[原创]利用Hook技术实现对Instagram的抓包

2021-4-25 20:26 19495

[原创]利用Hook技术实现对Instagram的抓包

sunfishi

2021-4-25 20:26

19495

利用Hook技术实现Instagram抓包

前言

听别人说Instagram没法抓包，于是这篇文章诞生了。

Instagram的防护做的很好，自己实现了一层SSL，直接过掉了r0capture等一些常见的工具，既然大佬的轮子用不了，那就只能自己动手了。

分析样本：Instagram 184.0.0.30.117

思路

使用反编译工具导入，发现对变量名进行了混淆，先捋一下思路：

抓不到包，看不到关键字，那就只能根据经验猜测字段了，APP有登录功能，尝试搜索常见的API名称 login，login/，login"，"login"，"login 。定位到URI的处理点在附近查看有没有关于协议头，URL和HTTP的处理。找到底层Send函数，Hook，拿到HTTP报文。

定位迷途

一番查找之后，初步断定URI的处理在X.6s1中

这里的参数生成的过程及算法暂时不去管，先抓到包才是首要的~

通过参数r3，追到了X.0uU，翻看之后看到了一堆像是协议头的操作

又发现了https链接的格式化，Hook试了试，URL就出来了。

之后线索就断了，堆栈回溯看了都没什么发现，突破点是在查看交叉引用向上找，在X.222.A7c，发现了一个用于打印错误的函数。

本着死马当活马医的想法，搜了一下builder.，发现了可疑点

跟进去看，尝试Hook了一下，调用到了这个类

再Hook看了看调用的A02方法，看看有没有找歪~

既然没找错，看A02方法，发现JADX反编译不出来，换用GDA。

明显的协议头，明显的http，引用了apache开源的HTTP框架

executeWithDefragmentation调用了sendHeadersWithBodyAndEom

继续往下看

已经到底了...再往下就是Native，再追下去没什么意义，所以下面就是最终的Hook了~

HOOK打印HTTP报文

综上分析，只需要Hook com.facebook.proxygen.JniHandler.sendHeadersWithBodyAndEom 就能得到包数据了。

google了一下org.apache.http的源码：org.apache.http - Google

function getClassName(obj) {
    const objClass = Java.use("java.lang.Object").getClass.apply(obj);
    return Java.use("java.lang.Class").getName.apply(objClass);
}
function getNetPack() {
    Java.perform(function(){
        var jString = Java.use("java.lang.String");
        var jHttpMessage = Java.use("org.apache.http.HttpMessage");
        var JniHandler = Java.use("com.facebook.proxygen.JniHandler");
        var jBasicHeader = Java.use("org.apache.http.message.BasicHeader");
        JniHandler.sendRequestWithBodyAndEom.overload('org.apache.http.client.methods.HttpUriRequest', '[B', 'int', 'int').implementation = function(jHttpUriRequest,bArr,i,i2){
            console.log("\n-------------------------Headers-------------------------\n");
            console.log(jhttpUriRequest.getURI() + "\n");
            var headers = Java.cast(jhttpUriRequest, jHttpMessage).getAllHeaders();
            for(var i = 0; i < headers.length; i++) {
                if (getClassName(headers[i]) === "org.apache.http.message.BasicHeader") {
                    console.log(Java.cast(headers[i], jBasicHeader).toString());
                } else {
                    console.log(headers[i].toString());
                }
            }
            console.log("\n" + jString.$new(bArr) + "\n");
            return this.sendRequestWithBodyAndEom(jHttpUriRequest,bArr,i,i2);
        }
    })
}
setImmediate(function(){
    setTimeout(getNetPack,10);
})

你以为就这样完了？

没错，就这样完了。(逃~)

