[分享]local Key Attestation 验证饶过-Android安全-看雪-安全社区|安全招聘|kanxue.com

[分享]local Key Attestation 验证饶过

发表于: 2023-12-24 01:17 9009

[分享]local Key Attestation 验证饶过

pareto

2023-12-24 01:17

9009

书接上文 https://bbs.kanxue.com/thread-279799.htm

自己做了一个本地绕过的脚本效果不是很理想，又去研究大佬的脚本，这个大佬的每次commit 基本我都看了，被大佬的底蕴折服，也印证了一句话，知识面越广，攻击面越广。

https://github.com/chiteroman/BootloaderSpoofer

思路1

评论里hook verify的思路，逻辑如图：

public class Xposed implements IXposedHookLoadPackage {
    private static int indexOf(byte[] array) {
        final byte[] PATTERN = {48, 74, 4, 32, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 0, 1, 1, 0, 10, 1, 2};
        outer:
        for (int i = 0; i < array.length - PATTERN.length + 1; i++) {
            for (int j = 0; j < PATTERN.length; j++) {
                if (array[i + j] != PATTERN[j]) {
                    continue outer;
                }
            }
            return i;
        }
        return -1;
    }
 
    @Override
    public void handleLoadPackage(XC_LoadPackage.LoadPackageParam lpparam) {
        try {
            KeyStore keyStore = KeyStore.getInstance("AndroidKeyStore");
            KeyStoreSpi keyStoreSpi = (KeyStoreSpi) XposedHelpers.getObjectField(keyStore, "keyStoreSpi");
            XposedHelpers.findAndHookMethod(keyStoreSpi.getClass(), "engineGetCertificateChain", String.class, new XC_MethodHook() {
                @Override
                protected void afterHookedMethod(MethodHookParam param) throws Throwable {
                    Certificate[] certificates = (Certificate[]) param.getResultOrThrowable();
                    if (certificates[0] instanceof X509Certificate cert) {
 
                        for (Method method : cert.getClass().getMethods()) {
                            if (method.getName().toLowerCase(Locale.ROOT).contains("verify")) {
                                // verify 不抛出异常表示验证通过
                                XposedBridge.hookMethod(method, XC_MethodReplacement.DO_NOTHING);
                            }
                        }
 
                        //获取证书编码,修改部分偏移的数据
                        //修改Device locked:true
                        //修改Verified boot state: Verified
                        byte[] bytes = cert.getEncoded();
                        if (bytes == null || bytes.length == 0) return;
                        int index = indexOf(bytes);//这个索引？
                        if (index == -1) return;
                        bytes[index + 38] = 1;
                        bytes[index + 41] = 0;
 
                        //替换证书
                        CertificateFactory certFactory = CertificateFactory.getInstance("X.509");
                        X509Certificate modCert = (X509Certificate) certFactory.generateCertificate(new ByteArrayInputStream(bytes));
                        certificates[0] = modCert;
                        param.setResult(certificates);
                    }
                }
            });
        } catch (Throwable t) {
            XposedBridge.log(t);
        }
    }
}

这一版问题很明显，challenge 没有饶过，被修改的证书内容，实际无法通过公钥验证

new

又更新了一个版本，卧槽被大佬深厚的底蕴震撼 v3.5 , 这个版本的思路，弥补之前的短板：

challenge 没有修复
证书被修改后，实际没法通过公钥验证

那chiteroman怎么做的呢？

hook generateKeyPair ，返回插件预置的公私钥
hook setAttestationChallenge ，实时获取challenge
替代 engineGetCertificateChain 函数，伪造整条证书链、并写入challenge

是吧这个思路看起来很nice ，不过也存在问题 , 始终使用的内置的公私钥。换句话说，无论生成几次公私钥，始终是同一个公私钥,这一点问题。

正常产生的公钥

有问题

怎么解决呢？

内置多个证书
中间人实时生产证书

我正在开发的脚本，思路就是直接走一个中间人发证书。

因为个人兴趣原因，后续可能也会做很多设备异常判定的研究，有相同志向的小伙伴不做黑产！！纯研究，可以私信我。我看人多的话，就拉个群大家一起交流。

https://github.com/chiteroman/BootloaderSpoofer
https://github.com/doom-man/bypasskeyattestation/blob/main/docs/other.md

