如何使用Frida绕过Android网络安全配置

魁首哥

作者

如何使用Frida绕过Android网络安全配置

如何使用Frida绕过Android网络安全配置，很多新手对此不是很清楚，为了帮助大家解决这个难题，下面小编将为大家详细讲解，有这方面需求的人可以来学习下，希望你能有所收获。

写在前面的话

我们将演示如何利用Frida脚本来绕过Android的网络安全配置，这是一种绕过网络安全配置的新技术。除此之外，我们还将演示如何在其他场景来测试该脚本，并分析脚本的运行机制。

在之前的一次Android应用程序安全审计过程中，首先我们要做的就是准备渗透测试的环境，并配置应用程序来绕过网络安全配置。由于我个人比较喜欢Frida，因此它也就成为了我的首选工具。

当时我下载了两到三个脚本，但是当我在Android 7.1.0中运行脚本时，没有一个可以成功的。这也就是为什么我想研究网络安全配置的运行机制，并且如何用Frida绕过它们。

我所做的第一件事就是生成不同的测试用例，我尝试选择了几款比较常见的：

1、OKHttp
2、HttpsURLConnection
3、WebView

接下来，我用不同的网络安全配置生成了三个应用程序：

1、一个使用了默认NSC配置的应用程序-BypassNSC
2、一个带有NSC文件（仅使用了系统证书）的应用程序-BypassNSC2
3、一个带有NSC文件的应用程序（强制证书绑定）-BypassNSC3

代码会解析并验证Android SDK中的网络安全配置，我的测试版本为24、25和26。广大用户可以点击【这里】获取我所生成的应用程序以及所使用的脚本。

脚本名如下：

network-security-config-bypass-1.js
network-security-config-bypass-2.js
network-security-config-bypass-3.js
network-security-config-bypass-cr.js

下图为每一个脚本的分析测试结果：

network-security-config-bypass-1.js

原始引用：【链接】

该脚本会修改NetworkSecurityConfig.Builder类中的getEffectiveCertificatesEntryRefs方法，该方法可以返回有效证书列表。在标准的Android配置中，它所返回的有效证书列表就是安装在目标系统中的有效证书。毫无以为，这个脚本将直接返回用户安装的证书，因此理论上来说，它可以绕过前两个应用程序的网络安全配置，但让我惊讶的是，它竟然也适用于第三种情况，也就是证书绑定配置。我们可以使用下列方法来验证绑定的证书：

android.security.net.config.NetworkSecurityTrustManager.checkPins

下面的栈跟踪记录显示了代码到checkPins函数的执行路径：

atandroid.security.net.config.NetworkSecurityTrustManager.checkPins(NativeMethod)atandroid.security.net.config.NetworkSecurityTrustManager.checkServerTrusted(NetworkSecurityTrustManager.java:95)atandroid.security.net.config.RootTrustManager.checkServerTrusted(RootTrustManager.java:88)atcom.android.org.conscrypt.Platform.checkServerTrusted(Platform.java:178)atcom.android.org.conscrypt.OpenSSLSocketImpl.verifyCertificateChain(OpenSSLSocketImpl.java:596)atcom.android.org.conscrypt.NativeCrypto.SSL_do_handshake(NativeMethod)atcom.android.org.conscrypt.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:357)...

如果补丁没有执行，那么当执行路径抵达该函数时，则会抛出异常：

Causedby:java.security.cert.CertificateException:Pinverificationfailedatandroid.security.net.config.NetworkSecurityTrustManager.checkPins(NetworkSecurityTrustManager.java:148)atandroid.security.net.config.NetworkSecurityTrustManager.checkServerTrusted(NetworkSecurityTrustManager.java:95)atandroid.security.net.config.RootTrustManager.checkServerTrusted(RootTrustManager.java:88)atcom.android.org.conscrypt.Platform.checkServerTrusted(Platform.java:178)atcom.android.org.conscrypt.OpenSSLSocketImpl.verifyCertificateChain(OpenSSLSocketImpl.java:596)atcom.android.org.conscrypt.NativeCrypto.SSL_do_handshake(NativeMethod)atcom.android.org.