题外话

看了看enc_password的加密，看起来是RSA+AES-GCM，满心欢喜。

仔细一看native层调用，动态加载so… dump出来一看是vmp，mmp…

[CTF入门培训]顶尖高校博士及硕士团队亲授《30小时教你玩转CTF》，视频+靶场+题目！助力进入CTF世界

最后于 2021-4-25 20:44 被sunfishi编辑，原因：格式问题

#逆向分析 #HOOK注入

收藏・39

点赞・7

打赏

最新回复 (17)
乐不思蜀1 雪币： 198 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 2 关注私信	乐不思蜀1 2021-4-26 16:40 2 楼 0 支持！
eviliori 雪币： 183 活跃值： (188) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 2 关注私信	eviliori 2021-4-26 17:18 3 楼 0 支持~
KwaiChing 雪币： 365 活跃值： (864) 能力值： ( LV9，RANK：186 ) 在线值：发帖 8 回帖 59 粉丝 8 关注私信	KwaiChing 2021-4-26 19:07 4 楼 0 Response呢?
sunfishi 雪币： 8731 活跃值： (5493) 能力值： ( LV13，RANK：296 ) 在线值：发帖 10 回帖 79 粉丝 94 关注私信	sunfishi 4 2021-4-26 20:38 5 楼 0 KwaiChing Response呢? java层没找到好办法去hook
KwaiChing 雪币： 365 活跃值： (864) 能力值： ( LV9，RANK：186 ) 在线值：发帖 8 回帖 59 粉丝 8 关注私信	KwaiChing 2021-4-27 10:30 6 楼 0 so在哪返回,onResponse 只有Header
@=llfly 雪币： 248 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 58 粉丝 1 关注私信	@=llfly 2021-4-27 16:16 7 楼 0 感谢分享！！ "看A02方法，发现JADX反编译不出来，换用GDA" GDA比JADX反编译能力强？（没用过GDA）
sunfishi 雪币： 8731 活跃值： (5493) 能力值： ( LV13，RANK：296 ) 在线值：发帖 10 回帖 79 粉丝 94 关注私信	sunfishi 4 2021-4-27 17:10 8 楼 0 @=llfly 感谢分享！！ "看A02方法，发现JADX反编译不出来，换用GDA" GDA比JADX反编译能力强？（没用过GDA）各有千秋把，目前看来GDA的反编译能力还是不错的
sunfishi 雪币： 8731 活跃值： (5493) 能力值： ( LV13，RANK：296 ) 在线值：发帖 10 回帖 79 粉丝 94 关注私信	sunfishi 4 2021-4-27 17:11 9 楼 0 KwaiChing so在哪返回,onResponse 只有Header 没有继续研究下去，so使用了vmp，能力不够
caolinkai 雪币： 3730 活跃值： (3961) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 817 粉丝 1 关注私信	caolinkai 2021-5-8 09:12 10 楼 0 sunfishi 没有继续研究下去，so使用了vmp，能力不够 Response呢?
呼吸24K纯氧雪币： 28 活跃值： (444) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 2 关注私信	呼吸24K纯氧 2021-5-8 09:32 11 楼 3 Instagram 可以通过JADX搜索 "ig_android_whitehat_options_universe" 定位强制开启`白帽模式`抓包。
万里星河雪币： 62 活跃值： (572) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 507 粉丝 3 关注私信	万里星河 2021-5-8 13:14 13 楼 0 Instagram是啥
smartdon 雪币： 3539 活跃值： (911) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 101 粉丝 33 关注私信	smartdon 1 2021-5-10 10:32 14 楼 0 樟树. 用xposed来hook某方法，能不能知道是哪里调用了该方法可以，你new一个异常，然后通过异常获取调用栈就行了
sunfishi 雪币： 8731 活跃值： (5493) 能力值： ( LV13，RANK：296 ) 在线值：发帖 10 回帖 79 粉丝 94 关注私信	sunfishi 4 2021-5-10 12:05 15 楼 0 谢谢大佬们指点最后于 2021-5-10 13:09 被sunfishi编辑，原因：
DirtyAngle 雪币： 52 活跃值： (3274) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 106 粉丝 41 关注私信	DirtyAngle 2021-6-25 00:13 16 楼 1 patch掉Facebook的proxygen::SSLVerification::verifyWithMetrics函数即可， java层各种verify无用。之装逼不透露具体细节 qq ⑦三司儿48五3Ⅶ
江川lyw 雪币： 233 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	江川lyw 2021-12-22 16:01 17 楼 0 呼吸24K纯氧 Instagram 可以通过JADX搜索 "ig_android_whitehat_options_universe" 定位强制开启`白帽模式`抓包。大佬能详细说一下嘛
mb_zfzmjwzv 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_zfzmjwzv 2023-6-27 10:50 18 楼 0 请问还有这个版本的ins apk么，现在新版本没有走这个函数
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

