[分享]local Key Attestation 验证饶过-Android安全-看雪-安全社区|安全招聘|kanxue.com

[分享]local Key Attestation 验证饶过

2023-12-24 01:17 6539

[分享]local Key Attestation 验证饶过

pareto

2023-12-24 01:17

6539

书接上文 https://bbs.kanxue.com/thread-279799.htm

自己做了一个本地绕过的脚本效果不是很理想，又去研究大佬的脚本，这个大佬的每次commit 基本我都看了，被大佬的底蕴折服，也印证了一句话，知识面越广，攻击面越广。

https://github.com/chiteroman/BootloaderSpoofer

思路1

评论里hook verify的思路，逻辑如图：

public class Xposed implements IXposedHookLoadPackage {
    private static int indexOf(byte[] array) {
        final byte[] PATTERN = {48, 74, 4, 32, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 1, 0, 10, 1, 2};
        outer:
        for (int i = 0; i < array.length - PATTERN.length + 1; i++) {
            for (int j = 0; j < PATTERN.length; j++) {
                if (array[i + j] != PATTERN[j]) {
                    continue outer;
                }
            }
            return i;
        }
        return -1;
    }
 
    @Override
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam lpparam) {
        try {
            KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore");
            KeyStoreSpi keyStoreSpi = (KeyStoreSpi) XposedHelpers.getObjectField(keyStore, "keyStoreSpi");
            XposedHelpers.findAndHookMethod(keyStoreSpi.getClass(), "engineGetCertificateChain", String.class, new XC_MethodHook() {
                @Override
                protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                    Certificate[] certificates = (Certificate[]) param.getResultOrThrowable();
                    if (certificates[0] instanceof X509Certificate cert) {
 
                        for (Method method : cert.getClass().getMethods()) {
                            if (method.getName().toLowerCase(Locale.ROOT).contains("verify")) {
                                // verify 不抛出异常表示验证通过
                                XposedBridge.hookMethod(method, XC_MethodReplacement.DO_NOTHING);
                            }
                        }
 
                        //获取证书编码,修改部分偏移的数据
                        //修改Device locked:true
                        //修改Verified boot state: Verified
                        byte[] bytes = cert.getEncoded();
                        if (bytes == null || bytes.length == 0) return;
                        int index = indexOf(bytes);//这个索引？
                        if (index == -1) return;
                        bytes[index + 38] = 1;
                        bytes[index + 41] = 0;
 
                        //替换证书
                        CertificateFactory certFactory = CertificateFactory.getInstance("X.509");
                        X509Certificate modCert = (X509Certificate) certFactory.generateCertificate(new ByteArrayInputStream(bytes));
                        certificates[0] = modCert;
                        param.setResult(certificates);
                    }
                }
            });
        } catch (Throwable t) {
            XposedBridge.log(t);
        }
    }
}

这一版问题很明显，challenge 没有饶过，被修改的证书内容，实际无法通过公钥验证

new

又更新了一个版本，卧槽被大佬深厚的底蕴震撼 v3.5 , 这个版本的思路，弥补之前的短板：

challenge 没有修复
证书被修改后，实际没法通过公钥验证

那chiteroman怎么做的呢？

hook generateKeyPair ，返回插件预置的公私钥
hook setAttestationChallenge ，实时获取challenge
替代 engineGetCertificateChain 函数，伪造整条证书链、并写入challenge

是吧这个思路看起来很nice ，不过也存在问题 , 始终使用的内置的公私钥。换句话说，无论生成几次公私钥，始终是同一个公私钥,这一点问题。

正常产生的公钥

有问题

怎么解决呢？

内置多个证书
中间人实时生产证书

我正在开发的脚本，思路就是直接走一个中间人发证书。

因为个人兴趣原因，后续可能也会做很多设备异常判定的研究，有相同志向的小伙伴不做黑产！！纯研究，可以私信我。我看人多的话，就拉个群大家一起交流。

https://github.com/chiteroman/BootloaderSpoofer
https://github.com/doom-man/bypasskeyattestation/blob/main/docs/other.md