我们看一下这个方法的实现代码（API 25）:

privatevoidcheckPins(List<X509Certificate>chain)throwsCertificateException{PinSetpinSet=mNetworkSecurityConfig.getPins();if(pinSet.pins.isEmpty()||System.currentTimeMillis()>pinSet.expirationTime||!isPinningEnforced(chain)){return;}Set<String>pinAlgorithms=pinSet.getPinAlgorithms();Map<String,MessageDigest>digestMap=newArrayMap<String,MessageDigest>(pinAlgorithms.size());for(inti=chain.size()-1;i>=0;i--){X509Certificatecert=chain.get(i);byte[]encodedSPKI=cert.getPublicKey().getEncoded();for(Stringalgorithm:pinAlgorithms){MessageDigestmd=digestMap.get(algorithm);if(md==null){try{md=MessageDigest.getInstance(algorithm);}catch(GeneralSecurityExceptione){thrownewRuntimeException(e);}digestMap.put(algorithm,md);}if(pinSet.pins.contains(newPin(algorithm,md.digest(encodedSPKI)))){return;}}}//TODO:ThrowasubclassofCertificateExceptionwhichindicatesapinningfailure.thrownewCertificateException("Pinverificationfailed");}

这个方法可以接收网站通信所返回的证书列表，它做的第一件事情就是条件检测：

1、pinset为空
2、验证时pinset已过期
3、证书绑定并非配置强制要求

如果上述条件没有一个为真，绑定验证将会被忽略。如果必须实现验证，应用程序将检查站点提供的任何证书是否与网络安全配置文件中定义的某个证书匹配，此时验证就是成功的。如果没有发生这种情况，该方法将抛出前一个stacktrace中显示的异常。

一开始，我以为这个问题存在于用来分析每一个证书的for循环中，所以我在Frida脚本中添加了下列log：

varPin=Java.use("android.security.net.config.Pin");Pin.$init.implementation=function(digestAlg,digest){varbt=Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new());console.log("\nBacktrace:\n"+bt);console.log(digestAlg);returnthis.$init(digestAlg,digest);}

它可以输出验证过程中的每一个pin，当我运行改动过的应用程序之后，我发现这并没有什么用。于是我又在log中添加了针对pinSet.getPinAlgorithms()的调用，并在for循环之前执行：

varPinSet=Java.use("android.security.net.config.PinSet");PinSet.getPinAlgorithms.implementation=function(){varbt=Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new());console.log("\nBacktrace:\n"+bt);returnthis.getPinAlgorithms();}

这一次什么都没打印出来，于是接下来我得看看函数的条件判断是否为真，因此我在脚本中添加了下列代码：

NetworkSecurityTrustManager.checkPins.implementation=function(pins){varbt=Java.use("android.util.Log").getStackTraceString(Java.use("java.lang.Exception").$new());console.log("\nBacktrace:\n"+bt);pinSet=this.mNetworkSecurityConfig.value.getPins();console.log("pinSet.pins.value.isEmpty:"+pinSet.pins.value.isEmpty());console.log("isPinningEnforced:"+this.isPinningEnforced(pins));console.log("pins.isEmpty:"+pins.isEmpty());console.log(System.currentTimeMillis())console.log(pinSet.expirationTime.value);console.log(System.currentTimeMillis()>pinSet.expirationTime.value);this.checkPins(pins);}

运行应用程序之后，我拿到了下列输出：

pinSet.pins.value.isEmpty:falseisPinningEnforced:false<--thisconditionistheproblematiconepins.isEmpty:false15620312482749223372036854775807false

我们可以看到，isPinningEnforced为False，此时其他所有的表达式都将为True。该方法的实现代码如下：

privatebooleanisPinningEnforced(List<X509Certificate>chain)throwsCertificateException{if(chain.isEmpty()){returnfalse;}X509CertificateanchorCert=chain.get(chain.size()-1);TrustAnchorchainAnchor=mNetworkSecurityConfig.findTrustAnchorBySubjectAndPublicKey(anchorCert);if(chainAnchor==null){thrownewCertificateException("TrustedchaindoesnotendinaTrustAnchor");}return!chainAnchor.overridesPins;}

原来，问题出在findTrustAnchorBySubjectAndPublicKey的身上，它是NetworkSecurityConfig类中的一个方法，能够返回一个chainAnchor：

publicTrustAnchorfindTrustAnchorBySubjectAndPublicKey(X509Certificatecert){for(CertificatesEntryRefref:mCertificatesEntryRefs){TrustAnchoranchor=ref.findBySubjectAndPublicKey(cert);if(anchor!=null){returnanchor;}}returnnull;}

它会在配置过程中对创建的CertificatesEntryRef进行迭代，并返回第一个跟SubjectAndPublicKey匹配的对象。在这个场景中，它将返回的是其中一个代理。研究完源代码后，我找到了CertificatesEntryRef类，并发现了唯一一个构造器：

publicCertificatesEntryRef(CertificateSourcesource,booleanoverridesPins){mSource=source;mOverridesPins=overridesPins;}

