使用Burp拦截Flutter App与其后端的通信(中)

无名

我们需要做的第一件事是在BoringSSL库中找到这个错误。该错误实际上已向我们显示了触发错误的位置：handshake.cc:352。Handshake.cc确实是BoringSSL库的一部分，并且包含了执行证书验证的逻辑。第352行的代码如下所示，这很可能就是我们看到的错误。行数并不完全匹配，但这很可能是版本差异的结果。

本帖隐藏的内容需要【资源会员】才可浏览，您需要升级才可浏览，点击这里升级【资源会员】

这是ssl_verify_peer_cert函数的一部分，该函数返回ssl_verify_result_t枚举，它在第2290行的ssl.h中被定义：

本帖隐藏的内容需要【资源会员】才可浏览，您需要升级才可浏览，点击这里升级【资源会员】

如果我们可以将ssl_verify_peer_cert的返回值更改为ssl_verify_ok (=0)，那么我们就可以继续了。然而，在这个方法中有很多事情正在发生，Frida只能更改函数的返回值。如果我们更改这个值，它仍会因为上面的ssl_send_alert()函数调用而失败（相信我，我试过）。

让我们找一个更好的hook的方法。handshake.cc的代码段正上方是以下代码，这是验证链的方法的实际部分：

本帖隐藏的内容需要【资源会员】才可浏览，您需要升级才可浏览，点击这里升级【资源会员】

session_verify_cert_chain函数在第362行的ssl_x509.cc中被定义。此函数还返回原始数据类型（布尔值），并且是一个更好的hook选项。如果此函数中的检查失败，则它仅通过OPENSSL_PUT_ERROR报告问题，但它没有像ssl_verify_peer_cert函数那样的问题。OPENSSL_PUT_ERROR是err.h中第418行被定义的宏，其中包含源文件名。这与用于Flutter应用程序的错误的宏相同。

本帖隐藏的内容需要【资源会员】才可浏览，您需要升级才可浏览，点击这里升级【资源会员】

既然我们知道要hook哪个函数了，现在我们要做的就是在libflutter.so中找到它。在session_verify_cert_chain函数中多次调用OPENSSL_PUT_ERROR宏，这样可以使用Ghidra轻松的找到正确的方法。因此，将库导入Ghidra，使用Search -> Find Strings并搜索x509.cc。

这里只有4个XREF，因此很容易找到一个看起来像session_verify_cert_chain的函数：

其中一个函数取2个整数，1个“undefined未定义”，并且包含一个对OPENSSL_PUT_ERROR（FUN_00316500）的单独调用。在我的libflutter.so版本中为FUN_0034b330。现在你要做的是从一个导出函数计算该函数的偏移量并将其hook。我通常会采用一种懒惰的方法，复制函数的前10个字节，并检查该模式出现的频率。如果它只出现一次，我就知道我找到了这个函数，并且我可以hook它。这很有用，因为我经常可以为库的不同版本使用相同的脚本。使用基于偏移的方法，这更加困难。这很有用，因为我可以经常对不同版本的库使用相同的脚本。对于基于偏移量的方法，更加困难。

所以，现在我们让Frida在libflutter.so库中搜索这个模式：

本帖隐藏的内容需要【资源会员】才可浏览，您需要升级才可浏览，点击这里升级【资源会员】

在我的Flutter应用程序上运行此脚本的结果如下：

本帖隐藏的内容需要【资源会员】才可浏览，您需要升级才可浏览，点击这里升级【资源会员】

现在，我们只需使用Interceptor将返回值更改为1 (true)：

本帖隐藏的内容需要【资源会员】才可浏览，您需要升级才可浏览，点击这里升级【资源会员】

中[滑稽][滑稽]