sunfishi

发帖

回帖

296

RANK

关注

私信

他的文章

[原创] Go AST 浅析

[原创]KCTF2022 Q1 第四题飞蛾扑火

KCTF2022 Q1 第三题石像病毒

[原创]KCTF2022 Q1签到题险象环生

[原创] KCTF2021秋季赛声名远扬

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
乐不思蜀1 雪币： 198 活跃值： (616) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 31 粉丝 2 关注私信	乐不思蜀1 2021-4-26 16:40 2 楼 0 支持！
eviliori 雪币： 183 活跃值： (188) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 37 粉丝 2 关注私信	eviliori 2021-4-26 17:18 3 楼 0 支持~
KwaiChing 雪币： 365 活跃值： (864) 能力值： ( LV9，RANK：186 ) 在线值：发帖 8 回帖 59 粉丝 8 关注私信	KwaiChing 2021-4-26 19:07 4 楼 0 Response呢?
sunfishi 雪币： 8731 活跃值： (5493) 能力值： ( LV13，RANK：296 ) 在线值：发帖 10 回帖 79 粉丝 94 关注私信	sunfishi 4 2021-4-26 20:38 5 楼 0 KwaiChing Response呢? java层没找到好办法去hook
KwaiChing 雪币： 365 活跃值： (864) 能力值： ( LV9，RANK：186 ) 在线值：发帖 8 回帖 59 粉丝 8 关注私信	KwaiChing 2021-4-27 10:30 6 楼 0 so在哪返回,onResponse 只有Header
@=llfly 雪币： 248 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 58 粉丝 1 关注私信	@=llfly 2021-4-27 16:16 7 楼 0 感谢分享！！ "看A02方法，发现JADX反编译不出来，换用GDA" GDA比JADX反编译能力强？（没用过GDA）
sunfishi 雪币： 8731 活跃值： (5493) 能力值： ( LV13，RANK：296 ) 在线值：发帖 10 回帖 79 粉丝 94 关注私信	sunfishi 4 2021-4-27 17:10 8 楼 0 @=llfly 感谢分享！！ "看A02方法，发现JADX反编译不出来，换用GDA" GDA比JADX反编译能力强？（没用过GDA）各有千秋把，目前看来GDA的反编译能力还是不错的
sunfishi 雪币： 8731 活跃值： (5493) 能力值： ( LV13，RANK：296 ) 在线值：发帖 10 回帖 79 粉丝 94 关注私信	sunfishi 4 2021-4-27 17:11 9 楼 0 KwaiChing so在哪返回,onResponse 只有Header 没有继续研究下去，so使用了vmp，能力不够
caolinkai 雪币： 3730 活跃值： (3961) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 817 粉丝 1 关注私信	caolinkai 2021-5-8 09:12 10 楼 0 sunfishi 没有继续研究下去，so使用了vmp，能力不够 Response呢?
呼吸24K纯氧雪币： 28 活跃值： (444) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 2 关注私信	呼吸24K纯氧 2021-5-8 09:32 11 楼 3 Instagram 可以通过JADX搜索 "ig_android_whitehat_options_universe" 定位强制开启`白帽模式`抓包。
万里星河雪币： 62 活跃值： (572) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 507 粉丝 3 关注私信	万里星河 2021-5-8 13:14 13 楼 0 Instagram是啥
smartdon 雪币： 3539 活跃值： (911) 能力值： ( LV6，RANK：80 ) 在线值：发帖 9 回帖 101 粉丝 33 关注私信	smartdon 1 2021-5-10 10:32 14 楼 0 樟树. 用xposed来hook某方法，能不能知道是哪里调用了该方法可以，你new一个异常，然后通过异常获取调用栈就行了
sunfishi 雪币： 8731 活跃值： (5493) 能力值： ( LV13，RANK：296 ) 在线值：发帖 10 回帖 79 粉丝 94 关注私信	sunfishi 4 2021-5-10 12:05 15 楼 0 谢谢大佬们指点最后于 2021-5-10 13:09 被sunfishi编辑，原因：
DirtyAngle 雪币： 52 活跃值： (3274) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 106 粉丝 41 关注私信	DirtyAngle 2021-6-25 00:13 16 楼 1 patch掉Facebook的proxygen::SSLVerification::verifyWithMetrics函数即可， java层各种verify无用。之装逼不透露具体细节 qq ⑦三司儿48五3Ⅶ
江川lyw 雪币： 233 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 8 粉丝 0 关注私信	江川lyw 2021-12-22 16:01 17 楼 0 呼吸24K纯氧 Instagram 可以通过JADX搜索 "ig_android_whitehat_options_universe" 定位强制开启`白帽模式`抓包。大佬能详细说一下嘛
mb_zfzmjwzv 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	mb_zfzmjwzv 2023-6-27 10:50 18 楼 0 请问还有这个版本的ins apk么，现在新版本没有走这个函数
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复