如果再回头看一次Frida脚本，你将会发现CertificatesEntryRef是以下列方式创建的：

NetworkSecurityConfig_Builder.getEffectiveCertificatesEntryRefs.implementation=function(){origin=this.getEffectiveCertificatesEntryRefs()source=UserCertificateSource.getInstance()userCert=CertificatesEntryRef.$new(source,true)<--setsoverridesPinsintrueorigin.add(userCert)returnorigin}

这也就是为什么这个脚本适用于所有场景。

network-security-config-bypass-2.js

原始引用：【链接】

在这个场景下，唯一适用的就是不包含网络安全配置文件的应用程序。

我分析了一下为什么补丁不起作用，原因在于parseNetworkSecurityConfig方法：

XmlUtils.beginDocument(parser,"network-security-config");intouterDepth=parser.getDepth();while(XmlUtils.nextElementWithin(parser,outerDepth)){//hereitcreatesaNetworkSecurityconfig.Builderbasedonthexmlstructure....}...NetworkSecurityConfig.BuilderplatformDefaultBuilder=NetworkSecurityConfig.getDefaultBuilder(mTargetSdkVersion);<--thisisthemethodchangedwiththescriptaddDebugAnchorsIfNeeded(debugConfigBuilder,platformDefaultBuilder);//baseConfigBuilderisnullonlyifthexmlnetwork-security-configisnotdefinedintheAndroidManifest.xmlif(baseConfigBuilder!=null){baseConfigBuilder.setParent(platformDefaultBuilder);addDebugAnchorsIfNeeded(debugConfigBuilder,baseConfigBuilder);}else{baseConfigBuilder=platformDefaultBuilder;}...mDefaultConfig=baseConfigBuilder.build();mDomainMap=configs;}

构建方法会生成NetworkSecurityConfig实体：

publicNetworkSecurityConfigbuild(){booleancleartextPermitted=getEffectiveCleartextTrafficPermitted();booleanhstsEnforced=getEffectiveHstsEnforced();PinSetpinSet=getEffectivePinSet();List<CertificatesEntryRef>entryRefs=getEffectiveCertificatesEntryRefs();returnnewNetworkSecurityConfig(cleartextPermitted,hstsEnforced,pinSet,entryRefs);}

有效证书源在entryRefs变量中定义，其构造方法如下：

privateList<CertificatesEntryRef>getEffectiveCertificatesEntryRefs(){if(mCertificatesEntryRefs!=null){returnmCertificatesEntryRefs;}if(mParentBuilder!=null){returnmParentBuilder.getEffectiveCertificatesEntryRefs();}returnCollections.<CertificatesEntryRef>emptyList();}

此时，mCertificatesEntryRefs不为空，并会返回标准的SystemCertificateSource。因此，mParentBuilder永远不会被调用。

接下来，当服务器证书验证成功后，应用程序将会调用NetworkSecurityConfig.findTrustAnchorBySubjectAndPublicKey方法，该方法将会对有效证书进行过滤：

并导致栈跟踪抛出异常：

com.android.org.conscrypt.TrustManagerImpl.checkTrusted(TrustManagerImpl.java:375)atcom.android.org.conscrypt.TrustManagerImpl.getTrustedChainForServer(TrustManagerImpl.java:304)atandroid.security.net.config.NetworkSecurityTrustManager.checkServerTrusted(NetworkSecurityTrustManager.java:94)atandroid.security.net.config.RootTrustManager.checkServerTrusted(RootTrustManager.java:88)...

network-security-config-bypass-3.js

原始引用：【链接】

该脚本适用于三个场景中的其中两个，因为补丁会在验证证书的方法中执行。但是它不适用于第三种场景，因为证书绑定是在其他方法中执行的，具体可以参考栈跟踪记录中的错误信息：

atandroid.security.net.config.NetworkSecurityTrustManager.checkPins(NetworkSecurityTrustManager.java:148)atandroid.security.net.config.NetworkSecurityTrustManager.checkServerTrusted(NetworkSecurityTrustManager.java:95)atandroid.security.net.config.RootTrustManager.checkServerTrusted(RootTrustManager.java:88)atcom.android.org.conscrypt.Platform.checkServerTrusted(Platform.java:203)atcom.android.org.conscrypt.OpenSSLSocketImpl.verifyCertificateChain(OpenSSLSocketImpl.java:592)atcom.android.org.conscrypt.NativeCrypto.SSL_do_handshake(NativeMethod)atcom.android.org.conscrypt.OpenSSLSocketImpl.startHandshake(OpenSSLSocketImpl.java:351)...25more