【开源】HTTPDecrypt for Android Penetration Test

2019-05-06 15:06:22 48 4560 13

HTTP Decrypt

利用HTTP协议 远程加解密数据包,实现Burp一条龙服务。

背景

在做APP渗透测试的时候,通常通信协议基本都做了加解密功能,每次都需要去逆向APP并寻找到加解密算法后,针对写Burp插件,这么一个流程下来花费了一大堆的时间,万一遇到加固,又要耗时间去脱壳,这尼玛遇到壳又脱不了,咋怎,最后利用几分钟来抓包改包,然后发现0高0中0低...我枯了,你们呢。

HTTP Decrypt 提供了Finds Hooks模块,可以在不逆向不脱壳的情况下快速的找到APP所使用的加解密算法,而toBurp模块提供了直接使用APP内的方法进行加解密,而不需自己动手敲代码,对于整体POST加密更是提供了自动化加解密功能,可以实现Burp一条龙,Burp Scanner ,Intruder自动加解密。

env base:

python3 感谢python3 世界上最好的语言

frida 感谢frida 世界上最牛逼的逆向框架

Burp 感谢BurpSuite 世界上最牛逼的Web测试工具

flask 感谢flask 世界上最轻量级的web应用框架

使用方式

运行

不指定端口直接运行则为默认端口,

  1. python3 app.py
  2. Android_frida_server 运行
  3. 转发frida端口。
  4. 打开HTTP Decrypt页面,如果在Start界面出现应用包名列表信息则可正常使用其他功能,如果不行,刷新一下看看控制台出现的信息。

Hooks

填写字符串,将类名与你填写的字符串匹配,并Hooks类下的所有方法,hook多个类名,回车换行。

Stack

Hooks打印的堆栈会在这里显示。

Finds

根据字符串,查找类,匹配到类,将类下的方法都打印出来。多个查找回车换行继续写。提供了过滤机制。

toBurp

对称加解密

通过xxx方式得到了通信协议加解密函数。如下例子中的:

com.one.sdk.e.b.a   encrypt
com.one.sdk.e.b.b   decrypt 

选择完成后,点击Export。

效果:

在可编辑区域调用的是Request function 1,2,不可编辑区域调用的是response function3 ,4

打开Auto后,Burp Scanner ,Intruder模块 也可以使用。 Auto功能 数据包加密调用的是 Request function 1,数据包解密调用的Request function 2,因此想要使用Auto功能,需要正确填写加解密函数位置,不要填反了。

签名

某APP数字签名算法如下: 字符串 "prod_secret123@muc" +整个 body + HTTP头 random字段; 签名值放在HTTP头中的sign字段。使用md532位加密,配置如下。

效果:

toBurp-hook (配合export使用)

调用APP内的方法

hook之后会有call按钮,如果想使用,请点击export按钮之后再使用。 效果如下:

Note:也可以直接在POST修改,但是需要解码一次,比较麻烦,因此直接选择Change body encoding,然后进行修改,效果一样的。

toBurp-toBurp

拦截指定函数,修改参数or返回值,再返回给应用程序。 复杂数据类型仅支持修改一维数组。

future

  1. 支持IOS,(老板说配IOS测试机 配了几个月了 还没到手。)
  2. 支持Native
  3. toBurp-toBurp 增加栈。
  4. 暂无,欢迎提供建议。

申明

本项目只可用于安全研究,禁止进行未授权攻击行为。

我们严格禁止一切通过本程序进行的违反任何国家法律行为,请在合法范围内使用本程序。

使用本程序则默认视为你同意我们的规则,请您务必遵守道德与法律准则。

如不遵守,后果自负,开发者将不承担任何责任!

https://github.com/lyxhh/lxhToolHTTPDecrypt

自评TCV值:1

关于作者

lyxhh7篇文章268篇回复

UVEyODU0MzA3MzK9u8H30afPsA==

评论48次

要评论?请先  登录  或  注册
  • 48楼
    7 小时前
    bawosongnile

    老兄,你的bp插件如何安装呀,是需要把burp目录打包成jar包才行吗?

    1

    有编译好的jar,再release里面。

  • 47楼
    昨天 10:51

    老兄,你的bp插件如何安装呀,是需要把burp目录打包成jar包才行吗?

  • 46楼
    2019-5-12 07:58

    一看就是干货

  • 45楼
    2019-5-11 01:05

    太强了,可以安心抓app包了,已star。

  • 44楼
    2019-5-10 20:55

    技术不到位,感觉自己用不上。。。

  • 43楼
    2019-5-10 18:28
    Harmoc

    刚需,牛逼,感谢,顺便问一下,如果小程序的话(包括支付宝和微信)能否通用

    1

    没试过小程序 感觉应该不信 你可以试试

  • 42楼
    2019-5-10 15:25

    刚需,牛逼,感谢,顺便问一下,如果小程序的话(包括支付宝和微信)能否通用

  • 41楼
    2019-5-10 13:33

    师傅这个就很厉害了啊

  • 40楼
    2019-5-10 12:44
    Anonymous

    求教下楼主这个什么意思啊?还有抓包的时候是在模拟器抓了,然后回http://127.0.0.1:8088/ 看吗?有点玩不转

    1

    运行frida,转发frida端口

  • 39楼
    2019-5-9 16:54

    求教下楼主这个什么意思啊?还有抓包的时候是在模拟器抓了,然后回http://127.0.0.1:8088/ 看吗?有点玩不转

  • 38楼
    2019-5-9 16:48
    he110

    我想请问一下大佬,网站能用吗。最近碰到一个站,每个操作发请求包之前都会向服务端先发一个请求,这个请求包会带一个sign参数而且每次的值都不一样,他的返回包里有publicKey,不管上一个请求包里带的sign值如何变化,返回的publicKey值都不会变。只要改请求包里的任何参数就会报错。这种情况适用吗

    1

    数字签名吗那应该是可以用的

  • 37楼
    2019-5-9 16:35

    我想请问一下大佬,网站能用吗。最近碰到一个站,每个操作发请求包之前都会向服务端先发一个请求,这个请求包会带一个sign参数而且每次的值都不一样,他的返回包里有publicKey,不管上一个请求包里带的sign值如何变化,返回的publicKey值都不会变。只要改请求包里的任何参数就会报错。这种情况适用吗

  • 36楼
    2019-5-9 13:57
    PcaQzero

    还有老哥加壳的都逆向不了 看不到加解密函数 是怎么实现hook加解密的呢? 我逻辑搞不清楚啊!

    1

    不是写了吗,用finds and hooks配合找。

  • 35楼
    2019-5-9 13:55

    还有老哥加壳的都逆向不了 看不到加解密函数 是怎么实现hook加解密的呢? 我逻辑搞不清楚啊!

  • 34楼
    2019-5-9 11:09

    界面和house感觉好像

  • 33楼
    2019-5-9 11:04

    这个马克一下.关键是要找到加解密的函数

  • 32楼
    2019-5-9 10:47

    先保存一下,现在app测试的资料太少了。

  • 31楼
    2019-5-8 20:57
    skyer

    不知道iOS没有越狱能不能用

    1

    不可以 暂不支持IOS,我这边没IOS测试机,无法兼容。不好意思哈

  • 30楼
    2019-5-8 20:47

    不知道iOS没有越狱能不能用

  • 29楼
    2019-5-8 17:53

    brida 好像也是这些功能