-
-
[原创]TK抓包协议分析:So层逆向(底部交流群)
-
发表于: 2025-3-16 17:07
-
前言
免责声明: 本文内容仅供学习交流使用,请勿用于其他用途,如因使用本文内容而产生任何问题,与作者无关,如果本文侵害贵司权益,请联系
zhiyitracer@163.com下架处理第一章搞定了,Tk的上网环境,但是还不能抓包,因为Tk系的协议不太一样用的是QUIC协议
那我们今天的目标是绕过这个协议,让他降级,实现我们成功抓包的目的(还有会番外篇非降级抓包,可以小小期待一下)
文章尽量还原每一步,尽可能写的详细,如果还是有问题可以加我微信沟通
Alive0501
环境
- 手机
- 小米8
- 版本
- 33.4.3
准备
抓包失败
开了抓包以后APP直接是网络无连接了,并且抓到的请求也是不正常的,下面我们就开始定位
日志分析
可以从日志分析入手,看看有没有什么异常的报错
使用
adb logcat命令查看
- 先用 adb logcat -c 请一下日志
- 执行 adb logcat 命令
- 然后打开tiktok app
- 出现发生错误这个页面后停止 adb locat 命令
- 把文件保存到本地进行分析
定位(整个日志中,只有此处有发送网络请求而且失败,所以一眼定位这里)
日志里找到有一个请求URL的位置并且有一个
|Exception in CronetUrlRequest像是网络错误的请求所以分析一下这个位置
jadx反编译
拿上面的这个
Exception in CronetUrlRequest去jdax里进行搜索
上面搜索到三个位置,后两个是同一个函数,所以hook一下这两个地方,打印下堆栈
直接右键复制为Frida片段就可以了
1234567891011121314151617Java.perform(function() {let g = Java.use("org.chromium.g");g["LIZ"].implementation =function(i, i2, str) {console.log(`g.LIZ is called: i=${i}, i2=${i2}, str=${str}`);let result =this["LIZ"](i, i2, str);console.log(`g.LIZ result=${result}`);console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()));returnresult;};let CronetUrlRequest = Java.use("com.ttnet.org.chromium.net.impl.CronetUrlRequest");CronetUrlRequest["onError"].implementation =function(i, i2, i3, str, j) {console.log(`CronetUrlRequest.onError is called: i=${i}, i2=${i2}, i3=${i3}, str=${str}, j=${j}`);this["onError"](i, i2, i3, str, j);console.log(Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Throwable").$new()));};})打印结果
上面图片可以看到所有的打印都是走的
CronetUrlRequest.onError这个函数,他是一个Native层的方法 那下面来分析一下So层
定位So
直接把app文件 重命名一下
.apk改为.zip直接找到
tiktok-33-4-3.zip\lib\arm64-v8a这里面有很多so文件,怎么定位到我们需要的so文件那我这里使用grep进行搜索
grep的作用就是搜索到我们要定位的字符串在那个So文件里
grep的安装可以看这个
4ffK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6T1L8r3!0Y4i4K6u0W2j5%4y4V1L8W2)9J5k6h3&6W2N6q4)9J5c8Y4q4I4i4K6g2X3x3U0V1%4y4e0t1^5y4e0N6Q4x3V1k6S2M7Y4c8A6j5$3I4W2i4K6u0r3k6r3g2@1j5h3W2D9M7#2)9J5c8U0p5@1x3o6p5$3z5e0p5H3y4H3`.`.
把.apk后缀改为.zip
压解到一个文件夹
cd 到解压文件夹的
\lib\arm64-v8a目录 打开cmd执行命令
grep -r "CronetUrlRequest" *
显示在
libsscronet.so这个So文件中
分析So
从
\lib\arm64-v8a下面找到libsscronet.so这个文件丢到ida64中
按Shift F12 字符串搜索
CronetUrlRequest
点击
com/ttnet/org/chromium/net/impl/CronetUrlRequest
进入
sub_190028+8↓o然后按tab键
Hook下这个位置
190028这里为了方便注释Hook的代码,拆分开写的
主函数
123456789101112131415161718function hook_dlopen(module_name, fun) {var android_dlopen_ext=Module.findExportByName(null,"android_dlopen_ext");if(android_dlopen_ext) {Interceptor.attach(android_dlopen_ext, {onEnter: function (args) {pass},onLeave: function (retval) {passa}});}}function main() {hook_dlopen("libsscronet.so")}setImmediate(main)- 注释
- Hook
android_dlopen_ext监控.so加载 - 判断是不是我们要hook的"libsscronet.so"文件
- Hook
- 注释
onEnter
123456789onEnter:function(args) {varpathptr = args[0];// 读取第一个参数,它是一个指向动态库路径的指针if(pathptr) {// 确保指针有效,避免 `null` 访问错误this.path = pathptr.readCString();// 将指针解析成字符串,得到动态库的路径if(this.path.indexOf(module_name) >= 0) {// 判断路径是否包含目标库名this.canhook =true;// 发现目标库,标记 `this.canhook = true`,表示可以 hook}}}- 注释