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#基础理论 #系统相关 #源码框架

收藏・13

免费・3

支持

最新回复 (18)
秋狝雪币： 2948 活跃值： (30846) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 2 楼感谢分享 2023-12-24 16:39 1
你瞒我瞒雪币： 2328 活跃值： (10364) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 248 粉丝 2 关注私信	你瞒我瞒 3 楼感谢分享，已经发了私信，看到拉我一下 2023-12-25 09:52 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 4 楼这个内容干货很多，已经发了私信，能拉一下一起研究吗？ 2023-12-28 11:46 0
yyb 雪币： 231 活跃值： (117) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	yyb 5 楼咦，这个是52早还是看雪早，两边同时有这个贴？ 2023-12-28 19:01 0
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 6 楼拉我一下。一起研究 2023-12-30 12:55 0
ADR66 雪币： 1167 活跃值： (2189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	ADR66 7 楼这个内容干货很多，已经发了私信，能拉一下一起研究吗？ 2023-12-31 08:29 0
sogohere 雪币： 124 活跃值： (374) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 1 关注私信	sogohere 8 楼谢谢大神分享！ 2024-1-1 10:26 0
蓝色格调雪币： 0 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	蓝色格调 9 楼 “伪造整条证书链、并写入challenge”，证书链可以怎么获取呢？ 2024-1-16 19:00 0
pedies 雪币： 69 活跃值： (360) 能力值： ( LV5，RANK：70 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	pedies 10 楼大佬拉我入群 2024-1-20 18:44 0
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 11 楼实际上上使用中间人产生多个证书不可行。因为中间人证书也是在手机安全环境中生成。除非用最后生成的用户证书继续派生下一级用户证书，这样会存在两个证书都包含extensionOID 。这个问题需要特殊处理一下 2024-2-1 08:55 0
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 12 楼大家有兴趣的。我拉个群一起探讨？企鹅 383156428 2024-2-1 09:00 0
pareto 雪币： 463 活跃值： (2696) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 43 粉丝 31 关注私信	pareto 13 楼空空的爸爸实际上上使用中间人产生多个证书不可行。因为中间人证书也是在手机安全环境中生成。除非用最后生成的用户证书继续派生下一级用户证书，这样会存在两个证书都包含extensionOID 。这个问题需要特殊处理一 ... 中间人生成完整的证书链， extensionOID有什么问题吗 2024-2-19 15:27 0
pareto 雪币： 463 活跃值： (2696) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 43 粉丝 31 关注私信	pareto 14 楼相关研究方向的可以进电报 https://t.me/+V4B4K7LtH4U0NTU1 ，最近研究方向偏移，近期可能不会更新，更新了，会发的 2024-2-19 15:36 0
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 15 楼 pareto 中间人生成完整的证书链， extensionOID有什么问题吗中间人怎么生成完整的证书链？从手机里面拿到的只能是用户证书、 2024-3-4 13:23 0
gunkkk 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	gunkkk 16 楼官网明确只有根证书可信，这样也改不了根证书吧？另外为什么需要hook 生成密钥对的地方，返回内置密钥？很奇怪的操作最后于 2024-6-26 10:44 被gunkkk编辑，原因： 2024-6-21 16:52 0
hacker521 雪币： 698 活跃值： (1426) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 21 关注私信	hacker521 17 楼还是过不了keyattention的检测啊？ 2024-6-24 11:43 0
pareto 雪币： 463 活跃值： (2696) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 43 粉丝 31 关注私信	pareto 18 楼理论上没有泄露的私钥搞不了 2024-6-24 12:49 0
珍惜Any 雪币： 3347 活跃值： (13988) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 391 粉丝 1233 关注私信	珍惜Any 3 19 楼文章不错，这块分享一下一个通用的思路。 1、服务端先hook 告诉客户端不支持tee和沙箱，这样客户端只能在证书初始化的时候设置第一种最弱的内存模式。 2、客户端直接参考BootloaderSpoofer 配合无痕hook去掉。（如果服务端有能直接bypass的更好） 2024-6-24 14:09 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

