHEroadchik 最新的某柿里面已经没有这个导入函数的符号了，想要继续hook返回值也许可以inlinehook 或者patch的方式，patch可能会被热修复大佬可以露一手 2024-11-28 11:07 0
Necopy 雪币： 1 活跃值： (520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 1 关注私信	Necopy 13 楼失效了，最新版有方法能抓吗？ 2025-3-6 10:54 0
wx_范迪塞尔雪币： 5 活跃值： (3010) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 5 关注私信	wx_范迪塞尔 15 楼不行啊，已经获取不到了 2025-3-26 09:57 0
爬虫不看学历雪币： 567 活跃值： (2907) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 24 粉丝 152 关注私信	爬虫不看学历 16 楼 wx_范迪塞尔不行啊，已经获取不到了 frida版just_trust_me.js 2025升级支持boringssl unpinning，某APP全版本通杀 2025-4-28 11:28 0
爬虫不看学历雪币： 567 活跃值： (2907) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 24 粉丝 152 关注私信	爬虫不看学历 17 楼 frida版just_trust_me.js 2025升级支持boringssl unpinning，某APP全版本通杀 2025-4-28 11:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

墨穹呢

发帖

106

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (16)
mb_ldbucrik 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 341 粉丝 3 关注私信	mb_ldbucrik 2 楼不错的思路，向大佬学习 2024-1-11 15:02 0
错了而已~ 雪币： 31 活跃值： (220) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	错了而已~ 3 楼已经失效了,最新的版本改方法了 2024-1-12 19:13 0
严启真雪币： 12208 活跃值： (1990) 能力值： ( LV2，RANK：15 ) 在线值：发帖 4 回帖 220 粉丝 2 关注私信	严启真 4 楼错了而已~ 已经失效了,最新的版本改方法了什么方法啊？ 2024-1-12 20:07 0
caolinkai 雪币： 3836 活跃值： (4142) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 812 粉丝 1 关注私信	caolinkai 5 楼感谢分享 2024-1-12 20:45 0
错了而已~ 雪币： 31 活跃值： (220) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	错了而已~ 6 楼严启真什么方法啊？不知道啊 2024-1-13 13:58 0
REHEroadchik 雪币： 15 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	REHEroadchik 7 楼最新的某柿里面已经没有这个导入函数的符号了，想要继续hook返回值也许可以inlinehook 或者patch的方式，patch可能会被热修复 2024-1-20 11:02 0
mb_zzzqbbim 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 1 关注私信	mb_zzzqbbim 8 楼用iOS更简单点，只需改一个字段就可以抓包了 2024-1-25 16:13 0
ting802 雪币： 15 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	ting802 9 楼 mb_zzzqbbim 用iOS更简单点，只需改一个字段就可以抓包了怎么改法呢？ 2024-2-19 16:19 0
mb_jbdhpyhd 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	mb_jbdhpyhd 10 楼给力 2024-9-6 05:40 0
mb_ldbucrik 雪币： 6 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 341 粉丝 3 关注私信	mb_ldbucrik 11 楼 REHEroadchik 最新的某柿里面已经没有这个导入函数的符号了，想要继续hook返回值也许可以inlinehook 或者patch的方式，patch可能会被热修复请问IOS如何修改呢 2024-9-6 07:08 0
overlords 雪币： 190 活跃值： (101) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 1 关注私信	overlords 12 楼 REHEroadchik 最新的某柿里面已经没有这个导入函数的符号了，想要继续hook返回值也许可以inlinehook 或者patch的方式，patch可能会被热修复大佬可以露一手 2024-11-28 11:07 0
Necopy 雪币： 1 活跃值： (520) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 14 粉丝 1 关注私信	Necopy 13 楼失效了，最新版有方法能抓吗？ 2025-3-6 10:54 0
wx_范迪塞尔雪币： 5 活跃值： (3010) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 95 粉丝 5 关注私信	wx_范迪塞尔 15 楼不行啊，已经获取不到了 2025-3-26 09:57 0
爬虫不看学历雪币： 567 活跃值： (2907) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 24 粉丝 152 关注私信	爬虫不看学历 16 楼 wx_范迪塞尔不行啊，已经获取不到了 frida版just_trust_me.js 2025升级支持boringssl unpinning，某APP全版本通杀 2025-4-28 11:28 0
爬虫不看学历雪币： 567 活跃值： (2907) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 24 粉丝 152 关注私信	爬虫不看学历 17 楼 frida版just_trust_me.js 2025升级支持boringssl unpinning，某APP全版本通杀 2025-4-28 11:41 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复