onEnter在目标函数(android_dlopen_ext)执行前触发- 如果路径是否包含目标库名,把canhook设置为True
- 注释
onLeave
1234567891011121314onLeave:function(retval) {if(this.canhook) {// 只有在 onEnter 里确认目标库被加载了,才会执行 hook 逻辑let base_libsscronet = Module.findBaseAddress("libsscronet.so");// 获取 libsscronet.so 的基地址let sub_190028 = base_libsscronet.add(0x190028);// 计算 sub_190028 函数的地址(基地址 + 偏移 0x190028)console.log("hook", sub_190028);// 打印目标函数的地址,便于调试Interceptor.attach(sub_190028, {// Hook 目标函数onEnter(args) {console.log("sub_190028 called, return address:", DebugSymbol.fromAddress(this.returnAddress));// `this.returnAddress` 是调用 `sub_190028` 的上层函数的返回地址// `DebugSymbol.fromAddress` 解析该地址,尝试获取调用 `sub_190028` 的函数名}});}}注释
this.returnAddress返回的是调用者的地址DebugSymbol.fromAddress是为了把地址转为函数名
打印结果
按G跳转到
0x18fae8
- 偏移量在V16上
点进
sub_18209C这个函数
.cc文件是 C++ 源代码文件,它的作用与.cpp文件相同,通常用于存放 C++ 代码
跟进
sub_182194
看到这块信息Hook一下
sub_20E814可以看到第二个是一个String ,所以hook代码要修改一下把第二个参数String也打印
onLeave: function (retval) { if (this.canhook) { let base_libsscronet = Module.findBaseAddress("libsscronet.so"); let sub_20E814 = base_libsscronet.add(0x20E814); console.log("hook", sub_20E814); Interceptor.attach(sub_20E814, { onEnter(args) { console.log("sub_20E814 called, return address:",args[1].readCString()), DebugSymbol.fromAddress(this.returnAddress); } }); } }输出结果
- 这个地方明显不是,app已经出现连接失败了,后面过了一会才有的打印,说明这个打印已经晚了,如果是我们想要的位置,他应该在检测中进行打印
- 上面的输出其实并没有什么有效信息
分析引用
那这样我们线索已经断了,先按X看一下这个函数都是有谁引用了 看看有没有线索
看了半天感觉也没啥有用的东西,那下面我们整理一下已经有信息,来猜测一下,后续怎么进行
那目前我们根据已经有信息,看到代码里有用
../../net/tt_net/ipc/ipc_channel_reader.cc"这样的方式去写的那可以猜测,我们真正需要Hook的那个函数也有可能是这样加载的,可以字符串搜索一下
../../
看到有几个目录
netbasecomponents等,我们是为了解决抓包问题,那很有可能是在net目录下(network),那来搜索一下../../net
还是比较多的,这个时候可以有选择的看一下,跟网络请求相关的
quicssl等最后定位到是
../../net/socket/ssl_client_socket_impl.cc这个文件
然后点进来看一下
hook下
20E7EC
看到有一个叫
HandleVerifyResult比较像,我们跳进去看一下0x3174dc- 如果打印不出
HandleVerifyResult可以换个手机试下
- 如果打印不出
然后向上滑找到函数看一下是谁在引用, 因为怀疑这一段是 错误处理 所以先看一下谁调用他
这里有两个点那个都可以,最后都是一个位置,进来之后继续找到函数看一下引用
接着点进去,进去以后看到很多个函数都点开看一下,最后定位到
sub_4913E8()上面
我们可以搜一下
SSL_CTX_set_custom_verify这是什么意思
第三个参数是一个回调函数,这里他的返回值1表示成功,0表示失败,那我们手动把他Hook为0,让他不支持quic协议,实现降级
就能成功绕过校验了~!
123456789101112131415161718192021222324252627282930functionhook_dlopen(module_name, fun) {varandroid_dlopen_ext = Module.findExportByName(null,"android_dlopen_ext");if(android_dlopen_ext) {Interceptor.attach(android_dlopen_ext, {onEnter:function(args) {varpathptr = args[0];if(pathptr) {this.path = (pathptr).readCString();if(this.path.indexOf(module_name) >= 0) {this.canhook =true;}}},onLeave:function(retval) {if(this.canhook) {let verifyadd = Module.getExportByName("libsscronet.so","SSL_CTX_set_custom_verify");Interceptor.attach(verifyadd,{onEnter(args){Interceptor.attach(args[2],{onLeave(retval){retval.replace(0x0);}})}})}}});}}
成功搞定
就可以抓包并且上TikTok了
交流群
- 建立了一个爬虫交流群,如果有兴趣进群的话可以加我好友 拉你进群
[培训]Windows内核深度攻防:从Hook技术到Rootkit实战!
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
