在测（po）试（jie）软件时，我最不愿意遇到的情况，就是目标软件有联网验证的功能。说要改代码吧，又不知道代码里在哪儿有暗桩，改掉所有的输入输出点也麻烦的很。说要断它的网吧，又不是所有软件都提供离线激活的功能。今天我介绍一种四两拨千斤的联网验证绕过方式，不用断网，字节码改动少，外加Python不到100行。。

最近工作开会总要用企业微信在线会议，得在电脑上投屏，还得开麦（不能多点登录所以也不能用手机的麦），电脑麦克风音质实在是太垃圾了，还有环境噪音，搜来搜去找到一个软件Krisp，在声卡驱动层做音频处理，全局降噪，非常贴合我预想的应用场景，。囿于网上没有破解，只能动用我们的聪明才智来“学习”一下了。

应用分析

逆向第一步，我们得先知道，我们要逆向的软件用的是什么编程语言。Krisp这个软件很简单，打开安装目录，从 *.exe.config 文件和它引用的 Newtonsoft.Json 库就知道，这个软件是用C#编写的。

是C#就简单了。直接拖进dnSpy打开即可。这工具比当年的ILSpy强大了很多，能反编译，能调试，还能直接用C#改程序逻辑。而且很多.NET框架的程序发布出来都不带混淆的，变量、方法名写的清清楚楚，用dnSpy反编译一下，基本就和看程序源代码没有太大区别了。

在dnSpy里搜搜常见的关键字，通过关键字 trial （试用），很快就能定位到 Krisp.UI.ViewModels.KrispAppPageViewModel.UserProfileInfoChanged 函数，这个函数中除了trial还有一个模式叫unlimited。直接用dnSpy无脑给他改了。

嗯，至少界面上的试用限制已经不见了，表面上已经是尊贵的VIP客户了。

但这还不够，因为这只是程序里和UI相关的一个逻辑判断，类似的修改点肯定还有很多。很多逻辑判断都是通过和常量的对比实现，既不好找，而且一一修改也太麻烦了。

所以我们转换一下思路，程序授权状态是从网络下发的，那我们不妨以网络通信作为切入点。用我们上篇文章提到的Fiddler抓包看看，还是很简单，随便翻翻就能找到 https://api.krisp.ai/v2/user/profile/2/1 这个API。

那完事咱得给它改成啥呢？第一，JSON中 data.mode.name 这个参数得给它改成 unlimited 。第二，下面 data.settings 里有一大堆 available=True 的参数值，等试用期过后这些肯定就变成 False 了（我注册的账户还没过试用期，所以只是猜测）。所以我们截获数据修改JSON时，将这些值固定成现在的样子就好了。

破解方法对比

好了，我们最喜闻乐见的“为什么不用xxxxx”环节又来了。今天没有很多的选手参赛，。简单对比一下。

方式1：修改API网址为自建API，进行MITM（最终选择方案）

优点：在程序中需要修改的点较少，只要把网址字符串改一下就行。如果能构造一个长度相同的网址，甚至不用反编译工具去改源程序，直接字符串替换就行了。程序后续更新后，维护破解版的工作量非常小。

方式2：修改客户端，在REST API请求点对返回值进行修改

缺点：破解新版本还得重头把所有步骤来一遍。而且不同API的请求可能还在不同的Class里面。光破解一次就很费精力了。

方式3：改hosts截获API请求

不可行，生产环境的API访问都是https的。这种又不是传统的MITM攻击，不能搞sslstrip。断网就没办法正常登录使用，正常功能都被破坏了。

而搭建API用的框架，就是 mitmproxy。顾名思义，这框架就是用来做中间人的。它与其他编程语言库最大的差异是，它提供的是 修改 Web请求的API（接近其他框架中middleware的功能），而其他Web框架提供的是 解析 Web请求的能力。比如Django，它把Web请求解析出字段，丢给我们，这个请求就发不出去了。如果我想把这个请求再发出去，就得把所有字段再拼起来，调用requests发出去。 如果目标应用有几十个API怎么办？麻烦不？我们写代码，只处理最重要的逻辑，不写无聊的CRUD，真正做到，不流失，不蒸发，零浪费！

其他MITM的工具在这里就不适用了。别的工具能放在docker容器里24小时跑在VPS上么？

Mock API 搭建

我们搭建的这个山寨API，最重要的功能是能够让我们能够以类似编写middleware的方式对传入的请求、返回数据进行修改，同时没修改的API原封不动的透传回去。当然，写的代码越少越好。

既然明确了原理和工具，我们照着文档写代码就是了。不过说到文档，我得提醒一下，mitmproxy它压根就没有什么文档（微笑）。根据作者的经验，项目Github中的一些示例脚本，和 pydoc 命令行是两类比较不错的参考资料。按图索骥勉强也能写。