pareto

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (18)
秋狝雪币： 2948 活跃值： (30846) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1568 粉丝 38 关注私信	秋狝 2 楼感谢分享 2023-12-24 16:39 1
你瞒我瞒雪币： 2328 活跃值： (10364) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 248 粉丝 2 关注私信	你瞒我瞒 3 楼感谢分享，已经发了私信，看到拉我一下 2023-12-25 09:52 0
iceway 雪币： 19 活跃值： (1086) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 813 粉丝 5 关注私信	iceway 4 楼这个内容干货很多，已经发了私信，能拉一下一起研究吗？ 2023-12-28 11:46 0
yyb 雪币： 231 活跃值： (117) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 8 粉丝 1 关注私信	yyb 5 楼咦，这个是52早还是看雪早，两边同时有这个贴？ 2023-12-28 19:01 0
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 6 楼拉我一下。一起研究 2023-12-30 12:55 0
ADR66 雪币： 1167 活跃值： (2189) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 17 粉丝 0 关注私信	ADR66 7 楼这个内容干货很多，已经发了私信，能拉一下一起研究吗？ 2023-12-31 08:29 0
sogohere 雪币： 124 活跃值： (374) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 29 粉丝 1 关注私信	sogohere 8 楼谢谢大神分享！ 2024-1-1 10:26 0
蓝色格调雪币： 0 活跃值： (105) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 1 关注私信	蓝色格调 9 楼 “伪造整条证书链、并写入challenge”，证书链可以怎么获取呢？ 2024-1-16 19:00 0
pedies 雪币： 69 活跃值： (360) 能力值： ( LV5，RANK：70 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	pedies 10 楼大佬拉我入群 2024-1-20 18:44 0
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 11 楼实际上上使用中间人产生多个证书不可行。因为中间人证书也是在手机安全环境中生成。除非用最后生成的用户证书继续派生下一级用户证书，这样会存在两个证书都包含extensionOID 。这个问题需要特殊处理一下 2024-2-1 08:55 0
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 12 楼大家有兴趣的。我拉个群一起探讨？企鹅 383156428 2024-2-1 09:00 0
pareto 雪币： 463 活跃值： (2696) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 43 粉丝 31 关注私信	pareto 13 楼空空的爸爸实际上上使用中间人产生多个证书不可行。因为中间人证书也是在手机安全环境中生成。除非用最后生成的用户证书继续派生下一级用户证书，这样会存在两个证书都包含extensionOID 。这个问题需要特殊处理一 ... 中间人生成完整的证书链， extensionOID有什么问题吗 2024-2-19 15:27 0
pareto 雪币： 463 活跃值： (2696) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 43 粉丝 31 关注私信	pareto 14 楼相关研究方向的可以进电报 https://t.me/+V4B4K7LtH4U0NTU1 ，最近研究方向偏移，近期可能不会更新，更新了，会发的 2024-2-19 15:36 0
空空的爸爸雪币： 225 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 7 粉丝 1 关注私信	空空的爸爸 15 楼 pareto 中间人生成完整的证书链， extensionOID有什么问题吗中间人怎么生成完整的证书链？从手机里面拿到的只能是用户证书、 2024-3-4 13:23 0
gunkkk 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	gunkkk 16 楼官网明确只有根证书可信，这样也改不了根证书吧？另外为什么需要hook 生成密钥对的地方，返回内置密钥？很奇怪的操作最后于 2024-6-26 10:44 被gunkkk编辑，原因： 2024-6-21 16:52 0
hacker521 雪币： 698 活跃值： (1426) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 68 粉丝 21 关注私信	hacker521 17 楼还是过不了keyattention的检测啊？ 2024-6-24 11:43 0
pareto 雪币： 463 活跃值： (2696) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 43 粉丝 31 关注私信	pareto 18 楼理论上没有泄露的私钥搞不了 2024-6-24 12:49 0
珍惜Any 雪币： 3347 活跃值： (13988) 能力值： ( LV9，RANK：230 ) 在线值：发帖 30 回帖 391 粉丝 1233 关注私信	珍惜Any 3 19 楼文章不错，这块分享一下一个通用的思路。 1、服务端先hook 告诉客户端不支持tee和沙箱，这样客户端只能在证书初始化的时候设置第一种最弱的内存模式。 2、客户端直接参考BootloaderSpoofer 配合无痕hook去掉。（如果服务端有能直接bypass的更好） 2024-6-24 14:09 1
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复