dy過ssl charles抓包
及xposed的justtrustme安裝到手機上只能過系統的ssl。
抖音寫了一個非系統的ssl所以需要反編譯so來處理。
第一步,charles
我用的是magisk手機,先重charles把證書下載到pc端
選項1,安裝證書到本地
選項2,查看ip
選項3,導出證書
在通過adb push 傳入到sdcard
通過手機安裝證書[wifi 的高級選項中,安裝證書]
把用戶證書通過[mt管理器]移動到系統證書目錄[或者通過shell指令cp移動,但是需要掛在system目錄]
* 用戶證書目錄
/data/misc/user/0/cacerts-added/
* 系統證書目錄
/system/etc/security/cacerts/
在把手機的ip代理到charles的ip。
第二步,dy23.3.0版本的so處理
安裝dy23.3.0版本的x音
通過adb拉取ssl的so。[so路勁]:/data/data/com.ss.Android.ugc.aweme/lib/libsscr.NET.so
用shell file libsscronet.so 可以查看so是32位的。
libsscronet.so: ELF shared object, 32-bit LSB arm, for Android 16,
built by NDK r21b (6352462), BuildID=fa904331dfa77de8b969d0d90561bc3e40c2c9e5, stripped
所以我們用ida32位的打開這個so。
等待幾分鐘等待so加載完畢,然后在左側根據關鍵字"SSL_CTX_set_custom_verify"找到
通過搜索“SSL_CTX_set_custom_verify”選擇第一項,再通過[text view]顯示
雙擊進入sub_1C99CC到匯編位置 通過f5查看偽代碼
雙擊進入sub_1C9404 的偽代碼,把里面3個return值改為0[我這里是改過之后的]
第一個
再搜索sub_1C9404 IDA VIEW 查看匯編位置
loc_1C94B4位置雙擊進入
提示:
你可以通過f5進入查看偽代碼就是return的位置
可以把地址單獨拎出來,這樣就可以實時查看到對應的地址
通過winhex修改保存即可
第二個第三個在底部的返回函數里面sub_1C9640雙擊進入偽代碼[這個修改就補貼了,自行按照1第一個流程去做就行了]
第二個
第三個
第三部,替換so
看這個文件夾下應該是沒有文件的(A) /data/data/com.ss.android.ugc.aweme/App_librarian/23.3.0.6525026484/libsscronet.so
刪除 /data/data/com.ss.android.ugc.aweme/lib/libsscronet.so
再打開抖音,(A)應該有文件libsscronet.so包顯示了,替換修改的so
我是通過mt文件管理器替換的
再重啟。即可抓包
下載資源
這是dy23.3.0的so,可以直接按第三步使用