我们在运行 mitmproxy 时，需要用到它的reverse proxy模式，在这个模式下mitmproxy会接受普通的HTTP请求作为输入，而非特殊的HTTP Proxy请求。完整的运行参数如下：

mitmproxy -p 8081 -s krisp.py --mode reverse:http://localhost --set keep_host_header

其中，reverse: 后面的主机名称是随便输的，配合 keep_host_header 选项，同时在代码里手动将请求Header中的Host字段设置为 flow 的目的主机，只有这样才能实现在同一个端口同时反向代理多个目的主机。

下面一段代码实现的功能：

1. 重定向 api.krisp.your.domain 请求到 api.krisp.ai ，实现反向代理。
2. 将 analytics.krisp.ai 的所有请求返回虚假的返回值。
3. 对其他 host 返回404。

上段代码中我们定义的 request 函数就是 mitmproxy 提供的事件API，每条请求发出之前，这个函数就会被调用。接下来我们再实现另一个 response 函数，这个API会在mitmproxy获得Web请求的返回数据后触发（与上篇文章中的思路相似）。

而我们要做的事情很简单，将我们前文所说的部分——对 data.mode.name 和 data.settings 的修改全部实现即可。

最后，按代码示例里的格式，定义好class并声明插件列表，就可以运行 mitmdump 调用这个脚本了，在这里，我们将其起名为 krisp.py 并在8081端口上监听API请求。mitmdump和mitmproxy不同，后者是一个TUI程序，带用户界面的，前者纯运行功能，没有界面，可以类比为http协议的tcpdump，这个就很适合长期运行了。

mitmdump -p 8081 -s krisp.py --mode reverse:http://localhost --set keep_host_header

当然啦，我们也不可能每次打开软件都运行这么一行命令，多low啊。我们可以将它封装成一个Docker容器，弄到服务器上去，这样它就可以一直开着不用管啦。

如果读者想部署一个暴露公网、持续运行的激活服务器的话，建议额外在前面挂一个反代，这样log rotate和rate limit都比较方便，最简单的办法是用docker compose在前面套一个traefik，这样连SSL证书也不用自己操心了。不过这一部分配置不在本文的讨论范围之内。

最后小小的修改

我们搭了一个假API，得让目标程序用起来。这也很简单。刚才抓包不是抓到两个域名么，api.krisp.ai 和 analytics.krisp.ai 。直接全局搜索改成自己的域名和mitmdump监听的端口，就成了。

结语

这篇文章又是一个懒人的教程，两个工具，不到100行代码，实现了一个魔改版REST API，通过比较简单的方式破解了一个应用。有人会说，你这一个C#的程序又没混淆又没壳，这么简单的逆向这不是逗乐么？可再想想，基于抓包的思路哇，即使目标应用是个黑盒，猜API参数的含义还是要比猜寄存器的值简单吧。最重要的，还是搭建Web API的思路和 mitmproxy 框架的用法，这些也许会是其它场景能够用得上的知识宝藏。

参考资料

1. 金坷垃 | 鬼畜全明星 Wiki | Fandom https://guichu.fandom.com/wiki/%E9%87%91%E5%9D%B7%E5%9E%83

2. Noise Cancelling App https://krisp.ai/

3. 0xd4d/dnSpy: .NET debugger and assembly editor https://github.com/0xd4d/dnSpy

4. 攻击场景示例：DNS 伪造。 https://github.com/mitmproxy/mitmproxy/blob/ed68e0a1ba/examples/contrib/dns_spoofing.py
5. 攻击场景示例：TLS passthrough防止目标主机发现CA异常。 https://github.com/mitmproxy/mitmproxy/blob/ed68e0a1ba/examples/contrib/tls_passthrough.py
6. 插件示例：重定向截获的请求。 https://github.com/mitmproxy/mitmproxy/blob/ed68e0a1ba/examples/addons/http-redirect-requests.py
7. 插件示例：伪造返回数据，令远端服务器收不到任何消息。 https://github.com/mitmproxy/mitmproxy/blob/ed68e0a1ba/examples/addons/http-reply-from-proxy.py
8. 在 mitmproxy 的 venv 中运行 pydoc mitmproxy.http （应用层相关API，如 http.HTTPFlow 和 http.HTTPRequest）和 pydoc mitmproxy.connection （传输层相关API，获取源IP、源端口等信息）获取API文档。
9. Modes of operation - mitmproxy https://docs.mitmproxy.org/stable/concepts-modes/

原文首发于 本人博客 与个人公众号： rabyte

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课