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

#基础理论 #系统相关 #源码框架

收藏・12

点赞・3

打赏

最新回复 (14)
秋狝雪币： 19349 活跃值： (28971) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1565 粉丝 29 关注私信	秋狝 2023-12-24 16:39 2 楼 1 感谢分享
你瞒我瞒雪币： 1729 活跃值： (8702) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 2 关注私信	你瞒我瞒 2023-12-25 09:52 3 楼 0 感谢分享，已经发了私信，看到拉我一下
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 814 粉丝 5 关注私信	iceway 2023-12-28 11:46 4 楼 0 这个内容干货很多，已经发了私信，能拉一下一起研究吗？
yyb 雪币： 233 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	yyb 2023-12-28 19:01 5 楼 0 咦，这个是52早还是看雪早，两边同时有这个贴？
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 2023-12-30 12:55 6 楼 0 拉我一下。一起研究
ADR66 雪币： 1144 活跃值： (1994) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	ADR66 2023-12-31 08:29 7 楼 0 这个内容干货很多，已经发了私信，能拉一下一起研究吗？
sogohere 雪币： 124 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 1 关注私信	sogohere 2024-1-1 10:26 8 楼 0 谢谢大神分享！
蓝色格调雪币： 0 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	蓝色格调 2024-1-16 19:00 9 楼 0 “伪造整条证书链、并写入challenge”，证书链可以怎么获取呢？
pedies 雪币： 69 活跃值： (335) 能力值： ( LV5，RANK：70 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	pedies 2024-1-20 18:44 10 楼 0 大佬拉我入群
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 2024-2-1 08:55 11 楼 0 实际上上使用中间人产生多个证书不可行。因为中间人证书也是在手机安全环境中生成。除非用最后生成的用户证书继续派生下一级用户证书，这样会存在两个证书都包含extensionOID 。这个问题需要特殊处理一下
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 2024-2-1 09:00 12 楼 0 大家有兴趣的。我拉个群一起探讨？企鹅 383156428
pareto 雪币： 463 活跃值： (2536) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 32 粉丝 27 关注私信	pareto 2024-2-19 15:27 13 楼 0 空空的爸爸实际上上使用中间人产生多个证书不可行。因为中间人证书也是在手机安全环境中生成。除非用最后生成的用户证书继续派生下一级用户证书，这样会存在两个证书都包含extensionOID 。这个问题需要特殊处理一 ... 中间人生成完整的证书链， extensionOID有什么问题吗
pareto 雪币： 463 活跃值： (2536) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 32 粉丝 27 关注私信	pareto 2024-2-19 15:36 14 楼 0 相关研究方向的可以进电报 https://t.me/+V4B4K7LtH4U0NTU1 ，最近研究方向偏移，近期可能不会更新，更新了，会发的
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 2024-3-4 13:23 15 楼 0 pareto 中间人生成完整的证书链， extensionOID有什么问题吗中间人怎么生成完整的证书链？从手机里面拿到的只能是用户证书、
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

pareto

发帖

回帖

RANK

关注

私信

他的文章

[分享]local Key Attestation 验证饶过

[原创]Key Attestation 密钥认证流程和饶过思路

[原创]模拟点击品类分析

[原创]android 在未加载模块的某偏移地址处下断点的小插件

null

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
秋狝雪币： 19349 活跃值： (28971) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1565 粉丝 29 关注私信	秋狝 2023-12-24 16:39 2 楼 1 感谢分享
你瞒我瞒雪币： 1729 活跃值： (8702) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 201 粉丝 2 关注私信	你瞒我瞒 2023-12-25 09:52 3 楼 0 感谢分享，已经发了私信，看到拉我一下
iceway 雪币： 19 活跃值： (1056) 能力值： ( LV2，RANK：10 ) 在线值：发帖 89 回帖 814 粉丝 5 关注私信	iceway 2023-12-28 11:46 4 楼 0 这个内容干货很多，已经发了私信，能拉一下一起研究吗？
yyb 雪币： 233 活跃值： (87) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	yyb 2023-12-28 19:01 5 楼 0 咦，这个是52早还是看雪早，两边同时有这个贴？
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 2023-12-30 12:55 6 楼 0 拉我一下。一起研究
ADR66 雪币： 1144 活跃值： (1994) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	ADR66 2023-12-31 08:29 7 楼 0 这个内容干货很多，已经发了私信，能拉一下一起研究吗？
sogohere 雪币： 124 活跃值： (349) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 1 关注私信	sogohere 2024-1-1 10:26 8 楼 0 谢谢大神分享！
蓝色格调雪币： 0 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	蓝色格调 2024-1-16 19:00 9 楼 0 “伪造整条证书链、并写入challenge”，证书链可以怎么获取呢？
pedies 雪币： 69 活跃值： (335) 能力值： ( LV5，RANK：70 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	pedies 2024-1-20 18:44 10 楼 0 大佬拉我入群
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 2024-2-1 08:55 11 楼 0 实际上上使用中间人产生多个证书不可行。因为中间人证书也是在手机安全环境中生成。除非用最后生成的用户证书继续派生下一级用户证书，这样会存在两个证书都包含extensionOID 。这个问题需要特殊处理一下
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 2024-2-1 09:00 12 楼 0 大家有兴趣的。我拉个群一起探讨？企鹅 383156428
pareto 雪币： 463 活跃值： (2536) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 32 粉丝 27 关注私信	pareto 2024-2-19 15:27 13 楼 0 空空的爸爸实际上上使用中间人产生多个证书不可行。因为中间人证书也是在手机安全环境中生成。除非用最后生成的用户证书继续派生下一级用户证书，这样会存在两个证书都包含extensionOID 。这个问题需要特殊处理一 ... 中间人生成完整的证书链， extensionOID有什么问题吗
pareto 雪币： 463 活跃值： (2536) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 32 粉丝 27 关注私信	pareto 2024-2-19 15:36 14 楼 0 相关研究方向的可以进电报 https://t.me/+V4B4K7LtH4U0NTU1 ，最近研究方向偏移，近期可能不会更新，更新了，会发的
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 2024-3-4 13:23 15 楼 0 pareto 中间人生成完整的证书链， extensionOID有什么问题吗中间人怎么生成完整的证书链？从手机里面拿到的只能是用户证书、
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复